I et tre dage langt cyberangreb i april, Hackere udnyttede en nyligt afsløret SAP-sårbarhed til at infiltrere et amerikansk kemikaliefirma, implementering af en skjult Linux-malware kendt som Auto-Color-bagdør.
Cybersikkerhedsfirmaet Darktrace siger angriberne fik adgang via en kritisk fejl i SAP NetWeaver (CVE-2025-31324), så de kan installere malwaren og kommunikere med kendt ondsindet infrastruktur. Angrebet blev stoppet, før der skete væsentlig skade, takket være virksomhedens autonome forsvarsteknologi, som isolerede de berørte systemer.
En sjælden kombination af udnyttelse og malware
Parringen af en zero-day SAP-sårbarhed med Auto-Color, en fjernadgangstrojaner (RAT) først observeret sidst på året, er en ret unik kombination. Faktisk, Dette er det første kendte tilfælde af malware, der er blevet leveret via SAP-udnyttelse.
SAP afslørede CVE-2025-31324-fejlen i april 24, advarsel om, at det tillod angribere at uploade filer til en NetWeaver-server, åbner døren for fjernkørsel af programkode og potentielt fuld systemkontrol. Bare få dage senere, Darktrace opdagede, at udnyttelsen blev brugt i naturen.
Hvordan udfoldede angrebet sig?
Ifølge Darktrace, Det første brud begyndte i april 25 med en bølge af mistænkelig indgående trafik, der undersøger en offentlig server. To dage senere, Angribere leverede en ZIP-fil via en specialdesignet SAP URI, udnytter sårbarheden til at plante skadelige filer på systemet. Beviser på DNS-tunneling fulgte snart – en teknik, der ofte bruges til at snige data ud af et netværk uden at udløse advarsler..
Malwaren blev leveret kort efter via et downloadet script, der hentede og udførte en ELF-binærfil – Auto-Colors nyttelast – hvilket markerede den fulde kompromittering af værtsenheden..
Automatisk farvelægning: En sofistikeret bagdør med indbygget undvigelsesfunktion
Auto-Color er ingen almindelig bagdør. Den omdøber sig selv til at ligne en systemlogfil og begraver sig dybt inde i Linux-systemer, opnå vedholdenhed ved at ændre kernesystembiblioteker. Den bruger en teknik kendt som preload manipulation, så den kan kobles til næsten alle applikationer, der startes på enheden.
Men det, der gør Auto-Color særligt farlig, er dens evne til at ligge i dvale. Hvis den ikke kan oprette forbindelse til sin kommando- og kontrolenhed (C2) server, typisk over krypterede kanaler på port 44, den undertrykker sin adfærd, undgå detektion i sandkassemiljøer eller netværk med luftgap. Først når den når sin operatør, aktiverer den sit fulde spektrum af muligheder..
Kontrolleret reaktion afværgede større skade
Darktraces Cyber AI-platform opdagede de usædvanlige fildownloads, DNS-adfærd, og udgående forbindelser tidligt. Dets autonome responssystem håndhævede en “livsmønster” på den kompromitterede enhed, begrænse det til normal forretningsaktivitet og forhindre yderligere lateral bevægelse.
Malwarens udgående trafik til en kendt C2-adresse (146.70.41.178) blev også blokeret, forhindrer Auto-Color i at starte fjernkommandoer såsom reverse shells, filudførelse, eller proxymanipulation – funktioner, der menes at være en del af dens modulære C2-protokol.
Trusselsaktøren forstod tydeligt Linux' interne funktioner og tog skridt til at minimere synligheden, sagde en talsmand for Darktrace. Men ved at identificere og inddæmme aktiviteten tidligt, Sikkerhedsfirmaets systemer forhindrede en langt mere skadelig hændelse.
Afsluttende ord
Dette angreb viser direkte, hvor hurtigt nyligt afslørede sårbarheder kan udnyttes i virkelige miljøer., især når det kombineres med avanceret malware som Auto-Color. Selvom malwaren fortsat er en trussel, Darktraces hurtige reaktion gav virksomhedens interne sikkerhedsteam den nødvendige tid til at undersøge sagen, patch, og afhjælpe.
Sikkerhedsforskere advarer om, at Auto-Color-malwaren sandsynligvis vil fortsætte med at udvikle sig. Dens skjulthed, tilpasningsevne, og evnen til at fortsætte på trods af genstarter gør det til et potent våben i hænderne på trusselsaktører, især dem, der er rettet mod sektorer med høj værdi