Un sofisticado ciberataque dirigido a una compañía de productos químicos con sede en EE. UU. Ha revelado el primer emparejamiento observado de explotación de SAP Netweaver con malware de color automático, lo que demuestra cómo los actores de amenazas aprovechan vulnerabilidades críticas para desplegar amenazas persistentes avanzadas en los sistemas Linux.
En abril de 2025, la firma de ciberseguridad DarkTrace detectó con éxito y contenía un ataque que explotó CVE-2025-31324, una vulnerabilidad crítica en SAP Netweaver, para desplegar el sigiloso malware de puerta trasera automática durante tres días.
Control de llave
1.
2. Auto-Color utiliza técnicas de manipulación de Linux y evasión adaptativa.
3. Darktrace evitó la activación de malware y la comunicación C2.
Vulnerabilidad de SAP Netweaver explotada
El ataque comenzó con la explotación de CVE-2025-31324, una vulnerabilidad crítica revelada por SAP SE el 24 de abril de 2025, que afecta a los servidores de aplicaciones SAP Netweaver.
Esta vulnerabilidad permite a los actores maliciosos cargar archivos al servidor, lo que puede conducir a la ejecución de código remoto y un compromiso completo del sistema.
Los actores de amenazas realizaron actividades de reconocimiento a partir del 25 de abril, escaneando la vulnerabilidad utilizando URIS que contienen /desarrollos de desarrollo /metadatauploader antes de lanzar el ataque completo dos días después.
El compromiso inicial se produjo a través de una descarga de archivo zip desde una dirección IP maliciosa 91.193.19 (.) 109, acompañada de solicitudes de túneles de DNS a los dominios de prueba de seguridad de aplicaciones fuera de banda (OAST) como aaaaaaaaaaaa (.) D06ooJugfd4n58p4tJ201hmy54tnq4rak ().
Luego, los atacantes ejecutaron un script de shell llamado config.sh a través del archivo helper.jsp, estableciendo conexiones a la infraestructura C2 en 47.97.42 (.) 177 sobre el puerto 3232, un punto final asociado con SuperShell, una plataforma de comando y controlador vinculada a grupos de amenazas afiliados a China.
Técnicas de persistencia de malware automático
El malware de puerta trasera automática, llamada así por su capacidad de cambiarse de nombre a/var/log/cross/autocolor después de la ejecución, representa un troyano de acceso remoto (rata) sofisticado que tiene principalmente universidades e instituciones gubernamentales desde noviembre de 2024.
El malware demuestra un comportamiento adaptativo basado en niveles de privilegios, con funcionalidad limitada cuando se ejecuta sin privilegios de raíz para evitar la detección en entornos restringidos.
Cuando se ejecuta con privilegios raíz, el color automático realiza procedimientos de instalación invasivos, implementando un objeto compartido malicioso libcext.so.2 que se disfraza de una biblioteca legítima de utilidad C.
El malware logra la persistencia a través de la manipulación LD.SO.PReload, modificando o creando /etc/ld.so.preload para insertar referencias a la biblioteca maliciosa.
Esta técnica garantiza las cargas de malware antes que otras bibliotecas al ejecutar programas vinculados dinámicamente, lo que le permite enganchar y anular las funciones estándar del sistema en todas las aplicaciones.
La intervención exitosa del servicio de detección y respuesta administrada de DarkTrace, que extendió las acciones de respuesta autónoma durante 24 horas adicionales, proporcionó un tiempo crucial para que el equipo de seguridad del cliente investigara y remediara la amenaza.
El ataque subraya la necesidad urgente de organizaciones que usan SAP Netweaver para aplicar inmediatamente parches de seguridad, ya que los actores de amenaza continúan explotando esta vulnerabilidad crítica en múltiples sistemas.
Integre cualquiera. Pruebe 50 búsquedas de prueba gratuitas
