Hackers exploram vulnerabilidade crítica em sistemas SAP para invadir servidores Linux e instalar malware 'Auto-Color'

Hackers estão explorando ativamente uma vulnerabilidade crítica, agora corrigida, no SAP NetWeaver para implantar o backdoor 'Auto-Color'. O ataque mais recente, ocorrido em abril de 2025, teve como alvo uma empresa do setor químico nos Estados Unidos, resultando na invasão de seus sistemas baseados em Linux.

De acordo com um relatório da empresa de cibersegurança Darktrace, compartilhado com a imprensa especializada, a operação demonstrou um alto nível de sofisticação. "Durante um período de três dias, um invasor obteve acesso à rede do cliente, tentou baixar vários arquivos suspeitos e se comunicou com uma infraestrutura maliciosa ligada ao malware Auto-Color", detalhou a Darktrace.

A brecha de segurança explorada é identificada como CVE-2025-31324. Trata-se de uma falha grave de upload de arquivo não autenticado no SAP NetWeaver, que permite a um invasor remoto executar códigos maliciosos (RCE - Remote Code Execution) no sistema vulnerável. A SAP, ciente do risco, liberou uma correção para esta vulnerabilidade em abril deste ano.

O 'Auto-Color' foi documentado pela primeira vez em fevereiro de 2025 pela Unidade 42 da Palo Alto Networks. Ele funciona como um Trojan de Acesso Remoto (RAT), concedendo aos hackers controle total sobre os sistemas Linux comprometidos. Investigações anteriores revelaram que este mesmo malware foi utilizado em ataques contra universidades e organizações governamentais na América do Norte e na Ásia entre novembro e dezembro de 2024.

Uma das características mais notáveis do Auto-Color é sua capacidade de evasão. O malware foi projetado para ocultar seu comportamento malicioso caso não consiga se conectar ao seu servidor de Comando e Controle (C2). Essa tática faz com que ele pareça um software benigno para ferramentas de segurança automatizadas, dificultando sua detecção.

Suas funcionalidades são extensas e perigosas, incluindo:

• Criação de um shell reverso para controle direto do sistema.

• Criação, download e execução de outros arquivos maliciosos.

• Configuração do proxy do sistema para redirecionar o tráfego de rede.

• Manipulação global de payloads.

• Coleta de informações detalhadas do sistema (profiling).

• Um mecanismo de autodestruição ("kill switch") que remove todos os vestígios do malware quando acionado.

O incidente detectado pela Darktrace ocorreu em 28 de abril, quando a plataforma alertou sobre o download de um binário ELF suspeito em uma máquina exposta à internet, que provavelmente executava o SAP NetWeaver. No entanto, os sinais iniciais de varredura na rede da vítima começaram pelo menos três dias antes, indicando uma fase de reconhecimento por parte do invasor.

"A vulnerabilidade CVE-2025-31324 foi explorada neste caso para lançar um ataque de segundo estágio, envolvendo o comprometimento do dispositivo exposto à internet e o download de um arquivo ELF que é o malware Auto-Color," afirmou a empresa.

A análise final da Darktrace ressalta a habilidade técnica dos hackers. "Desde a invasão inicial até a falha no estabelecimento da comunicação C2, o malware Auto-Color demonstrou um claro entendimento do funcionamento interno do Linux e uma contenção calculada, projetada para minimizar a exposição e reduzir o risco de detecção."

Via - THN