ผู้โจมตีใช้ประโยชน์จากช่องโหว่ใน SAP NetWeaver ที่มีความรุนแรงระดับ Critical หมายเลข CVE-2025-31324 เพื่อทำการติดตั้งมัลแวร์ Auto-Color บน Linux ในการโจมตีทางไซเบอร์ต่อบริษัทเคมีแห่งหนึ่งในสหรัฐอเมริกา
บริษัทด้านความปลอดภัยไซเบอร์ Darktrace ตรวจพบการโจมตีนี้ระหว่างการตอบสนองต่อเหตุการณ์ในเดือนเมษายน 2025 โดยการตรวจสอบพบว่า มัลแวร์ Auto-Color ได้มีการพัฒนาให้สามารถหลบเลี่ยงการตรวจจับได้ดีมากขึ้น
Darktrace รายงานว่า การโจมตีเริ่มต้นเมื่อวันที่ 25 เมษายน แต่การโจมตีที่เกิดผลกระทบจริงเกิดขึ้นในสองวันต่อมา โดยมีการส่งไฟล์ ELF (Linux executable) ไปยังเครื่องเป้าหมาย
มัลแวร์ Auto-Color ถูกระบุ และบันทึกไว้ครั้งแรกโดยทีมนักวิจัยจาก Unit 42 ของ Palo Alto Networks ในเดือนกุมภาพันธ์ 2025 ซึ่งได้เน้นถึงความสามารถในการหลบเลี่ยงการตรวจจับ และความยากในการกำจัดมัลแวร์ตัวนี้ออกจากเครื่องเมื่อมันฝังตัวได้สำเร็จแล้ว
Backdoor จะปรับเปลี่ยนพฤติกรรมตามระดับสิทธิ์ของผู้ใช้งานที่มันทำงานอยู่ และใช้เทคนิค ‘ld.so.preload’ เพื่อสร้างการแฝงตัว (persistence) แบบลับ ๆ ผ่านการ shared object injection
Auto-Color มีความสามารถหลายอย่าง เช่น การรันคำสั่งตามต้องการ, แก้ไขไฟล์, เปิด reverse shell เพื่อให้สามารถเข้าควบคุมระบบจากระยะไกลได้เต็มรูปแบบ, ส่งต่อ Traffic ผ่าน proxy และอัปเดตการตั้งค่าแบบไดนามิก นอกจากนี้ยังมีโมดูล rootkit ที่ช่วยซ่อนการดำเนินการที่เป็นอันตรายจากเครื่องมือรักษาความปลอดภัย
ทีม Unit 42 ไม่สามารถระบุได้ว่าผู้โจมตีใช้วิธีใดในการเริ่มต้นติดตั้งมัลแวร์จากการโจมตีที่พบ ซึ่งมีเป้าหมายไปที่มหาวิทยาลัย และองค์กรภาครัฐในอเมริกาเหนือ และเอเชีย
จากการวิจัยล่าสุดของ Darktrace กลุ่มผู้โจมตีที่อยู่เบื้องหลัง Auto-Color ได้ใช้ประโยชน์จากช่องโหว่ CVE-2025-31324 ซึ่งเป็นช่องโหว่ที่มีความรุนแรงระดับ Critical ใน SAP NetWeaver ที่ทำให้ผู้โจมตีที่ไม่ต้องผ่านการยืนยันตัวตนสามารถอัปโหลดไฟล์ไบนารีที่เป็นอันตรายเข้าไปยังระบบเพื่อให้สามารถรันคำสั่งจากระยะไกลได้
SAP ได้ออกแพตช์แก้ไขช่องโหว่นี้ในเดือนเมษายน 2025 ขณะที่บริษัทด้านความปลอดภัยอย่าง ReliaQuest, Onapsis และ watchTowr รายงานว่ามีความพยายามในการโจมตีผ่านช่องโหว่นี้เกิดขึ้นอย่างต่อเนื่อง และขยายตัวมากขึ้นภายในเวลาไม่กี่วันหลังจากนั้น
ภายในเดือนพฤษภาคม กลุ่มแรนซัมแวร์ และผู้โจมตีที่เชื่อมโยงกับประเทศจีนก็เริ่มเข้าร่วมในการโจมตีช่องโหว่นี้ด้วย ขณะที่ Mandiant รายงานว่าพบหลักฐานว่าช่องโหว่ CVE-2025-31324 ถูกใช้โจมตีแบบ zero-day มาตั้งแต่ช่วงกลางเดือนมีนาคม 2025
นอกเหนือจาก initial access vector แล้ว Darktrace ยังพบเทคนิคใหม่ในการหลบเลี่ยงการตรวจจับที่ถูกเพิ่มเข้ามาในเวอร์ชันล่าสุดของมัลแวร์ Auto-Color อีกด้วย
Darktrace ระบุว่า หากมัลแวร์ Auto-Color ไม่สามารถเชื่อมต่อกับเซิร์ฟเวอร์ Command-and-Control (C2) ที่ถูกฝังไว้ได้ ตัวมันเองจะหยุดพฤติกรรมที่เป็นอันตรายส่วนใหญ่ ซึ่งพฤติกรรมนี้จะเกิดขึ้นในสภาพแวดล้อมแบบ sandbox หรือแบบ air-gapped ทำให้มัลแวร์ดูเหมือนไม่เป็นอันตรายต่อนักวิเคราะห์
พฤติกรรมนี้ช่วยป้องกันกระบวนการ reverse engineering โดยจะมีการเปิดเผย payloads, กลไกการเก็บข้อมูล credential หรือเทคนิคการ persistence
สิ่งเหล่านี้จะถูกเพิ่มเข้ามาเพิ่มเติมจากสิ่งที่ Unit 42 ได้บันทึกไว้ก่อนหน้านี้ เช่น การดำเนินโดยอิงจากสิทธิ์, การใช้ชื่อไฟล์ที่ไม่เป็นอันตราย, การเชื่อมต่อฟังก์ชัน libc, การใช้ logs directory ปลอม, การเชื่อมต่อ C2 ผ่าน TLS, unique hashes สำหรับแต่ละตัวอย่าง และการมีอยู่ของ "kill switch."
เนื่องจาก Auto-Color กำลังใช้ประโยชน์จาก CVE-2025-31324 ในการโจมตี ผู้ดูแลระบบจึงควรรีบดำเนินการติดตั้งอัปเดตด้านความปลอดภัย หรือใช้วิธีการลดผลกระทบตามที่ระบุไว้ในเอกสารแจ้งเตือนของ SAP สำหรับลูกค้าโดยเฉพาะ
ที่มา : bleepingcomputer
You must be logged in to post a comment.