Il malware Auto-Color distribuito grazie ad una vulnerabilità di SAP NetWeaver

Darktrace ha registrato un attacco mirato a un’azienda chimica americana, in cui gli aggressori hanno sfruttato una vulnerabilità critica nella piattaforma SAP NetWeaver. La minaccia, registrata come CVE-2025-31324, consisteva in un errore nel meccanismo di caricamento dei file che consentiva agli aggressori di eseguire codice arbitrario sul server senza autenticazione. Sebbene SAP abbia rilasciato un aggiornamento ad aprile, l’incidente si è verificato in un momento in cui la correzione non era ancora stata installata.

L’attacco si è sviluppato nell’arco di tre giorni. I primi segnali sono stati un’attività simile a una scansione di ricognizione di dispositivi accessibili a Internet, presumibilmente dotati di SAP NetWeaver. In seguito si è scoperto che gli aggressori avevano sfruttato la vulnerabilità per scaricare un file eseguibile dannoso in formato ELF, corrispondente a una famiglia di malware chiamata Auto-Color.

Questo malware è stato descritto per la prima volta nel febbraio 2025 dall’Unità 42 di Palo Alto Networks. All’epoca, attaccava università e istituzioni governative in Nord America e Asia. Auto-Color opera come un trojan di accesso remoto, dando agli aggressori il pieno controllo sugli host Linux infetti. Le sue funzionalità includono l’esecuzione di shell, la creazione e l’esecuzione di file, la manipolazione delle impostazioni proxy di sistema, la gestione del carico, la raccolta di informazioni di sistema e la capacità di autodistruggersi completamente a comando.

Avvio delle iscrizioni al corso Cyber Offensive Fundamentals Vuoi smettere di guardare tutorial e iniziare a capire davvero come funziona la sicurezza informatica? La base della sicurezza informatica, al di là di norme e tecnologie, ha sempre un unico obiettivo: fermare gli attacchi dei criminali informatici. Pertanto "Pensa come un attaccante, agisci come un difensore". Ti porteremo nel mondo dell'ethical hacking e del penetration test come nessuno ha mai fatto prima. Per informazioni potete accedere alla pagina del corso oppure contattarci tramite WhatsApp al numero 379 163 8765 oppure scrivendoci alla casella di posta [email protected]. Supporta Red Hot Cyber attraverso:  L'acquisto del fumetto sul Cybersecurity Awareness Ascoltando i nostri Podcast Seguendo RHC su WhatsApp Seguendo RHC su Telegram Scarica gratuitamente “Byte The Silence”, il fumetto sul Cyberbullismo di Red Hot Cyber Se ti piacciono le novità e gli articoli riportati su di Red Hot Cyber, iscriviti immediatamente alla newsletter settimanale per non perdere nessun articolo. La newsletter generalmente viene inviata ai nostri lettori ad inizio settimana, indicativamente di lunedì.

Una delle caratteristiche principali di Auto-Color è il suo comportamento volto a nascondere la propria attività. Se non viene stabilita una connessione al server di comando e controllo, il malware rallenta il suo comportamento o addirittura interrompe del tutto la sua attività, imitando un file innocuo. Questo gli consente di eludere i sistemi di rilevamento delle minacce e di destare meno sospetti nella fase iniziale di penetrazione.

Durante l’incidente di aprile, Auto-Color non è riuscito a stabilire una connessione permanente con l’infrastruttura C&C esterna, ma anche in questo stato ha mostrato un comportamento complesso, dimostrando una profonda comprensione della logica interna di Linux e cautela nelle sue azioni. Secondo gli analisti, gli autori di questo malware hanno deliberatamente ridotto al minimo i rischi di rilevamento disabilitando le funzioni attive in caso di connessione non riuscita al server C&C.

L’attacco e lo sfruttamento della vulnerabilità Zero-Day in SAP NetWeaver evidenziano il crescente interesse degli aggressori per le piattaforme aziendali. Non è la prima volta che un software commerciale ampiamente utilizzato diventa un punto di accesso per un attacco mirato a più fasi. L’incidente dimostra anche la rapidità con cui i gruppi reagiscono dopo la pubblicazione delle patch: sono trascorsi solo pochi giorni tra il rilascio dell’aggiornamento e l’utilizzo dell’exploit.

Ti è piaciuto questo articolo? Ne stiamo discutendo nella nostra Community su LinkedIn, Facebook e Instagram. Seguici anche su Google News, per ricevere aggiornamenti quotidiani sulla sicurezza informatica o Scrivici se desideri segnalarci notizie, approfondimenti o contributi da pubblicare.

Redazione

La redazione di Red Hot Cyber è composta da professionisti del settore IT e della sicurezza informatica, affiancati da una rete di fonti qualificate che operano anche in forma riservata. Il team lavora quotidianamente nell’analisi, verifica e pubblicazione di notizie, approfondimenti e segnalazioni su cybersecurity, tecnologia e minacce digitali, con particolare attenzione all’accuratezza delle informazioni e alla tutela delle fonti. Le informazioni pubblicate derivano da attività di ricerca diretta, esperienza sul campo e contributi provenienti da contesti operativi nazionali e internazionali.