رصد باحثون أمنيون استغلال جهات تهديد لثغرة حرجة في منصة SAP NetWeaver، كانت قد تم تصحيحها مؤخراً، وذلك بهدف زرع باب خلفي يُعرف باسم Auto-Color ضمن هجوم استهدف شركة أميركية تعمل في قطاع الصناعات الكيميائية خلال أبريل 2025.
وذكرت شركة Darktrace في تقرير شاركته مع The Hacker News: “خلال ثلاثة أيام، تمكن المهاجم من الوصول إلى شبكة العميل، وحاول تحميل عدة ملفات مشبوهة، كما تواصل مع بنية تحتية خبيثة مرتبطة ببرمجية Auto-Color“.
ثغرة CVE-2025-31324 وسيناريو الهجوم
تتمثل الثغرة الأمنية المستغلة في CVE-2025-31324، وهي ثغرة خطيرة من نوع تحميل ملفات غير مصادق عليه في منصة SAP NetWeaver، ما يسمح بتنفيذ تعليمات برمجية عن بُعد. وقد قامت شركة SAP بإصلاحها في أبريل الماضي.
الهجوم الذي رصدته Darktrace وقع في 28 أبريل، عندما أُطلقت تنبيهات إثر تحميل ملف تنفيذي مشبوه من نوع ELF على جهاز متصل بالإنترنت يُرجّح أنه يشغّل منصة SAP. وتشير المؤشرات إلى أن نشاط الفحص الاستطلاعي بدأ قبل الحادثة بثلاثة أيام على الأقل.
وقالت الشركة: “استُغلت ثغرة CVE-2025-31324 في هذه الحالة لتنفيذ هجوم من المرحلة الثانية، شمل اختراق الجهاز المواجه للإنترنت وتحميل ملف ELF الذي يمثل برمجية Auto-Color الخبيثة”.
وأضافت: “منذ لحظة الاختراق وحتى فشل الاتصال بخادم القيادة والتحكم، أظهرت برمجية Auto-Color فهماً عميقاً لبنية أنظمة Linux، مع انضباط محسوب يهدف إلى تقليل الانكشاف وتقليص احتمالات الكشف”.
برمجية Auto-Color: وظائف متقدمة وتقنيات تمويه
تم توثيق Auto-Color لأول مرة من قبل وحدة Unit 42 التابعة لشركة Palo Alto Networks في فبراير 2025، وهي تعمل كحصان طروادة للوصول عن بُعد إلى أنظمة Linux المصابة. وقد تم رصد استخدامها في هجمات استهدفت جامعات وهيئات حكومية في أميركا الشمالية وآسيا خلال الفترة من نوفمبر إلى ديسمبر 2024.
وتتميّز البرمجية بقدرتها على إخفاء نشاطها الخبيث في حال فشل الاتصال بخادم القيادة والتحكم، في محاولة لتضليل أدوات الرصد وجعلها تبدو كأنها غير ضارة.
تشمل قدرات Auto-Color تقديم واجهة تحكم عكسي (reverse shell)، وإنشاء وتنفيذ الملفات، وتعديل إعدادات البروكسي، والتلاعب بالحِملات على مستوى النظام، وتحليل البنية الداخلية للنظام، بل وحتى إزالة نفسها تلقائياً عند تنشيط “مفتاح القتل” (kill switch).
