Vào tháng 4/2025, một chiến dịch tấn công mạng tinh vi đã bị phát hiện khi đang nhắm vào một công ty hóa chất có trụ sở tại Hoa Kỳ. Kẻ tấn công đã lợi dụng lỗ hổng nghiêm trọng trong phần mềm SAP NetWeaver để cài đặt mã độc Linux Auto-Color.
Auto-Color là một mã độc dạng backdoor trên nền tảng Linux. Mã độc này có khả năng:
Kẻ tấn công đã lợi dụng lỗ hổng nghiêm trọng CVE-2025-31324 trong SAP NetWeaver để triển khai Auto-Color. Lỗ hổng này cho phép kẻ tấn công không cần xác thực (unauthenticated) tải lên mã độc thực thi và chiếm quyền điều khiển hệ thống từ xa (RCE). SAP đã phát hành bản vá trong tháng 4/2025, tuy nhiên nhiều hệ thống vẫn chưa cập nhật kịp thời.
Các chuyên gia Darktrace phát hiện vụ việc trong quá trình điều tra một sự cố bảo mật vào cuối tháng 4/2025. Mã độc Auto-Color được xác định đã xâm nhập hệ thống vào ngày 27/4, hai ngày sau khi cuộc tấn công bắt đầu. Một tập tin thực thi dạng ELF (Linux Executable) đã được cài lên hệ thống mục tiêu.
(Darktrace là một công ty an ninh mạng hàng đầu có trụ sở chính tại Vương quốc Anh, nổi tiếng với việc ứng dụng trí tuệ nhân tạo (AI) và machine learning để phát hiện và phản ứng với các mối đe dọa mạng trong thời gian thực).
Ở phiên bản mới, Auto-Color đã được cải tiến để vượt qua cả môi trường phân tích sandbox hoặc hệ thống air-gapped (cô lập mạng). Nếu mã độc không thể kết nối tới máy chủ điều khiển (C2 server), nó "đóng băng hoạt động", giả vờ như không làm gì, khiến các nhà phân tích khó phát hiện hành vi thực sự. Các chuyên gia nhận định rằng, điều này giúp mã độc tránh bị đảo ngược (reverse engineering), khiến quá trình phân tích trở nên vô cùng khó khăn.
Kỹ thuật ẩn mình trước đó bao gồm:
Thậm chí, các dấu hiệu khai thác lỗ hổng này dưới dạng zero-day đã xuất hiện từ giữa tháng 3/2025, trước cả khi có bản vá chính thức.
Auto-Color không phải mã độc phổ thông, nó là công cụ tùy chỉnh chuyên biệt cho các chiến dịch gián điệp và phá hoại dài hạn. Lỗ hổng SAP NetWeaver (CVE-2025-31324) là lỗ hổng nghiêm trọng cấp độ cao, cho phép chiếm toàn quyền hệ thống từ xa.
Các chuyên gia khuyến cáo cấp bách người dùng, cần:
Trong bối cảnh hệ thống Linux và các nền tảng ERP như SAP được sử dụng rộng rãi trong doanh nghiệp, mọi sự chậm trễ trong vá lỗi hay thiếu giám sát đều có thể trở thành “open-door” cho những kịch bản xâm nhập nguy hiểm.
Auto-Color là một mã độc dạng backdoor trên nền tảng Linux. Mã độc này có khả năng:
- Thực thi lệnh tùy ý từ xa
- Chỉnh sửa và thay thế tập tin hệ thống
- Thiết lập kết nối vỏ lệnh đảo ngược (reverse shell) để chiếm toàn quyền điều khiển
- Chuyển tiếp lưu lượng mạng (proxy traffic)
- Tự cập nhật cấu hình từ xa
- Ẩn mình khỏi các công cụ bảo mật thông qua module rootkit
(Darktrace là một công ty an ninh mạng hàng đầu có trụ sở chính tại Vương quốc Anh, nổi tiếng với việc ứng dụng trí tuệ nhân tạo (AI) và machine learning để phát hiện và phản ứng với các mối đe dọa mạng trong thời gian thực).
Ở phiên bản mới, Auto-Color đã được cải tiến để vượt qua cả môi trường phân tích sandbox hoặc hệ thống air-gapped (cô lập mạng). Nếu mã độc không thể kết nối tới máy chủ điều khiển (C2 server), nó "đóng băng hoạt động", giả vờ như không làm gì, khiến các nhà phân tích khó phát hiện hành vi thực sự. Các chuyên gia nhận định rằng, điều này giúp mã độc tránh bị đảo ngược (reverse engineering), khiến quá trình phân tích trở nên vô cùng khó khăn.
Kỹ thuật ẩn mình trước đó bao gồm:
- Điều chỉnh hành vi dựa trên quyền người dùng
- Sử dụng tên tập tin trông hợp pháp
- Hook các hàm thư viện libc để can thiệp hệ thống
- Ẩn tệp log bằng thư mục giả
- Kết nối C2 thông qua giao thức bảo mật TLS
- Tạo hash riêng biệt cho mỗi biến thể
- Có cơ chế “kill switch” để ngắt hoạt động khi cần
Thậm chí, các dấu hiệu khai thác lỗ hổng này dưới dạng zero-day đã xuất hiện từ giữa tháng 3/2025, trước cả khi có bản vá chính thức.
Auto-Color không phải mã độc phổ thông, nó là công cụ tùy chỉnh chuyên biệt cho các chiến dịch gián điệp và phá hoại dài hạn. Lỗ hổng SAP NetWeaver (CVE-2025-31324) là lỗ hổng nghiêm trọng cấp độ cao, cho phép chiếm toàn quyền hệ thống từ xa.
Các chuyên gia khuyến cáo cấp bách người dùng, cần:
- Cập nhật ngay các bản vá từ SAP, đặc biệt là bản vá tháng 4/2025 liên quan đến CVE-2025-31324.
- Kiểm tra log hệ thống SAP và máy chủ Linux để phát hiện các hoạt động bất thường, các kết nối C2 hoặc hành vi thay đổi ld.so.preload.
- Sử dụng giải pháp EDR và hệ thống giám sát mạng có khả năng phân tích hành vi (behavioral detection) thay vì chỉ dựa vào signature truyền thống.
- Không cô lập phân tích mẫu Auto-Color nếu không thể kết nối mạng, vì mã độc sẽ không kích hoạt đầy đủ chức năng – gây nhầm lẫn rằng hệ thống an toàn.
Trong bối cảnh hệ thống Linux và các nền tảng ERP như SAP được sử dụng rộng rãi trong doanh nghiệp, mọi sự chậm trễ trong vá lỗi hay thiếu giám sát đều có thể trở thành “open-door” cho những kịch bản xâm nhập nguy hiểm.
Theo WhiteHat.vn
Được phối hợp thực hiện bởi các chuyên gia của Bkav,
cộng đồng An ninh mạng Việt Nam WhiteHat
và cộng đồng Khoa học công nghệ VnReview