In een driedaagse cyberaanval in april, hackers maakten misbruik van een onlangs onthulde kwetsbaarheid in SAP om een Amerikaans chemisch bedrijf te infiltreren, het implementeren van een sluwe Linux-malware die bekend staat als Auto-Color backdoor.
Cybersecuritybedrijf Darktrace zegt de aanvallers kregen toegang via een kritieke fout in SAP NetWeaver (CVE-2025-31324), waardoor ze de malware kunnen installeren en kunnen communiceren met bekende kwaadaardige infrastructuur. De aanval werd gestopt voordat er aanzienlijke schade ontstond, dankzij de autonome defensietechnologie van het bedrijf, die de getroffen systemen isoleerde.
Een zeldzame combinatie van exploit en malware
De koppeling van een zero-day SAP-kwetsbaarheid met Auto-Color, een Trojaans paard voor externe toegang (RAT) voor het eerst waargenomen eind vorig jaar, is een vrij unieke combinatie. In feite, dit is het eerste bekende geval waarbij de malware via SAP-exploitatie wordt verspreid.
SAP maakte in april het CVE-2025-31324-lek bekend 24, waarschuwing dat het aanvallers toestond bestanden te uploaden naar een NetWeaver-server, de deur openen voor uitvoering van externe code en potentieel volledige systeemcontrole. Slechts enkele dagen later, Darktrace heeft de exploit gedetecteerd die in het wild wordt gebruikt.
Hoe verliep de aanval??
Volgens Darktrace, de eerste inbreuk begon in april 25 met een golf van verdacht inkomend verkeer dat een openbare server onderzoekt. Twee dagen later, aanvallers leverden een ZIP-bestand via een gemanipuleerde SAP URI, het misbruiken van de kwetsbaarheid om schadelijke bestanden op het systeem te plaatsen. Al snel volgden er aanwijzingen voor DNS-tunneling, een techniek die vaak wordt gebruikt om gegevens uit een netwerk te smokkelen zonder waarschuwingen te activeren..
De malware werd kort daarna afgeleverd via een gedownload script dat een ELF-binair bestand ophaalde en uitvoerde (de payload van Auto-Color) waarmee de volledige inbreuk op het hostapparaat werd gemarkeerd.
Auto-kleur: Een geavanceerde achterdeur met ingebouwde ontwijkingsfunctie
Auto-Color is geen gewone achterdeur. Het hernoemt zichzelf zodat het lijkt op een systeemlogbestand en verbergt zichzelf diep in Linux-systemen, persistentie verkrijgen door kernsysteembibliotheken te wijzigen. Er wordt gebruik gemaakt van een techniek die bekend staat als preloadmanipulatie, waardoor het verbinding kan maken met vrijwel elke applicatie die op het apparaat wordt gestart.
Maar wat Auto-Color bijzonder gevaarlijk maakt, is zijn vermogen om sluimerend te blijven. Als het geen verbinding kan maken met zijn commando- en controlesysteem (C2) server, meestal via gecodeerde kanalen op poort 44, het onderdrukt zijn gedrag, het vermijden van detectie in sandbox-omgevingen of air-gapped netwerken. Pas als het zijn operator succesvol bereikt, activeert het zijn volledige scala aan mogelijkheden.
Gecontroleerde reactie voorkwam grotere schade
Het Cyber AI-platform van Darktrace detecteerde de ongebruikelijke bestandsdownloads, DNS-gedrag, en uitgaande verbindingen al vroeg. Het Autonomous Response-systeem heeft een “levenspatroon” op het gecompromitteerde apparaat, het beperken ervan tot normale bedrijfsactiviteiten en het voorkomen van verdere zijwaartse verplaatsing.
Het uitgaande verkeer van de malware naar een bekend C2-adres (146.70.41.178) werd ook geblokkeerd, voorkomen dat Auto-Color externe opdrachten zoals omgekeerde shells initieert, bestandsuitvoering, of proxymanipulatie – functies waarvan wordt aangenomen dat ze deel uitmaken van het modulaire C2-protocol.
De dreigingsactor begreep duidelijk de interne werking van Linux en nam maatregelen om de zichtbaarheid te minimaliseren, zei een woordvoerder van Darktrace. Maar door de activiteit vroegtijdig te identificeren en in te dammen, de systemen van het beveiligingsbedrijf voorkwamen een veel ernstiger incident.
Laatste woorden
Deze aanval laat direct zien hoe snel nieuw ontdekte kwetsbaarheden in de praktijk kunnen worden uitgebuit, vooral in combinatie met geavanceerde malware zoals Auto-Color. Hoewel de malware een bedreiging blijft, De snelle reactie van Darktrace gaf het interne beveiligingsteam van het bedrijf de tijd die nodig was om onderzoek te doen, patch, en verhelpen.
Beveiligingsonderzoekers waarschuwen dat de Auto-Color-malware zich waarschijnlijk zal blijven ontwikkelen. Zijn stealth, aanpassingsvermogen, en het vermogen om te blijven bestaan na een reboot, maakt het een krachtig wapen in de handen van dreigingsactoren, met name die welke gericht zijn op sectoren met een hoge waarde