Auto-kleur achterdeur
In een geavanceerde cyberaanvalscampagne gericht op een Amerikaans chemiebedrijf in april 2025, maakten cybercriminelen misbruik van een inmiddels gepatchte kritieke kwetsbaarheid in SAP NetWeaver om de Auto-Color-backdoor te implementeren. Het incident onderstreept de aanhoudende risico's van ongepatchte systemen en geavanceerde malwaredreigingen die gericht zijn op waardevolle doelwitten.
Inhoudsopgave
Exploiteren van CVE-2025-31324: een gateway naar uitvoering van code op afstand
De kern van de aanval is CVE-2025-31324, een kritieke kwetsbaarheid voor het uploaden van bestanden zonder authenticatie in SAP NetWeaver. Deze kwetsbaarheid maakt uitvoering van code op afstand (RCE) mogelijk en werd in april 2025 door SAP gepatcht. Ondanks de oplossing maakten cybercriminelen gebruik van ongepatchte systemen om een openbaar toegankelijk apparaat te hacken. De aanval duurde drie dagen en omvatte het downloaden van schadelijke bestanden en communicatie met infrastructuur die gekoppeld was aan de Auto-Color-malware.
Auto-kleur: een sluipende en geavanceerde achterdeur
Auto-Color, voor het eerst geanalyseerd in februari 2025, functioneert vergelijkbaar met een trojan voor externe toegang (RAT) die is ontworpen om Linux-omgevingen te infecteren. Het is eerder waargenomen bij aanvallen op universiteiten en overheidsinstellingen in Noord-Amerika en Azië tussen november en december 2024.
Een van de meest opvallende kenmerken van Auto-Color is het vermogen om kwaadaardig gedrag te verbergen wanneer het de Command-and-Control (C2)-server niet kan bereiken. Deze functie suggereert een hoge mate van operationele beveiliging en een intentie om detectie tijdens incidentrespons of sandbox-analyse te vermijden.
Belangrijkste mogelijkheden van Auto-Color
Auto-Color biedt een uitgebreide reeks schadelijke functies die zijn ontworpen om diepgaande controle te bieden over gecompromitteerde systemen. Deze omvatten:
- Reverse shell-mogelijkheden
- Bestandscreatie en -uitvoering
- Systeemproxyconfiguratie
- Globale payload-modificatie
- Systeemprofilering
- Zelfverwijdering via kill switch
Dankzij deze functies kunnen aanvallers niet alleen toegang behouden, maar zich ook dynamisch aanpassen en indien nodig bewijsmateriaal wissen.
Tijdlijn van de aanval: een berekende infiltratie
Beveiligingsexperts ontdekten de inbraak op 28 april, toen een verdacht ELF-bestand werd gedetecteerd op een internetserver die waarschijnlijk SAP NetWeaver draaide. De eerste tekenen van verkenning en scans zouden echter minstens drie dagen eerder zijn begonnen, wat wijst op een zorgvuldige planning.
De aanvallers gebruikten CVE-2025-31324 om een payload in de tweede fase te leveren, een ELF-bestand dat de Auto-Color-backdoor bleek te zijn. Na implementatie toonde de malware een diepgaand begrip van Linux-systemen en voerde acties met precisie uit, waardoor de voetafdruk werd geminimaliseerd om vroegtijdige detectie te voorkomen.
Een wake-upcall voor bedrijfsbeveiliging
Dit incident onderstreept het belang van tijdige patching en continue monitoring van kritieke infrastructuur. Geavanceerde malware zoals Auto-Color, in combinatie met kwetsbaarheden in enterpriseplatforms zoals SAP NetWeaver, vormt een aanzienlijk risico voor organisaties in alle sectoren. IT-teams moeten prioriteit geven aan kwetsbaarheidsbeheer en voorbereid zijn om sluipende, aanhoudende bedreigingen te detecteren en erop te reageren.
