Крупный химзавод потерял контроль над производством после хакерской атаки

Auto-Color SAP NetWeaver Darktrace CVE-2025-31324 вредоносное ПО удаленный доступ
Крупный химзавод потерял контроль над производством после хакерской атаки
Auto-Color SAP NetWeaver Darktrace CVE-2025-31324 вредоносное ПО удаленный доступ

Троян Auto-Color целых три дня терзал американское предприятие изнутри.

image

Специалисты компании Darktrace зафиксировали целевую атаку на американскую химическую компанию, в ходе которой злоумышленники использовали критическую уязвимость в платформе SAP NetWeaver. Угроза, зарегистрированная как CVE-2025-31324 , представляла собой ошибку в механизме загрузки файлов, позволявшую атакующим выполнять произвольный код на сервере без аутентификации. Несмотря на то, что SAP выпустила обновление в апреле, инцидент произошёл как раз в тот момент, когда исправление ещё не было установлено.

Атака развернулась в течение трёх суток. Первыми признаками стала активность, напоминающая разведывательное сканирование устройств, доступных из интернета, предположительно использующих SAP NetWeaver. Позже было обнаружено, что злоумышленники использовали выявленную уязвимость для загрузки вредоносного исполняемого файла в формате ELF, соответствующего семейству вредоносных программ под названием Auto-Color .

Эта вредоносная утилита была впервые описана в феврале 2025 года командой Unit 42 компании Palo Alto Networks. Тогда она была замечена в атаках на университетские и правительственные учреждения в Северной Америке и Азии. Auto-Color действует как троян с удалённым доступом, обеспечивая атакующим полный контроль над заражёнными Linux-хостами. Набор его функций включает выполнение командной оболочки, создание и запуск файлов, манипуляции с системными настройками прокси, управление нагрузкой, сбор информации о системе и возможность полного самоуничтожения по команде.

Одна из ключевых особенностей Auto-Color — поведение, направленное на сокрытие своей активности. В случае, если соединение с командно-контрольным сервером не устанавливается, вредонос замедляет своё поведение или вовсе прекращает активность, имитируя безвредный файл. Это позволяет ему ускользать от систем обнаружения угроз и вызывать меньше подозрений на стадии начального проникновения.

Во время апрельского инцидента Auto-Color не смог установить постоянную связь с внешней инфраструктурой управления, но даже в этом состоянии проявил сложное поведение, демонстрируя глубокое понимание внутренней логики Linux и осторожность в действиях. По оценке аналитиков, авторы этой вредоносной программы сознательно минимизировали риски выявления, отключая активные функции в случае неудачного подключения к серверу управления.

Факт атаки и использование Zero-Day-уязвимости в SAP NetWeaver подчёркивает растущий интерес злоумышленников к корпоративным бизнес-платформам. Это не первый случай, когда широко распространённое коммерческое программное обеспечение становится точкой входа для многоэтапной целевой атаки. Инцидент также демонстрирует, насколько быстро реагируют группировки после публикации исправлений: между выходом обновления и применением эксплойта прошло всего несколько дней.