Os hackers foram vistos explorando uma vulnerabilidade crítica da SAP NetWeaver rastreada como CVE-2025-31324 para implantar o malware Linux automático em um ataque cibernético em uma empresa de produtos químicos com sede nos EUA.
Empresa de segurança cibernética Darktrace descobriu O ataque durante uma resposta ao incidente em abril de 2025, onde uma investigação revelou que o malware automático evoluiu para incluir táticas adicionais de evasão avançada.
Darktrace relata que o ataque começou em 25 de abril, mas a exploração ativa ocorreu dois dias depois, entregando um arquivo ELF (Linux Executável) na máquina alvo.
O malware automático foi documentado por Unidade 42 da Palo Alto Networks Pesquisadores em fevereiro de 2025, que destacaram sua natureza evasiva e dificuldade em erradicar depois de estabelecer uma posição em uma máquina.
O backdoor ajusta seu comportamento com base no nível de privilégio do usuário da qual funciona e usa ‘ld.so.preload’ para persistência furtiva por meio de injeção de objeto compartilhado.
Os recursos de recursos automáticos apresentam recursos como execução de comando arbitrário, modificação de arquivos, shell reverso para acesso remoto completo, encaminhamento de tráfego de proxy e atualização de configuração dinâmica. Ele também possui um módulo Rootkit que oculta suas atividades maliciosas de ferramentas de segurança.
A Unidade 42 não conseguiu descobrir o vetor de infecção inicial dos ataques observados, visando universidades e organizações governamentais na América do Norte e na Ásia.
De acordo com as pesquisas mais recentes de Darktrace, os atores de ameaças por trás da cor-coritcve-2025-31324, uma vulnerabilidade crítica no NetWeaver que permite que os invasores de autenticação de autenticação enviem binários maliciosos para obter a execução remota de código (RCE).
.jpg)
Corrigido a falha em abril de 2025, enquanto as empresas de segurança Reliaquest, Onapsis e WatchTowr relataram ter visto tentativas de exploração ativa, que culminou apenas alguns dias depois.
Em maio, atores de ransomware e Hackers estaduais chineses havia ingressado na atividade de exploração, enquanto Mandiant relatou evidências de elaboração de exploração de dia zero para CVE-2025-31324 desde pelo menos meados de março de 2025.
Além do vetor de acesso inicial, o Darktrace também descobriu uma nova medida de evasão implementada na versão mais recente do Auto-Color.
Se a cor-cor não puder se conectar ao seu servidor de comando e controle codificado (C2), ele suprime a maior parte de seu comportamento malicioso. Isso se aplica a ambientes de caixa de areia e ar, onde o malware pareceria benigno para analistas.
“Se o servidor C2 for inacessível, a cor de cor parada efetivamente e se abstém de implantar sua funcionalidade maliciosa completa, parecendo benigna para analistas”, explica o Darktrace.
“Esse comportamento impede os esforços de engenharia reversa de descobrirem suas cargas úteis, mecanismos de colheita de credenciais ou técnicas de persistência”.
Isso é adicionado além do que a Unidade 42 documentou anteriormente, incluindo lógica de execução com reconhecimento de privilégios, uso de nomes de arquivos benignos, funções da LIBC, uso de um diretório de logs falso, conexões C2 sobre TLS, hashes exclusivos para cada amostra e a existência de um “interruptor de morte”.
Com o Auto-Color agora explorando ativamente o CVE-2025-31324, os administradores devem agir rapidamente para aplicar as atualizações ou mitigações de segurança fornecidas no cliente somenteBoletim SAP.
O relatório da placa Deck Cisos realmente usa
Os CISOs sabem que obter a adesão da placa começa com uma visão clara e estratégica de como a segurança da nuvem gera valor comercial.
Este deck de relatório gratuito e editável do conselho ajuda os líderes de segurança a apresentar riscos, impactos e prioridades em termos comerciais claros. Transforme as atualizações de segurança em conversas significativas e tomada de decisão mais rápida na sala de reuniões.