เรื่องเล่าจากแนวรบไซเบอร์: เมื่อ SAP NetWeaver กลายเป็นประตูหลังให้มัลแวร์ Auto-Color
ในเดือนเมษายน 2025 บริษัท Darktrace ตรวจพบการโจมตีแบบหลายขั้นตอนที่ใช้ช่องโหว่ CVE-2025-31324 ใน SAP NetWeaver เพื่อส่งมัลแวร์ Auto-Color เข้าสู่ระบบของบริษัทเคมีในสหรัฐฯ โดยช่องโหว่นี้เปิดให้ผู้ไม่ผ่านการยืนยันตัวตนสามารถอัปโหลดไฟล์อันตรายเข้าสู่เซิร์ฟเวอร์ SAP ได้ ซึ่งนำไปสู่การควบคุมระบบจากระยะไกล (Remote Code Execution)
Auto-Color เป็นมัลแวร์ที่ออกแบบมาให้ปรับตัวตามสิทธิ์ของผู้ใช้งาน หากรันด้วยสิทธิ์ root จะฝังไลบรารีปลอมชื่อ libcext.so.2 และใช้เทคนิค ld.so.preload เพื่อให้มัลแวร์ถูกโหลดก่อนทุกโปรแกรมในระบบ Linux ทำให้สามารถแทรกแซงการทำงานของระบบได้อย่างลึกซึ้ง
Darktrace ใช้ระบบ AI “Autonomous Response” เข้าควบคุมอุปกรณ์ที่ถูกโจมตีภายในไม่กี่นาที โดยจำกัดพฤติกรรมให้อยู่ในขอบเขตปกติ พร้อมขยายเวลาการควบคุมอีก 24 ชั่วโมงเพื่อให้ทีมรักษาความปลอดภัยมีเวลาตรวจสอบและแก้ไข
ช่องโหว่ CVE-2025-31324 ใน SAP NetWeaver ถูกเปิดเผยเมื่อ 24 เมษายน 2025
เป็นช่องโหว่ระดับวิกฤต (CVSS 10.0) ที่เปิดให้ผู้โจมตีอัปโหลดไฟล์อันตรายโดยไม่ต้องยืนยันตัวตน
ส่งผลให้สามารถควบคุมระบบได้เต็มรูปแบบผ่าน Remote Code Execution
Darktrace ตรวจพบการโจมตีในบริษัทเคมีสหรัฐฯ เมื่อปลายเดือนเมษายน 2025
เริ่มจากการสแกนช่องโหว่ในวันที่ 25 เมษายน และเริ่มโจมตีจริงในวันที่ 27 เมษายน
ใช้ ZIP file และ DNS tunneling เพื่อส่งมัลแวร์เข้าสู่ระบบ
มัลแวร์ Auto-Color ถูกส่งเข้าระบบในรูปแบบไฟล์ ELF สำหรับ Linux
เปลี่ยนชื่อไฟล์เป็น “/var/log/cross/auto-color” เพื่อหลบซ่อน
ใช้เทคนิค ld.so.preload เพื่อให้มัลแวร์ถูกโหลดก่อนโปรแกรมอื่นในระบบ
Darktrace ใช้ AI Autonomous Response เข้าควบคุมอุปกรณ์ที่ถูกโจมตีทันที
จำกัดพฤติกรรมของอุปกรณ์ให้อยู่ใน “pattern of life” ปกติ
ขยายเวลาการควบคุมอีก 24 ชั่วโมงเพื่อให้ทีมรักษาความปลอดภัยตรวจสอบ
ผู้เชี่ยวชาญแนะนำให้ใช้สถาปัตยกรรม Zero Trust และปิด endpoint ที่เสี่ยงทันที
หากไม่สามารถติดตั้งแพตช์ได้ ให้ปิดการเข้าถึง /developmentserver/metadatauploader
แยกระบบ SAP ออกจากอินเทอร์เน็ตและตรวจสอบทุกการเชื่อมต่อ
ช่องโหว่ CVE-2025-31324 ยังคงถูกโจมตีอย่างต่อเนื่องแม้จะมีการเปิดเผยแล้ว
ผู้โจมตีสามารถใช้ข้อมูลสาธารณะในการสร้าง payload ใหม่ได้
การไม่ติดตั้งแพตช์ทันทีอาจนำไปสู่การควบคุมระบบเต็มรูปแบบ
Auto-Color มีความสามารถในการหลบซ่อนเมื่อไม่สามารถเชื่อมต่อกับ C2 ได้
ทำให้การวิเคราะห์ใน sandbox หรือระบบออฟไลน์ไม่สามารถตรวจพบพฤติกรรมจริง
ส่งผลให้การตรวจสอบมัลแวร์ล่าช้าและอาจพลาดการป้องกัน
ระบบ SAP มักถูกแยกออกจากการดูแลด้านความปลอดภัยขององค์กร
ทีม SAP Basis อาจไม่มีความเชี่ยวชาญด้านภัยคุกคามไซเบอร์
การไม่บูรณาการกับทีม IT Security ทำให้เกิดช่องโหว่ในการป้องกัน
การใช้เทคนิค ld.so.preload เป็นวิธีการฝังมัลแวร์ที่ลึกและยากต่อการตรวจจับ
มัลแวร์สามารถแทรกแซงการทำงานของทุกโปรแกรมในระบบ Linux
ต้องใช้เครื่องมือเฉพาะทางในการตรวจสอบและล้างระบบ
https://hackread.com/sap-netweaver-vulnerability-auto-color-malware-us-firm/
ในเดือนเมษายน 2025 บริษัท Darktrace ตรวจพบการโจมตีแบบหลายขั้นตอนที่ใช้ช่องโหว่ CVE-2025-31324 ใน SAP NetWeaver เพื่อส่งมัลแวร์ Auto-Color เข้าสู่ระบบของบริษัทเคมีในสหรัฐฯ โดยช่องโหว่นี้เปิดให้ผู้ไม่ผ่านการยืนยันตัวตนสามารถอัปโหลดไฟล์อันตรายเข้าสู่เซิร์ฟเวอร์ SAP ได้ ซึ่งนำไปสู่การควบคุมระบบจากระยะไกล (Remote Code Execution)
Auto-Color เป็นมัลแวร์ที่ออกแบบมาให้ปรับตัวตามสิทธิ์ของผู้ใช้งาน หากรันด้วยสิทธิ์ root จะฝังไลบรารีปลอมชื่อ libcext.so.2 และใช้เทคนิค ld.so.preload เพื่อให้มัลแวร์ถูกโหลดก่อนทุกโปรแกรมในระบบ Linux ทำให้สามารถแทรกแซงการทำงานของระบบได้อย่างลึกซึ้ง
Darktrace ใช้ระบบ AI “Autonomous Response” เข้าควบคุมอุปกรณ์ที่ถูกโจมตีภายในไม่กี่นาที โดยจำกัดพฤติกรรมให้อยู่ในขอบเขตปกติ พร้อมขยายเวลาการควบคุมอีก 24 ชั่วโมงเพื่อให้ทีมรักษาความปลอดภัยมีเวลาตรวจสอบและแก้ไข
ช่องโหว่ CVE-2025-31324 ใน SAP NetWeaver ถูกเปิดเผยเมื่อ 24 เมษายน 2025
เป็นช่องโหว่ระดับวิกฤต (CVSS 10.0) ที่เปิดให้ผู้โจมตีอัปโหลดไฟล์อันตรายโดยไม่ต้องยืนยันตัวตน
ส่งผลให้สามารถควบคุมระบบได้เต็มรูปแบบผ่าน Remote Code Execution
Darktrace ตรวจพบการโจมตีในบริษัทเคมีสหรัฐฯ เมื่อปลายเดือนเมษายน 2025
เริ่มจากการสแกนช่องโหว่ในวันที่ 25 เมษายน และเริ่มโจมตีจริงในวันที่ 27 เมษายน
ใช้ ZIP file และ DNS tunneling เพื่อส่งมัลแวร์เข้าสู่ระบบ
มัลแวร์ Auto-Color ถูกส่งเข้าระบบในรูปแบบไฟล์ ELF สำหรับ Linux
เปลี่ยนชื่อไฟล์เป็น “/var/log/cross/auto-color” เพื่อหลบซ่อน
ใช้เทคนิค ld.so.preload เพื่อให้มัลแวร์ถูกโหลดก่อนโปรแกรมอื่นในระบบ
Darktrace ใช้ AI Autonomous Response เข้าควบคุมอุปกรณ์ที่ถูกโจมตีทันที
จำกัดพฤติกรรมของอุปกรณ์ให้อยู่ใน “pattern of life” ปกติ
ขยายเวลาการควบคุมอีก 24 ชั่วโมงเพื่อให้ทีมรักษาความปลอดภัยตรวจสอบ
ผู้เชี่ยวชาญแนะนำให้ใช้สถาปัตยกรรม Zero Trust และปิด endpoint ที่เสี่ยงทันที
หากไม่สามารถติดตั้งแพตช์ได้ ให้ปิดการเข้าถึง /developmentserver/metadatauploader
แยกระบบ SAP ออกจากอินเทอร์เน็ตและตรวจสอบทุกการเชื่อมต่อ
ช่องโหว่ CVE-2025-31324 ยังคงถูกโจมตีอย่างต่อเนื่องแม้จะมีการเปิดเผยแล้ว
ผู้โจมตีสามารถใช้ข้อมูลสาธารณะในการสร้าง payload ใหม่ได้
การไม่ติดตั้งแพตช์ทันทีอาจนำไปสู่การควบคุมระบบเต็มรูปแบบ
Auto-Color มีความสามารถในการหลบซ่อนเมื่อไม่สามารถเชื่อมต่อกับ C2 ได้
ทำให้การวิเคราะห์ใน sandbox หรือระบบออฟไลน์ไม่สามารถตรวจพบพฤติกรรมจริง
ส่งผลให้การตรวจสอบมัลแวร์ล่าช้าและอาจพลาดการป้องกัน
ระบบ SAP มักถูกแยกออกจากการดูแลด้านความปลอดภัยขององค์กร
ทีม SAP Basis อาจไม่มีความเชี่ยวชาญด้านภัยคุกคามไซเบอร์
การไม่บูรณาการกับทีม IT Security ทำให้เกิดช่องโหว่ในการป้องกัน
การใช้เทคนิค ld.so.preload เป็นวิธีการฝังมัลแวร์ที่ลึกและยากต่อการตรวจจับ
มัลแวร์สามารถแทรกแซงการทำงานของทุกโปรแกรมในระบบ Linux
ต้องใช้เครื่องมือเฉพาะทางในการตรวจสอบและล้างระบบ
https://hackread.com/sap-netweaver-vulnerability-auto-color-malware-us-firm/
🕵️♂️ เรื่องเล่าจากแนวรบไซเบอร์: เมื่อ SAP NetWeaver กลายเป็นประตูหลังให้มัลแวร์ Auto-Color
ในเดือนเมษายน 2025 บริษัท Darktrace ตรวจพบการโจมตีแบบหลายขั้นตอนที่ใช้ช่องโหว่ CVE-2025-31324 ใน SAP NetWeaver เพื่อส่งมัลแวร์ Auto-Color เข้าสู่ระบบของบริษัทเคมีในสหรัฐฯ โดยช่องโหว่นี้เปิดให้ผู้ไม่ผ่านการยืนยันตัวตนสามารถอัปโหลดไฟล์อันตรายเข้าสู่เซิร์ฟเวอร์ SAP ได้ ซึ่งนำไปสู่การควบคุมระบบจากระยะไกล (Remote Code Execution)
Auto-Color เป็นมัลแวร์ที่ออกแบบมาให้ปรับตัวตามสิทธิ์ของผู้ใช้งาน หากรันด้วยสิทธิ์ root จะฝังไลบรารีปลอมชื่อ libcext.so.2 และใช้เทคนิค ld.so.preload เพื่อให้มัลแวร์ถูกโหลดก่อนทุกโปรแกรมในระบบ Linux ทำให้สามารถแทรกแซงการทำงานของระบบได้อย่างลึกซึ้ง
Darktrace ใช้ระบบ AI “Autonomous Response” เข้าควบคุมอุปกรณ์ที่ถูกโจมตีภายในไม่กี่นาที โดยจำกัดพฤติกรรมให้อยู่ในขอบเขตปกติ พร้อมขยายเวลาการควบคุมอีก 24 ชั่วโมงเพื่อให้ทีมรักษาความปลอดภัยมีเวลาตรวจสอบและแก้ไข
✅ ช่องโหว่ CVE-2025-31324 ใน SAP NetWeaver ถูกเปิดเผยเมื่อ 24 เมษายน 2025
➡️ เป็นช่องโหว่ระดับวิกฤต (CVSS 10.0) ที่เปิดให้ผู้โจมตีอัปโหลดไฟล์อันตรายโดยไม่ต้องยืนยันตัวตน
➡️ ส่งผลให้สามารถควบคุมระบบได้เต็มรูปแบบผ่าน Remote Code Execution
✅ Darktrace ตรวจพบการโจมตีในบริษัทเคมีสหรัฐฯ เมื่อปลายเดือนเมษายน 2025
➡️ เริ่มจากการสแกนช่องโหว่ในวันที่ 25 เมษายน และเริ่มโจมตีจริงในวันที่ 27 เมษายน
➡️ ใช้ ZIP file และ DNS tunneling เพื่อส่งมัลแวร์เข้าสู่ระบบ
✅ มัลแวร์ Auto-Color ถูกส่งเข้าระบบในรูปแบบไฟล์ ELF สำหรับ Linux
➡️ เปลี่ยนชื่อไฟล์เป็น “/var/log/cross/auto-color” เพื่อหลบซ่อน
➡️ ใช้เทคนิค ld.so.preload เพื่อให้มัลแวร์ถูกโหลดก่อนโปรแกรมอื่นในระบบ
✅ Darktrace ใช้ AI Autonomous Response เข้าควบคุมอุปกรณ์ที่ถูกโจมตีทันที
➡️ จำกัดพฤติกรรมของอุปกรณ์ให้อยู่ใน “pattern of life” ปกติ
➡️ ขยายเวลาการควบคุมอีก 24 ชั่วโมงเพื่อให้ทีมรักษาความปลอดภัยตรวจสอบ
✅ ผู้เชี่ยวชาญแนะนำให้ใช้สถาปัตยกรรม Zero Trust และปิด endpoint ที่เสี่ยงทันที
➡️ หากไม่สามารถติดตั้งแพตช์ได้ ให้ปิดการเข้าถึง /developmentserver/metadatauploader
➡️ แยกระบบ SAP ออกจากอินเทอร์เน็ตและตรวจสอบทุกการเชื่อมต่อ
‼️ ช่องโหว่ CVE-2025-31324 ยังคงถูกโจมตีอย่างต่อเนื่องแม้จะมีการเปิดเผยแล้ว
⛔ ผู้โจมตีสามารถใช้ข้อมูลสาธารณะในการสร้าง payload ใหม่ได้
⛔ การไม่ติดตั้งแพตช์ทันทีอาจนำไปสู่การควบคุมระบบเต็มรูปแบบ
‼️ Auto-Color มีความสามารถในการหลบซ่อนเมื่อไม่สามารถเชื่อมต่อกับ C2 ได้
⛔ ทำให้การวิเคราะห์ใน sandbox หรือระบบออฟไลน์ไม่สามารถตรวจพบพฤติกรรมจริง
⛔ ส่งผลให้การตรวจสอบมัลแวร์ล่าช้าและอาจพลาดการป้องกัน
‼️ ระบบ SAP มักถูกแยกออกจากการดูแลด้านความปลอดภัยขององค์กร
⛔ ทีม SAP Basis อาจไม่มีความเชี่ยวชาญด้านภัยคุกคามไซเบอร์
⛔ การไม่บูรณาการกับทีม IT Security ทำให้เกิดช่องโหว่ในการป้องกัน
‼️ การใช้เทคนิค ld.so.preload เป็นวิธีการฝังมัลแวร์ที่ลึกและยากต่อการตรวจจับ
⛔ มัลแวร์สามารถแทรกแซงการทำงานของทุกโปรแกรมในระบบ Linux
⛔ ต้องใช้เครื่องมือเฉพาะทางในการตรวจสอบและล้างระบบ
https://hackread.com/sap-netweaver-vulnerability-auto-color-malware-us-firm/
0 ความคิดเห็น
0 การแบ่งปัน
106 มุมมอง
0 รีวิว