كشف باحثون في الأمن السيبراني عن حملة خبيثة جديدة تستهدف أنظمة Linux وتستغل ثغرة حرجة في نظام SAP. البرمجية الخبيثة، المعروفة باسم Auto-Color، استُخدمت في هجوم موجه ضد شركة أمريكية تعمل في قطاع الكيماويات في أبريل 2025.
وبحسب بيان أصدرته شركة “دارك تريس” في 29 يوليو، استغل المهاجمون الثغرة CVE-2025-31324 في منصة SAP NetWeaver، والتي تتيح رفع ملفات عن بُعد واختراق النظام. ورغم إفصاح SAP عن الثغرة في 24 أبريل، سارع المهاجمون إلى تسليحها.
قال جايسون سوروكو، كبير الباحثين في “سيكتيغو”: “على المؤسسات التي تستخدم SAP NetWeaver أن تدرك أن ثغرة Visual Composer Metadata Uploader باتت مستغلة فعلياً في البيئات الواقعية، ويستخدمها المهاجمون لزرع البرمجية Auto-Color في أنظمة Linux”.
بدأ الهجوم في 27 أبريل من خلال ملف ZIP ضار تم تحميله عبر رابط خبيث، حيث رصدت دارك تريس نشاطات مشبوهة كالاتصال عبر نفق DNS وتنزيلات من بنى تحتية ضارة. وفي غضون 24 ساعة، تم تحميل البرمجية عبر ملف ELF من خادم بعيد.
وأوضح فرانكي سكلافاني من “ديب واتش”: “تُعد هذه أول حالة موثقة لاستغلال الثغرة الحرجة في SAP NetWeaver لنشر برمجية Auto-Color، وهي تمثل تصعيداً نوعياً في تعقيد الهجمات متعددة المراحل، ما يتطلب استجابة فورية من المؤسسات”.
تعمل Auto-Color كباب خلفي (RAT)، وتتكيف مع مستوى صلاحيات النظام. عند تشغيلها بصلاحيات الجذر، تقوم بتثبيت مكتبة libcext.so.2 المموهة باستخدام تقنية preload، وهي وسيلة متقدمة للثبات في أنظمة Linux.
أشار سوروكو إلى أن “الاستغلال لا يتطلب مصادقة، ويسمح للمهاجمين برفع سكربتات مساعدة تقوم بجلب حمولة ELF تُعيد تسمية نفسها إلى /var/log/cross/auto-color وتُضاف إلى ملف ld.so.preload”.
البرمجية تُموّه نفسها كسجل للنظام وتؤسس اتصالاً خارجياً عبر TLS مع خادم تحكم وتحكم (C2) مُحدد مسبقاً. وإن تعذّر الوصول إلى الخادم، تتوقف البرمجية عن العمل لتبدو في وضع خامل وتتجنب الكشف داخل بيئات التحليل المعزولة.
قال جوناثان ستروس، محلل أمان SAP في “باثلوك”: “هذه الثغرة تُعد جرس إنذار لكل من يشغل SAP. البحث المتعمق من دارك تريس يُظهر كيف يمكن للمهاجمين استغلال الثغرات المعروفة للتقدم في سلسلة القتل السيبرانية”.
وتشمل خصائص Auto-Color التقنية:
- تنفيذ مسارات تعتمد على مستوى الصلاحيات
- الثبات عبر ملف ld.so.preload
- إعداد ثابت مشفّر مضمّن وقت الترجمة
- أوامر تحكم C2 تشمل قشرة عكسية وتنفيذ ملفات وأوامر إنهاء
صرّحت دارك تريس أن ميزة “الاستجابة الذاتية” لديها قامت بحظر الاتصال الصادر مع خوادم التحكم الخاصة بالبرمجية، مما حال دون تقدمها بعد التثبيت الأولي.
اختتم ستروس قائلاً: “هذا مثال واضح على ضرورة دمج أمن SAP ضمن عمليات الأمن السيبراني الأوسع. فرق SAP التقليدية لا تملك الخبرة الكافية للتعامل مع مثل هذه التهديدات، مما يتطلب تعاوناً بين فرق الأمن وتقنية المعلومات وفرق تشغيل SAP”.
