Tehdit aktörlerinin, Nisan 2025’te ABD merkezli bir kimyasal şirketi hedefleyen bir saldırıda otomatik renk arka kapısını teslim etmek için şimdi patlandırılmış bir kritik SAP netweaver kusurundan yararlandığı gözlendi.
Hacker News ile paylaşılan bir raporda, “Üç gün boyunca, bir tehdit oyuncusu müşterinin ağına erişim sağladı, birkaç şüpheli dosya indirmeye çalıştı ve otomatik renk kötü amaçlı yazılımlara bağlı kötü niyetli altyapı ile iletişim kurdu.” Dedi.
Söz konusu güvenlik açığı, SAP NetWeaver’da Uzaktan Kod Yürütülmesini (RCE) etkinleştiren ciddi bir kimlik doğrulanmamış dosya yükleme hatası olan CVE-2025-31324’tür. Nisan ayında SAP tarafından yamalı.
İlk olarak bu Şubat ayının başlarında Palo Alto Networks Birimi 42 tarafından belgelenen otomatik renk, uzaktan erişim Truva atına benzeyen ve tehlikeye atılan Linux ana bilgisayarlarına uzaktan erişim sağlayan işlev görüyor. Kasım ve Aralık 2024 yılları arasında Kuzey Amerika ve Asya’daki üniversiteleri ve hükümet kuruluşlarını hedefleyen saldırılarda gözlendi.
Kötü amaçlı yazılımın, komut ve kontrol (C2) sunucusuna bağlanamaması durumunda kötü niyetli davranışlarını gizlediği bulunmuştur, bu da tehdit aktörlerinin iyi huylu olduğu izlenimini vererek algılamadan kaçmak istedikleri bir işarettir.
Ters kabuk, dosya oluşturma ve yürütme, sistem proxy yapılandırması, global yük manipülasyonu, sistem profili oluşturma ve hatta bir öldürme anahtarı tetiklendiğinde kendi kendini kaldırma gibi çeşitli özellikleri destekler.
Darktrace tarafından tespit edilen olay, 28 Nisan’da, SAP NetWeaver’ı çalıştıran internete maruz kalan bir makinede şüpheli bir ELF ikilisinin indirilmesi konusunda uyarıldı. Bununla birlikte, ilk tarama aktivitesi belirtilerinin en az üç gün önce gerçekleştiği söylenir.
Şirket, “CVE-2025-31324, internete bakan cihazın uzlaşmasını ve otomatik renk kötü amaçlı yazılımları temsil eden bir ELF dosyasının indirilmesini içeren ikinci aşamalı bir saldırı başlatmak için bu durumda kaldırıldı.” Dedi.
“İlk müdahaleden C2 iletişiminin başarısız olmasına kadar, otomatik renk kötü amaçlı yazılım, Linux içsellerinin net bir şekilde anlaşılmasını gösterdi ve maruz kalmayı en aza indirmek ve tespit riskini azaltmak için tasarlanmış hesaplanmış kısıtlama gösterdi.”