해커들이 중요한 SAP NetWeaver 취약점인 CVE-2025-31324를 이용하여 미국의 화학 회사에 대한 사이버 공격에서 Auto-Color 리눅스 악성 코드를 배포하는 것이 발견되었습니다. 사이버 보안 회사 Darktrace는 2025년 4월 사건 대응 중 이 공격을 발견하였으며, 조사 결과 Auto-Color 악성 코드가 추가적인 고급 회피 전략을 포함하도록 진화했다는 것을 밝혔습니다. Darktrace는 공격이 4월 25일에 시작되었지만, 실제로는 두 날 후에 ELF(Linux 실행 파일)를 대상 기계에 전달하는 활동적인 악용이 발생했다고 보고했습니다.
Auto-Color 악성 코드는 처음으로 2025년 2월 Palo Alto Networks의 Unit 42 연구원들에 의해 문서화되었으며, 그들은 이 악성 코드의 회피적인 성격과 기계에 발판을 잡은 후 제거하기 어려운 점을 강조하였습니다. 이 백도어는 사용자 권한 수준에 따라 행동을 조정하며, 'ld.so.preload'를 이용하여 공유 객체 주입을 통해 은밀하게 지속성을 유지합니다. Auto-Color는 임의의 명령 실행, 파일 수정, 완전한 원격 접근을 위한 역쉘, 프록시 트래픽 포워딩, 동적 구성 업데이트 등의 기능을 갖추고 있습니다. 또한, 보안 도구로부터 악의적인 활동을 숨기는 루트킷 모듈도 갖추고 있습니다.
요약
- 해커들이 중요한 SAP NetWeaver 취약점인 CVE-2025-31324를 이용하여 미국의 화학 회사에 대한 사이버 공격에서 Auto-Color 리눅스 악성 코드를 배포하는 것이 발견되었다.
- Auto-Color 악성 코드는 처음으로 2025년 2월 Palo Alto Networks의 Unit 42 연구원들에 의해 문서화되었다.
- 이 백도어는 사용자 권한 수준에 따라 행동을 조정하며, 'ld.so.preload'를 이용하여 공유 객체 주입을 통해 은밀하게 지속성을 유지한다.
- Auto-Color는 임의의 명령 실행, 파일 수정, 완전한 원격 접근을 위한 역쉘, 프록시 트래픽 포워딩, 동적 구성 업데이트 등의 기능을 갖추고 있다.
- 또한, 보안 도구로부터 악의적인 활동을 숨기는 루트킷 모듈도 갖추고 있다.
Reference
※ 이 글은 생성형 AI(ChatGPT-4)에 의해 요약되었습니다.