Auto-Color-Hintertür
Im Rahmen einer ausgeklügelten Cyberangriffskampagne gegen ein US-amerikanisches Chemieunternehmen im April 2025 nutzten Angreifer eine inzwischen geschlossene kritische Sicherheitslücke in SAP NetWeaver aus, um die Auto-Color-Backdoor zu implementieren. Der Vorfall verdeutlicht die anhaltenden Risiken, die von ungepatchten Systemen und hochentwickelter Malware für hochwertige Ziele ausgehen.
Inhaltsverzeichnis
Ausnutzung von CVE-2025-31324: Ein Tor zur Remotecodeausführung
Kern des Angriffs ist CVE-2025-31324, eine kritische Schwachstelle in SAP NetWeaver, die nicht authentifizierte Datei-Uploads ermöglicht. Diese Schwachstelle ermöglicht Remote Code Execution (RCE) und wurde im April 2025 von SAP behoben. Trotz des Fixes nutzten Angreifer ungepatchte Systeme, um ein öffentlich zugängliches Gerät zu kompromittieren. Der Angriff erstreckte sich über drei Tage und umfasste schädliche Dateidownloads sowie die Kommunikation mit der mit der Auto-Color-Malware verbundenen Infrastruktur.
Auto-Color: Eine versteckte und ausgeklügelte Hintertür
Auto-Color wurde erstmals im Februar 2025 analysiert und funktioniert ähnlich wie ein Remote Access Trojaner (RAT), der Linux-Umgebungen infizieren soll. Zuvor war der Schädling zwischen November und Dezember 2024 bei Angriffen auf Universitäten und Regierungsbehörden in Nordamerika und Asien zu sehen.
Eine der auffälligsten Eigenschaften von Auto-Color ist die Fähigkeit, sein bösartiges Verhalten zu verbergen, wenn der Command-and-Control-Server (C2) nicht erreicht werden kann. Diese Funktion zeugt von einem hohen Maß an Betriebssicherheit und der Absicht, eine Erkennung bei der Reaktion auf Vorfälle oder bei der Sandbox-Analyse zu vermeiden.
Hauptfunktionen von Auto-Color
Auto-Color bietet eine umfassende Suite bösartiger Funktionen, die eine umfassende Kontrolle über kompromittierte Systeme ermöglichen. Dazu gehören:
- Reverse-Shell-Funktionen
- Dateierstellung und -ausführung
- Systemproxykonfiguration
- Globale Nutzlaständerung
- Systemprofilierung
- Selbstlöschung per Kill-Switch
Diese Funktionen ermöglichen es Angreifern nicht nur, dauerhaften Zugriff aufrechtzuerhalten, sondern sich auch dynamisch anzupassen und Beweise bei Bedarf zu löschen.
Zeitleiste des Angriffs: Eine kalkulierte Infiltration
Sicherheitsexperten erkannten den Einbruch am 28. April, als eine verdächtige ELF-Binärdatei auf einem internetfähigen Server entdeckt wurde, auf dem vermutlich SAP NetWeaver lief. Erste Anzeichen von Aufklärung und Scans begannen jedoch Berichten zufolge bereits mindestens drei Tage zuvor, was auf eine sorgfältige Planung hindeutet.
Die Angreifer nutzten CVE-2025-31324, um eine zweite Nutzlast zu übermitteln: eine ELF-Binärdatei, die sich als Auto-Color-Backdoor herausstellte. Nach der Bereitstellung zeigte die Malware ein tiefes Verständnis von Linux-Systemen und führte Aktionen mit maßvoller Präzision aus. Dabei minimierte sie ihren Fußabdruck, um eine frühzeitige Erkennung zu vermeiden.
Ein Weckruf für die Unternehmenssicherheit
Dieser Vorfall unterstreicht die Bedeutung zeitnaher Patches und kontinuierlicher Überwachung kritischer Infrastrukturen. Ausgefeilte Malware wie Auto-Color, gepaart mit Schwachstellen in Unternehmensplattformen wie SAP NetWeaver, stellt ein erhebliches Risiko für Unternehmen aller Branchen dar. IT-Teams müssen dem Schwachstellenmanagement Priorität einräumen und darauf vorbereitet sein, schleichende, hartnäckige Bedrohungen zu erkennen und darauf zu reagieren.
