ABD tabanlı bir kimyasal şirketi hedefleyen sofistike bir siber saldırı, SAP NetWeaver sömürüsünün otomatik renk kötü amaçlı yazılımlarıyla ilk gözlemlenmesini ortaya çıkardı ve tehdit aktörlerinin Linux sistemlerinde gelişmiş kalıcı tehditleri dağıtmak için kritik güvenlik açıklarından nasıl yararlandığını gösterdi.
Nisan 2025’te, siber güvenlik firması Darktrace, SAP Netweaver’da kritik bir güvenlik açığı olan CVE-2025-31324’ü üç gün boyunca dağıtmak için başarıyla tespit etti ve bir saldırı içeriyordu.
Key Takeaways
1. CVE-2025-31324 SAP NetWeaver attack deployed Auto-Color malware.
2. Auto-Color uses Linux manipulation and adaptive evasion techniques.
3. Darktrace prevented malware activation and C2 communication.
SAP NetWeaver Güvenlik Açığı Sömürülen
Saldırı, 24 Nisan 2025’te SAP NetWeaver uygulama sunucularını etkileyen kritik bir güvenlik açığı olan CVE-2025-31324’ün sömürülmesi ile başladı.
Bu güvenlik açığı, kötü amaçlı aktörlerin sunucuya dosya yüklemesini sağlar ve potansiyel olarak uzaktan kod yürütülmesine ve tam sistem uzlaşmasına yol açar.
Tehdit aktörleri, 25 Nisan’dan itibaren keşif faaliyetleri gerçekleştirerek, iki gün sonra tam saldırıyı başlatmadan önce URI’leri içeren /geliştirme /geliştirme kullanan /geliştirme kullanan /geliştirme kullanılarak güvenlik açığını taradı.
İlk uzlaşma, kötü amaçlı bir IP adresinden bir Zip dosyası indirmesiyle gerçekleşti. 91.193.19[.]109, DNS Tünel Tüneli Talebi ile Bant Dışı Uygulama Güvenlik Testi (OAST) AAAAAAAAAAAAAA gibi alanlar[.]D06OOJUGFD4N58P4TJ201HMY54TNQ4RAK[.]şerbetçiotu fırını[.]Ben.
Saldırganlar daha sonra 47.97.42 numaralı telefondan C2 altyapısına bağlantılar kurarak helper.jsp dosyası aracılığıyla config.sh adlı bir kabuk komut dosyası yürüttü.[.]177, Çin’e bağlı tehdit gruplarına bağlı bir komut ve kontrol platformu olan Supershell ile ilişkili bir son nokta olan 3232 numaralı bağlantı noktası üzerinden.
Otomatik renkli kötü amaçlı yazılım kalıcılığı teknikleri
Yürütme sonrası/var/log/çapraz/otomatik renk olarak yeniden adlandırma yeteneğinin adını taşıyan otomatik renkli arka kapı kötü amaçlı yazılımları, Kasım 2024’ten bu yana öncelikle üniversiteleri ve hükümet kurumlarını hedefleyen sofistike bir uzaktan erişim Truva atını (sıçan) temsil eder.
Kötü amaçlı yazılım, ayrıcalık seviyelerine dayalı uyarlanabilir davranışlar gösterir ve kısıtlı ortamlarda tespitten kaçınmak için kök ayrıcalıkları olmadan yürütüldüğünde sınırlı işlevselliğe sahiptir.
Kök ayrıcalıklarıyla yürütüldüğünde, otomatik renk invaziv kurulum prosedürleri gerçekleştirir ve kötü niyetli bir nesne libcext.so.2’yi meşru bir C yardımcı kütüphanesi olarak kullanır.
Kötü amaçlı yazılım, kötü amaçlı kütüphaneye referans eklemek için ld.so.preload manipülasyonu ile /etc/ld.so.preload ile kalıcılık sağlar.
Bu teknik, dinamik olarak bağlantılı programları yürütürken, uygulamalar arasında standart sistem işlevlerini kancalamasını ve geçersiz kılmasını sağlayan kötü amaçlı yazılım yüklerini diğer kütüphanelerden önce sağlar.
DarkTrace’in 24 saat daha uzatılan otonom yanıt eylemlerini genişleten yönetilen tespit ve müdahale hizmetinin başarılı müdahalesi, müşterinin güvenlik ekibinin tehdidi araştırması ve düzeltmesi için önemli bir süre sağlamıştır.
Saldırı, tehdit aktörleri birden fazla sistemde bu kritik güvenlik açığını kullanmaya devam ettikçe, SAP NetWeaver’ı kullanan kuruluşların güvenlik yamalarını hemen uygulamak için acil ihtiyacının altını çiziyor.
Integrate ANY.RUN TI Lookup with your SIEM or SOAR To Analyses Advanced Threats -> Try 50 Free Trial Searches