Darktrace ha registrato un attacco mirato a un’azienda chimica americana, in cui gli aggressori hanno sfruttato una vulnerabilità critica nella piattaforma SAP NetWeaver. La minaccia, registrata come CVE-2025-31324, consisteva in un errore nel meccanismo di caricamento dei file che consentiva agli aggressori di eseguire codice arbitrario sul server senza autenticazione. Sebbene SAP abbia rilasciato un aggiornamento ad aprile, l’incidente si è verificato in un momento in cui la correzione non era ancora stata installata.
L’attacco si è sviluppato nell’arco di tre giorni. I primi segnali sono stati un’attività simile a una scansione di ricognizione di dispositivi accessibili a Internet, presumibilmente dotati di SAP NetWeaver. In seguito si è scoperto che gli aggressori avevano sfruttato la vulnerabilità per scaricare un file eseguibile dannoso in formato ELF, corrispondente a una famiglia di malware chiamata Auto-Color.
Questo malware è stato descritto per la prima volta nel febbraio 2025 dall’Unità 42 di Palo Alto Networks. All’epoca, attaccava università e istituzioni governative in Nord America e Asia. Auto-Color opera come un trojan di accesso remoto, dando agli aggressori il pieno controllo sugli host Linux infetti. Le sue funzionalità includono l’esecuzione di shell, la creazione e l’esecuzione di file, la manipolazione delle impostazioni proxy di sistema, la gestione del carico, la raccolta di informazioni di sistema e la capacità di autodistruggersi completamente a comando.
 Christmas Sale -40% 𝗖𝗵𝗿𝗶𝘀𝘁𝗺𝗮𝘀 𝗦𝗮𝗹𝗲! Sconto del 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮 del Corso "Dark Web & Cyber Threat Intelligence" in modalità E-Learning sulla nostra Academy!🚀
Fino al 𝟯𝟭 𝗱𝗶 𝗗𝗶𝗰𝗲𝗺𝗯𝗿𝗲, prezzi pazzi alla Red Hot Cyber Academy. 𝗧𝘂𝘁𝘁𝗶 𝗶 𝗰𝗼𝗿𝘀𝗶 𝘀𝗰𝗼𝗻𝘁𝗮𝘁𝗶 𝗱𝗲𝗹 𝟰𝟬% 𝘀𝘂𝗹 𝗽𝗿𝗲𝘇𝘇𝗼 𝗱𝗶 𝗰𝗼𝗽𝗲𝗿𝘁𝗶𝗻𝗮.
Per beneficiare della promo sconto Christmas Sale, scrivici ad [email protected] o contattaci su Whatsapp al numero di telefono: 379 163 8765.
Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì. |
Una delle caratteristiche principali di Auto-Color è il suo comportamento volto a nascondere la propria attività. Se non viene stabilita una connessione al server di comando e controllo, il malware rallenta il suo comportamento o addirittura interrompe del tutto la sua attività, imitando un file innocuo. Questo gli consente di eludere i sistemi di rilevamento delle minacce e di destare meno sospetti nella fase iniziale di penetrazione.
Durante l’incidente di aprile, Auto-Color non è riuscito a stabilire una connessione permanente con l’infrastruttura C&C esterna, ma anche in questo stato ha mostrato un comportamento complesso, dimostrando una profonda comprensione della logica interna di Linux e cautela nelle sue azioni. Secondo gli analisti, gli autori di questo malware hanno deliberatamente ridotto al minimo i rischi di rilevamento disabilitando le funzioni attive in caso di connessione non riuscita al server C&C.
L’attacco e lo sfruttamento della vulnerabilità Zero-Day in SAP NetWeaver evidenziano il crescente interesse degli aggressori per le piattaforme aziendali. Non è la prima volta che un software commerciale ampiamente utilizzato diventa un punto di accesso per un attacco mirato a più fasi. L’incidente dimostra anche la rapidità con cui i gruppi reagiscono dopo la pubblicazione delle patch: sono trascorsi solo pochi giorni tra il rilascio dell’aggiornamento e l’utilizzo dell’exploit.
Seguici su Google News, LinkedIn, Facebook e Instagram per ricevere aggiornamenti quotidiani sulla sicurezza informatica. Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.
Cyberpolitica
Hacking
Innovazione
Cultura
Cybercrime