Mobile-Menu

Gefährliche Malware „Auto-Color“ Linux-Backdoor über SAP-Schwachstelle eingeschleust

Von Melanie Staudacher 2 min Lesedauer

Anbieter zum Thema

FTAPI Software GmbH

Cyberkriminelle schleusten über eine SAP-Schwachstelle die Linux-Backdoor Auto-Color in ein US-Chemieunternehmen ein. So konnte Darktrace den Angriff frühzeitig erkennen und blockieren.

Das Sicherheitsteam von Darktrace konnte verhindern, dass die eingebaute Backdoor für Datendiebstahl und -kompromittierung genutzt wurde.(Bild: Dall-E / KI-generiert)
Das Sicherheitsteam von Darktrace konnte verhindern, dass die eingebaute Backdoor für Datendiebstahl und -kompromittierung genutzt wurde.
(Bild: Dall-E / KI-generiert)

Wie das Cybersicherheitsunternehmen Darktrace berichtet, sei es in der Lage gewesen, einen raffinierten Cyberangriff mit einer bisher wenig bekannte Malware zu erkennen und zu stoppen. Cyberkriminelle haben die „Auto-Color“-Malware über eine bekannte SAP-Sicherheitslücke eingeschleust.

Angriff über SAP-Schwachstelle auf Chemieunternehmen

Wie die Forscher berichten, ereignete sich der Sicherheitsvorfall am 25. April 2025. Das Ziel des Angriffs sei ein US-amerikanisches Chemieunternehmen gewesen. Um sich Zugang zu verschaffen, haben die Hacker die kritische Sicherheitslücke in SAP Netweaver CVE-2025-31324 ausgenutzt. Schon im April 2025 wurde die Schwachstelle ausgenutzt. Cyberkriminelle waren in der Lage, JSP-Webshells einzuschleusen und so die vollständige Kontrolle über die betroffenen Systeme zu erlangen.

Im Netzwerk des Chemieunternehmens angekommen, hätten die Akteure eine Backdoor mithilfe der Malware Auto-Color installiert. So seien sie in der Lage gewesen, sich drei Tage lang im Netzwerk zu verstecken, mehrere Dateien herunterzuladen und einen C2-Server aufzubauen, mit dem die Hacker kommunizieren konnten.

Was ist die Malware Auto-Color?

Die Forschungsabteilung von Palo Alto Networks, Unit 42, hat sich Auto-Color genauer angesehen. Sie hätten die Malware erstmals Ende 2024 bei Angriffen auf Universitäten und Regierungsstellen in Nordamerika und Asien beobachtet. Es handelt sich dabei um eine besonders hartnäckige Backdoor, die schwer zu erkennen ist und mit der die Angreifer ihre Aktivitäten lange Zeit verschleiern können. Auto-Color ist gezielt für Linux-Systeme entwickelt worden und nutzt spezifische Eigenschaften von Linux, um sich einzunisten, zu tarnen und Kontrolle zu erlangen. In dem Fall, den Darktrace untersucht hat, sei eine fortgeschrittene Version von Auto-Color genutzt worden, die über weitere Verschleierungsfunktionen verfügt habe.

So erfolgte laut Darktrace die Infizierung:

  • 1. Angreifer nutzten die SAP-Schwachstelle CVE-2025-31324, um Dateien auf einen öffentlich erreichbaren Server hochzuladen.
  • 2. Über verdächtige URLs wurden mehrere Dateien inklusive eines Shell-Skripts heruntergeladen.
  • 3. Das Skript wurde ausgeführt, um das System für die Malware-Installation vorzubereiten.
  • 4. Es folgten Verbindungen zu C2-Servern über DNS und ungewöhnliche Ports.
  • 5. Die Auto-Color-Malware wurde als ELF-Datei (Executable and Linkable Format) von einer externen Adresse heruntergeladen.
  • 6. Nach dem Start prüfte die Malware, ob Root-Rechte vorliegen, um das weitere Vorgehen anzupassen.
  • 7. Bei Root-Zugriff installierte sie eine manipulierte Systembibliothek und sicherte sich Persistenz via „/etc/ld.so.preload“.
  • 8. Die Malware verschleierte sich durch Umbenennung nach „/var/log/cross/auto-color“.
  • 9. Sie versuchte dann, über TLS eine Verbindung zum C2 aufzubauen, blieb bei Misserfolg aber inaktiv.
  • 10. Darktrace erkannte die Bedrohung frühzeitig und blockierte die Kommunikation automatisch.

Wie hat Darktrace den Angriff gestoppt?

Bereits am 25. April 2025 habe Darktrace ungewöhnliche Verbindungen mit verdächtigen URLs wie „/developmentserver/metadatauploader“ registriert, die einen Hinweis auf das Ausnutzen der SAP-Schwachstelle CVE-2025-31324 darstellten. Am 28. April habe das SOC-Team (Security Operations Center) von Darktrace eine Warnung über eine verdächtige ELF-Datei erhalten, die auf ein direkt über das Internet erreichbare Gerät installiert wurde. Diese wurde als Einfallstor für die Auto-Color-Malware identifiziert. Mithilfe seiner KI „Antigena“ habe Darktrace das infizierte Gerät isolieren können. Danach seien alle unbekannten oder verdächtigen Netzwerkverbindungen blockiert worden, darunter auch die TLS-Verbindung zum C2-Server der Malware mit der IP „146.70.41[.]178“. Dadurch sei die Malware nicht in der Lage gewesen, sich nicht mit dem Command-and-Control-Server verbinden und Schadfunktionen zu aktivieren.

(ID:50501155)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte