Auto-Color Backdoor
Lors d'une cyberattaque sophistiquée visant une entreprise chimique américaine en avril 2025, des acteurs malveillants ont exploité une vulnérabilité critique désormais corrigée de SAP NetWeaver pour déployer la porte dérobée Auto-Color. Cet incident met en évidence les risques persistants posés par les systèmes non corrigés et les logiciels malveillants avancés ciblant des cibles de grande valeur.
Table des matières
Exploitation de la faille CVE-2025-31324 : une passerelle vers l’exécution de code à distance
Au cœur de l'attaque se trouve la faille CVE-2025-31324, une vulnérabilité critique de téléchargement de fichiers non authentifiés dans SAP NetWeaver. Cette faille permet l'exécution de code à distance (RCE) et a été corrigée par SAP en avril 2025. Malgré ce correctif, les pirates ont exploité des systèmes non corrigés pour compromettre un appareil exposé publiquement. L'attaque s'est déroulée sur trois jours et a impliqué des téléchargements de fichiers malveillants et des communications avec l'infrastructure liée au malware Auto-Color.
Auto-Color : une porte dérobée furtive et sophistiquée
Analysé pour la première fois en février 2025, Auto-Color fonctionne de manière similaire à un cheval de Troie d'accès à distance (RAT) conçu pour infecter les environnements Linux. Il a déjà été observé lors d'attaques ciblant des universités et des entités gouvernementales en Amérique du Nord et en Asie entre novembre et décembre 2024.
L'une des caractéristiques les plus révélatrices d'Auto-Color est sa capacité à dissimuler ses comportements malveillants lorsqu'il ne peut pas atteindre son serveur de commande et de contrôle (C2). Cette fonctionnalité témoigne d'un haut niveau de sécurité opérationnelle et d'une volonté d'éviter toute détection lors de la réponse aux incidents ou de l'analyse en sandbox.
Principales fonctionnalités d’Auto-Color
Auto-Color propose une suite complète de fonctionnalités anti-malveillance conçues pour assurer un contrôle approfondi des systèmes compromis. Parmi celles-ci :
- Capacités du shell inversé
- Création et exécution de fichiers
- Configuration du proxy système
- Modification de la charge utile globale
- Profilage du système
- Auto-suppression via kill switch
Ces fonctionnalités permettent aux attaquants non seulement de maintenir un accès persistant, mais également de s’adapter de manière dynamique et d’effacer les preuves lorsque cela est nécessaire.
Chronologie de l’attaque : une infiltration calculée
Les experts en sécurité ont identifié l'intrusion le 28 avril, lorsqu'un binaire ELF suspect a été détecté sur un serveur connecté à Internet, probablement équipé de SAP NetWeaver. Cependant, les premiers signes de reconnaissance et d'analyse auraient commencé au moins trois jours plus tôt, ce qui témoigne d'une planification minutieuse.
Les attaquants ont utilisé la vulnérabilité CVE-2025-31324 pour déployer une charge utile secondaire, un binaire ELF qui s'est avéré être la porte dérobée Auto-Color. Une fois déployé, le malware a démontré une compréhension approfondie des systèmes Linux et a exécuté des actions avec une précision mesurée, minimisant ainsi son empreinte pour éviter toute détection précoce.
Un signal d’alarme pour la sécurité des entreprises
Cet incident souligne l'importance d'appliquer rapidement les correctifs et de surveiller en permanence les infrastructures critiques. Des logiciels malveillants sophistiqués comme Auto-Color, associés aux vulnérabilités des plateformes d'entreprise comme SAP NetWeaver, représentent un risque important pour les organisations de tous secteurs. Les équipes informatiques doivent prioriser la gestion des vulnérabilités et se préparer à détecter et à contrer les menaces furtives et persistantes.
