Darktrace phát hiện ra cuộc tấn công trong quá trình ứng cứu sự cố diễn ra vào tháng 4/2025, khi cuộc điều tra cho thấy phiên bản mới của phần mềm độc hại Auto-Color đã được cải tiến để bao gồm các chiến thuật trốn tránh nâng cao bổ sung. Darktrace báo cáo rằng cuộc tấn công bắt đầu vào ngày 25/4, nhưng hoạt động khai thác diễn ra hai ngày sau đó, khi các tin tặc nhúng tệp ELF (tệp thực thi Linux) vào máy mục tiêu.
Auto-Color lần đầu tiên được các nhà nghiên cứu hãng bảo mật Palo Alto Networks (Mỹ) ghi nhận vào tháng 02/2025, họ nhấn mạnh rất khó để loại bỏ và vô hiệu hóa phần mềm độc hại này sau khi nó xâm nhập trên máy tính nạn nhân.
Đáng lưu ý, Auto-Color bao gồm các tính năng nổi bật như thực thi lệnh tùy ý, chỉnh sửa tệp, reverse shell để truy cập từ xa, chuyển tiếp lưu lượng proxy và cập nhật cấu hình động. Bên cạnh đó, nó cũng có một mô-đun rootkit giúp ẩn các hoạt động độc hại nhằm trốn tránh sự phát hiện bởi các công cụ bảo mật.
Theo nghiên cứu mới nhất của Darktrace, những kẻ tấn công đứng sau Auto-Color đã khai thác CVE-2025-31324, một lỗ hổng bảo mật nghiêm trọng trong SAP NetWeaver, cho phép kẻ tấn công chưa xác thực tải lên các tệp nhị phân độc hại để thực thi mã từ xa (RCE).
Dòng thời gian của cuộc tấn công được quan sát
Thực tế, SAP đã khắc phục lỗ hổng vào tháng 4/2025, tuy nhiên ngay sau đó các hãng bảo mật như ReliaQuest, Onapsis và watchTowr báo cáo phát hiện các nỗ lực khai thác đang diễn ra. Đến tháng 5, các nhóm mã độc tống tiền và tin tặc nhà nước Trung Quốc đã tham gia vào hoạt động khai thác, trong khi công ty an ninh mạng Mandiant (Mỹ) báo cáo đã phát hiện bằng chứng về việc khai thác lỗ hổng zero-day đối với CVE-2025-31324 kể từ giữa tháng 3/2025.
Ngoài vectơ truy cập ban đầu, các nhà nghiên cứu của Darktrace còn phát hiện ra một biện pháp trốn tránh được triển khai trên phiên bản mới nhất của Auto-Color. Theo đó, nếu phần mềm độc hại không thể kết nối với máy chủ điều khiển và ra lệnh (C2) được mã hóa cứng, nó sẽ ngăn chặn hầu hết các hành vi độc hại. Điều này áp dụng cho các môi trường sandbox và air-gapped, nơi phần mềm độc hại có vẻ vô hại đối với các nhà phân tích.
Darktrace giải thích: “Nếu máy chủ C2 không thể truy cập được, Auto-Color sẽ dừng lại và không triển khai toàn bộ chức năng độc hại, khiến các nhà phân tích rất khó để phát hiện hành vi của phần mềm độc hại. Hành vi này ngăn chặn các nỗ lực kỹ thuật dịch ngược nhằm phát hiện các payload, cơ chế thu thập thông tin xác thực hoặc các kỹ thuật duy trì”.
Vì phần mềm độc hại Auto-Color hiện đang khai thác CVE-2025-31324, các nhà nghiên cứu khuyến cáo quản trị viên nên triển khai các bản cập nhật bảo mật, đồng thời tham khảo các biện pháp giảm thiểu được cung cấp trong bản tin SAP dành riêng cho khách hàng tại đây.