Các nhà nghiên cứu an ninh mạng tại Darktrace đã phát hiện một cuộc tấn công tinh vi nhắm vào một công ty hóa chất tại Hoa Kỳ. Đây là lần đầu tiên các tác nhân đe dọa khai thác lỗ hổng SAP NetWeaver để triển khai mã độc backdoor Auto-Color.
Sự cố diễn ra trong ba ngày vào tháng 4 năm 2025, cho thấy một sự tiến hóa đáng báo động trong chiến thuật tấn công mạng. Cuộc tấn công này kết hợp việc khai thác phần mềm doanh nghiệp với mã độc Linux tiên tiến, đặc biệt là thông qua việc lợi dụng lỗ hổng SAP NetWeaver.
Chi tiết Lỗ hổng SAP NetWeaver (CVE-2025-31324) và Khai thác
Cuộc tấn công đã khai thác CVE-2025-31324, một lỗ hổng CVE nghiêm trọng trong SAP NetWeaver. Lỗ hổng này được tiết lộ vào ngày 24 tháng 4 năm 2025. Thông tin chi tiết về lỗ hổng và cách Darktrace ngăn chặn đã được công bố bởi Darktrace.
Điểm yếu bảo mật này cho phép các tác nhân độc hại tải tệp lên máy chủ ứng dụng SAP NetWeaver. Điều này có thể dẫn đến thực thi mã từ xa (remote code execution) và chiếm quyền kiểm soát toàn bộ hệ thống bị ảnh hưởng bởi lỗ hổng SAP NetWeaver.
Mặc dù SAP SE đã khẩn trương công bố thông tin, lỗ hổng này đã bị khai thác tích cực trên nhiều hệ thống kể từ khi được tiết lộ. Việc khai thác này tận dụng triệt để lỗ hổng SAP NetWeaver để đạt được mục tiêu xâm nhập ban đầu.
Diễn biến Cuộc Tấn công và Kỹ thuật DNS Tunneling
Giai đoạn Do thám Ban đầu
Tác nhân đe dọa bắt đầu giai đoạn do thám vào ngày 25 tháng 4. Chúng thăm dò các hệ thống hướng ra internet của mục tiêu bằng các mẫu URI đáng ngờ. Các mẫu này chứa chuỗi “/developmentserver/metadatauploader”.
Thiết lập Quyền Truy cập Ban đầu
Việc khai thác tích cực bắt đầu hai ngày sau đó. Kẻ tấn công đã tải xuống thành công một tệp ZIP và thiết lập quyền truy cập ban đầu. Quyền truy cập này được thực hiện thông qua các kỹ thuật DNS tunneling.
Các cảnh báo từ nhật ký cảnh báo của thiết bị cho thấy các yêu cầu DNS tunneling khả nghi đến các dịch vụ ‘request bin’. Đây là dấu hiệu sớm của việc hệ thống bị xâm nhập, đặc biệt trên các hệ thống có lỗ hổng SAP NetWeaver.
Phân tích Mã độc Auto-Color Backdoor
Đặc điểm Chính và Mục tiêu
Auto-Color là một Remote Access Trojan (RAT) được quan sát lần đầu vào tháng 11 năm 2024. Tên gọi của nó xuất phát từ việc nó tự đổi tên thành “/var/log/cross/auto-color” sau khi thực thi.
Mã độc này chủ yếu nhắm mục tiêu vào các hệ thống Linux. Các nạn nhân bao gồm các trường đại học và tổ chức chính phủ trên khắp Hoa Kỳ và Châu Á.
Kỹ thuật Duy trì và Né tránh Phát hiện
Auto-Color sử dụng các kỹ thuật né tránh tinh vi, bao gồm tiêm đối tượng chia sẻ (shared object injection) thông qua thao tác với ld.so.preload.
Hành vi của mã độc thích ứng dựa trên cấp độ đặc quyền của người dùng. Khi được thực thi với quyền root, Auto-Color cài đặt một thư viện đối tượng chia sẻ độc hại (libcext.so.2).
Thư viện này được ngụy trang thành một thành phần hệ thống hợp pháp. Để đạt được tính dai dẳng (persistence), mã độc sửa đổi tệp /etc/ld.so.preload.
Việc sửa đổi này đảm bảo rằng thư viện độc hại sẽ được tải trước các thư viện hợp pháp. Điều này xảy ra trên tất cả các tệp thực thi được liên kết động (dynamically linked executables) trong hệ thống.
# Ví dụ về thay đổi ld.so.preload (được mã độc thực hiện)
# Nội dung trước khi sửa đổi:
# # This file allows to preload libraries for applications that are dynamically linked.
# Nội dung sau khi sửa đổi bởi Auto-Color:
/usr/local/lib/libcext.so.2
# # This file allows to preload libraries for applications that are dynamically linked.
Các nhà nghiên cứu của Darktrace phát hiện rằng Auto-Color sử dụng các chiến thuật che giấu tinh vi để né tránh việc bị phát hiện.
Mã độc yêu cầu kết nối thành công với máy chủ lệnh và điều khiển (C2) của nó qua cổng 443 để kích hoạt đầy đủ các khả năng. Nếu kết nối C2 thất bại, mã độc sẽ chủ động ngừng các hành vi độc hại. Điều này làm cho nó trông có vẻ vô hại trong quá trình phân tích hoặc trong các môi trường sandbox.
Theo báo cáo điều tra của Darktrace, “điều này đảm bảo rằng trong các môi trường air-gapped hoặc sandbox, các nhà phân tích bảo mật có thể không quan sát hoặc phân tích được toàn bộ khả năng của mã độc.”
Phát hiện và Ngăn chặn Tấn công bởi Darktrace
Trung tâm Điều hành An ninh (SOC) của Darktrace đã phát hiện sự thỏa hiệp ban đầu. Họ nhận diện các tệp ELF đáng ngờ được tải xuống vào ngày 28 tháng 4.
Khả năng Phản ứng Tự động (Autonomous Response) của nền tảng đã ngay lập tức áp đặt hạn chế “pattern of life” (mẫu hành vi thông thường) lên thiết bị bị xâm nhập. Điều này ngăn chặn sự sai lệch so với các hoạt động bình thường trong khi vẫn duy trì tính liên tục của hoạt động kinh doanh. Đây là một ví dụ điển hình về khả năng phát hiện xâm nhập hiệu quả.
Trong suốt cuộc tấn công, tác nhân đe dọa đã tải xuống bảy tệp độc hại. Chúng cũng cố gắng kết nối đến hạ tầng liên quan đến Supershell, một nền tảng C2 được liên kết với các nhóm đe dọa có liên quan đến Trung Quốc.
Sự can thiệp của Darktrace đã chặn thành công các kết nối độc hại. Điều này ngăn mã độc hoàn thành chuỗi tấn công (kill chain) và thiết lập quyền truy cập dai dẳng vào hệ thống bị ảnh hưởng bởi lỗ hổng SAP NetWeaver.
Các Chỉ số Thỏa hiệp (IOCs)
Các chỉ số thỏa hiệp (Indicators of Compromise – IOCs) liên quan đến cuộc tấn công này bao gồm:
- URI patterns đáng ngờ trong giai đoạn do thám:
/developmentserver/metadatauploader - Đường dẫn và tên tệp mã độc sau khi đổi tên:
/var/log/cross/auto-color - Tên thư viện đối tượng chia sẻ độc hại:
libcext.so.2 - Tệp hệ thống bị sửa đổi để duy trì:
/etc/ld.so.preload - Cổng giao tiếp với máy chủ C2:
443(qua TLS/SSL) - Nền tảng C2 liên quan: Supershell (liên kết với các nhóm đe dọa có liên quan đến Trung Quốc)
Để giải quyết triệt để rủi ro từ mã độc Auto-Color, cần phải vá ngay lập tức lỗ hổng SAP NetWeaver đã bị khai thác.
Sự cố này một lần nữa nhấn mạnh tầm quan trọng của việc giải quyết kịp thời các lỗ hổng có mức độ nghiêm trọng cao. Những điểm yếu này đóng vai trò là cửa ngõ cho các mối đe dọa tinh vi và dai dẳng hơn trong mạng lưới doanh nghiệp. Các tổ chức cần ưu tiên cập nhật bản vá bảo mật để giảm thiểu rủi ro từ việc khai thác lỗ hổng SAP NetWeaver và các điểm yếu tương tự.
