ABD'li Bir Şirkete Yönelik Otomatik Renklendirme Kötü Amaçlı Yazılım Saldırısında SAP NetWeaver Güvenlik Açığı Kullanıldı

Siber güvenlik alanında önde gelen araştırma şirketlerinden Darktrace, tehdit aktörlerinin kritik bir SAP NetWeaver güvenlik açığını (CVE-2025-31324) istismar ederek Auto-Color adlı arka kapı kötü amaçlı yazılımını dağıttığına dair ilk belgelenmiş örneği tespit etti.

SAP SE tarafından 24 Nisan 2025'te açıklanan ve CVSS puanı 10 olarak belirlenen bu kusur, saldırganların kötü amaçlı dosyaları SAP NetWeaver uygulama sunucusuna yüklemesine olanak tanıdığı ve potansiyel olarak uzaktan kod çalıştırılmasına ve sistemin tamamının tehlikeye atılmasına yol açtığı için özellikle tehlikelidir.

İlk olarak Kasım 2024'te görülen ve daha önce ABD ve Asya'daki sistemleri hedef aldığı gözlemlenen Otomatik Renk Arka Kapısı, çalıştırma sonrasında adını " /var/log/cross/auto-color " olarak değiştirebilme özelliğinden dolayı bu adı alan bir Uzaktan Erişim Truva Atı'dır (RAT). Öncelikle ABD ve Asya'daki üniversitelerde ve devlet kurumlarında bulunan Linux sistemlerini hedef alır.

Auto-Color, ld.so.preload gibi yerleşik Linux özelliklerini kullanarak kalıcı sistem ihlalleri için oldukça kaçamak bir yöntem kullanıyor. Statik olarak derlenmiş ve şifrelenmiş komut ve kontrol (C2) yapılandırmaları sayesinde her örnek benzersiz. Yeni bulgulardan biri de kötü amaçlı yazılımın bastırma taktiği: C2 bağlantıları başarısız olduğunda "uykudaymış gibi davranabiliyor", analistlere zararsız görünüp analiz sırasında tüm yeteneklerini gizleyebiliyor.

Bu kritik araştırma , Salı günü yayınlanmasından önce Hackread.com ile paylaşıldı. Buna göre, Darktrace Güvenlik Operasyon Merkezi (SOC), Nisan 2025'te ABD merkezli bir kimya şirketinin ağına yönelik çok aşamalı bir Otomatik Renk saldırısı tespit etti.

Araştırmacılara göre, CVE-2025-31324 için ilk tarama 25 Nisan'da gözlemlendi. Aktif istismar, 27 Nisan'da 91.193.19.109 IP adresinden gelen bir bağlantı ve istismarı işaret eden bir ZIP dosyası indirilmesiyle başladı.

Tehlikeye atılan cihaz, 27 ve 28 Nisan'da Out-of-Band Application Security Testing (OAST) etki alanlarına yönelik şüpheli DNS istekleri yaptı; bu, güvenlik açığı testi veya veri tünellemesi taktiğiydi.

Yaklaşık on saat sonra, 27 Nisan'da bir kabuk betiği (config.sh) indirildi. Cihaz daha sonra, bir C2 platformu olan Supershell'e bağlı bir uç nokta olan 47.97.42.177'ye bağlandı. 12 saatten kısa bir süre sonra, 28 Nisan'da, Auto-Color ELF kötü amaçlı yazılım dosyası 146.70.41.178'den indirildi. Darktrace'in araştırması, bunun SAP NetWeaver istismarının Auto-Color kötü amaçlı yazılımıyla ilk kez eşleştiğini doğruladı.

Darktrace'in yapay zeka destekli Otonom Tepki yeteneği, 28 Nisan'dan itibaren etkilenen cihazda 30 dakika boyunca bir "yaşam düzeni" uygulayarak hızla müdahale etti. Bu, normal iş operasyonlarına izin verirken daha fazla kötü amaçlı eylemin önlenmesini sağladı. Birden fazla uyarı tetiklendi ve Darktrace'in Yönetilen Algılama ve Müdahale (MDR) hizmeti tarafından soruşturma başlatıldı.

Analistler, Otonom Müdahale eylemlerini 24 saat daha uzatarak müşterinin güvenlik ekibine soruşturma ve düzeltme için kritik bir zaman kazandırdı.

Bu olay, acil ifşalara rağmen CVE-2025-31324 gibi güvenlik açıklarının aktif olarak istismar edilmeye devam ettiğini ve bu durumun daha kalıcı tehditlere yol açtığını ortaya koyuyor. Darktrace'in zamanında tespiti ve otonom müdahalesi, tehdidin kontrol altına alınmasını sağlayarak tırmanmasını önledi ve yapay zekanın karmaşık, çok aşamalı saldırıları engellemedeki gücünü kanıtladı.

Qualys Tehdit Araştırma Birimi Güvenlik Araştırma Yöneticisi Mayuresh Dani , CVE-2025-31324'ün ifşa edilmesine rağmen aktif olarak istismar edilmeye devam ettiğini ve bu nedenle kuruluşların derhal harekete geçmesi gerektiğini söyledi.

Mayuresh, "SAP NetWeaver sistemlerine CVE-2025-31324'e karşı derhal yama uygulayın, ancak herhangi bir nedenle yamayı yükleyemiyorlarsa, derhal bu SAP NetWeaver kurulumlarını internette ifşa etmeyi bırakmalı, bunları izole etmeli ve /developmentserver/metadatauploader uç noktasını engellemeli ve ayrıca iletimden önce her ağ işlemini ihlal varsayan ve doğrulayan sıfır güven mimarisini dağıtmalıdırlar." diye vurguladı.