Bei einem dreitägigen Cyberangriff im April, Hacker nutzten eine neu aufgedeckte SAP-Sicherheitslücke, um in ein US-amerikanisches Chemieunternehmen einzudringen, Bereitstellung einer heimlichen Linux-Malware namens Auto-Color-Backdoor.
Cybersicherheitsfirma Darktrace sagt Die Angreifer verschafften sich Zugriff durch einen kritischen Fehler in SAP NetWeaver (CVE-2025-31324), Dadurch können sie die Malware installieren und mit bekannter bösartiger Infrastruktur kommunizieren. Der Angriff wurde gestoppt, bevor nennenswerter Schaden entstand, dank der autonomen Verteidigungstechnologie des Unternehmens, wodurch die betroffenen Systeme isoliert wurden.
Eine seltene Exploit-Malware-Kombination
Die Kombination einer Zero-Day-SAP-Schwachstelle mit Auto-Color, ein RAS-Trojaner (RAT) erstmals Ende letzten Jahres beobachtet, ist eine ziemlich einzigartige Kombination. Tatsächlich, Dies ist der erste bekannte Fall, in dem die Malware über SAP Exploit verbreitet wurde..
SAP hat die Sicherheitslücke CVE-2025-31324 im April bekannt gegeben 24, Warnung, dass Angreifer Dateien auf einen NetWeaver-Server hochladen konnten, die Tür öffnen für Remotecodeausführung und möglicherweise vollständige Systemkontrolle. Nur wenige Tage später, Darktrace hat den Exploit entdeckt, der in freier Wildbahn verwendet wird..
Wie verlief der Angriff??
Laut Darktrace, Der erste Verstoß begann im April 25 mit einer Welle verdächtigen eingehenden Datenverkehrs, der einen öffentlich zugänglichen Server untersucht. Zwei Tage später, Angreifer lieferten eine ZIP-Datei über eine manipulierte SAP-URI, Ausnutzen der Sicherheitslücke, um schädliche Dateien auf dem System zu platzieren. Bald folgten Hinweise auf DNS-Tunneling – eine Technik, die häufig verwendet wird, um Daten aus einem Netzwerk zu schmuggeln, ohne Alarm auszulösen..
Die Malware wurde kurz darauf über ein heruntergeladenes Skript übertragen, das eine ELF-Binärdatei – die Nutzlast von Auto-Color – abrief und ausführte und damit die vollständige Kompromittierung des Hostgeräts markierte..
Auto-Farbe: Eine ausgeklügelte Hintertür mit eingebauter Ausweichfunktion
Auto-Color ist keine gewöhnliche Hintertür. Es benennt sich selbst um, um einer Systemprotokolldatei zu ähneln, und vergräbt sich tief in Linux-Systemen, Persistenz durch Änderung der Kernsystembibliotheken erreichen. Es verwendet eine Technik, die als Vorspannungsmanipulation bekannt ist, Dadurch kann es in nahezu jede auf dem Gerät gestartete Anwendung eingebunden werden.
Was Auto-Color jedoch besonders gefährlich macht, ist seine Fähigkeit, inaktiv zu bleiben. Wenn es keine Verbindung zu seinem Command-and-Control-System herstellen kann (C2) Server, normalerweise über verschlüsselte Kanäle auf Port 44, es unterdrückt sein Verhalten, Vermeidung der Erkennung in Sandbox-Umgebungen oder Air-Gap-Netzwerken. Erst wenn es seinen Betreiber erfolgreich erreicht, aktiviert es seine gesamte Leistungsfähigkeit.
Kontrollierte Reaktion verhinderte größeren Schaden
Die Cyber-KI-Plattform von Darktrace erkannte die ungewöhnlichen Dateidownloads, DNS-Verhalten, und ausgehende Verbindungen frühzeitig. Sein Autonomous Response-System erzwang eine “Muster des Lebens” auf dem kompromittierten Gerät, Beschränkung auf die normale Geschäftstätigkeit und Verhinderung weiterer lateraler Bewegungen.
Der ausgehende Datenverkehr der Malware an eine bekannte C2-Adresse (146.70.41.178) wurde auch blockiert, Auto-Color daran hindern, Remote-Befehle wie Reverse Shells zu initiieren, Dateiausführung, oder Proxy-Manipulation – Funktionen, die vermutlich Teil des modularen C2-Protokolls sind.
Der Bedrohungsakteur verstand die internen Vorgänge von Linux und ergriff Maßnahmen, um die Sichtbarkeit zu minimieren, sagte ein Sprecher von Darktrace. Aber durch frühzeitiges Erkennen und Eindämmen der Aktivität, Die Systeme des Sicherheitsunternehmens verhinderten einen weitaus schlimmeren Vorfall.
Letzte Worte
Dieser Angriff zeigt direkt, wie schnell neu entdeckte Schwachstellen in realen Umgebungen ausgenutzt werden können, insbesondere in Verbindung mit fortschrittlicher Malware wie Auto-Color. Obwohl die Malware weiterhin eine Bedrohung darstellt, Die schnelle Reaktion von Darktrace verschaffte dem internen Sicherheitsteam des Unternehmens die nötige Zeit für die Untersuchung, Fleck, und Sanierung.
Sicherheitsforscher warnen, dass sich die Auto-Color-Malware wahrscheinlich weiterentwickeln wird. Seine Heimlichkeit, Anpassungsfähigkeit, und die Fähigkeit, über Neustarts hinweg zu bestehen, machen es zu einer wirksamen Waffe in den Händen von Bedrohungsakteuren, insbesondere diejenigen, die auf hochwertige Sektoren abzielen
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: