Cybersecurity-Experten von Darktrace haben einen besorgniserregenden Sicherheitsvorfall dokumentiert: Angreifer nutzten erfolgreich die kritische Sicherheitslücke CVE-2025-31324 in SAP NetWeaver, um die gefährliche Auto-Color Malware in das Netzwerk einer amerikanischen Chemieunternehmens einzuschleusen. Der im April 2025 entdeckte Angriff verdeutlicht die fortschreitende Entwicklung dieser Linux-basierten Schadsoftware und deren Fähigkeit, moderne Sicherheitsmechanismen zu umgehen.
Charakteristika der Auto-Color Bedrohung
Die Auto-Color Malware wurde Anfang 2025 erstmals von Sicherheitsforschern bei Palo Alto Networks identifiziert. Dieser Linux-Backdoor verfügt über ausgeklügelte Technologien zur Umgehung von Erkennungssystemen, was ihn zu einer besonders gefährlichen Bedrohung für Unternehmensnetzwerke macht.
Zu den charakteristischen Merkmalen der Schadsoftware gehört die Verwendung unauffälliger Dateinamen wie „door“ oder „egg“, die bei Systemadministratoren keinen Verdacht erwecken. Die Malware setzt proprietäre Verschlüsselungsalgorithmen ein, um Kommunikationskanäle zu Command-and-Control-Servern sowie Konfigurationsdaten zu schützen.
Adaptive Verhaltensmuster und Tarnmechanismen
Eine besondere Eigenschaft von Auto-Color ist die Fähigkeit zur dynamischen Anpassung des Verhaltens basierend auf den Benutzerrechten des kompromittierten Systems. Der Backdoor nutzt den ld.so.preload-Mechanismus für die verdeckte Datenpersistierung durch Shared-Object-Injektionen, was die Erkennung durch herkömmliche Antivirus-Lösungen erheblich erschwert.
Das Funktionsspektrum der Malware umfasst die Ausführung von Reverse-Shells, Sammlung von Systeminformationen, Erstellung und Modifikation von Dateien sowie die Ausführung beliebiger Programme. Zusätzlich kann das infizierte System als Proxy-Server für weiterführende Angriffe missbraucht werden.
Selbstzerstörungsmechanismus und Analyse-Resistenz
Eine der raffiniertesten Funktionen von Auto-Color ist der integrierte „Kill-Switch“ – ein Selbstzerstörungsmechanismus, der es Angreifern ermöglicht, alle Spuren der Kompromittierung vollständig zu entfernen. Diese Fähigkeit erschwert forensische Untersuchungen und Incident-Response-Maßnahmen erheblich.
Laut Darktrace-Analyse wechselt Auto-Color bei Nichtverfügbarkeit des Steuerungsservers in einen passiven Modus und stellt nahezu alle schädlichen Aktivitäten ein. Dieses Verhalten erzeugt den falschen Eindruck einer harmlosen Software und kompliziert die Analyse für IT-Sicherheitsspezialisten beträchtlich.
Ausnutzung der SAP NetWeaver Schwachstelle
Die kritische Sicherheitslücke CVE-2025-31324 in SAP NetWeaver ermöglicht Angreifern das Hochladen und Ausführen beliebigen Codes ohne Authentifizierungsanforderungen. Dies macht sie besonders attraktiv für Cyberkriminelle, da keine vorherige Kompromittierung von Zugangsdaten erforderlich ist.
Obwohl SAP im April 2025 einen Patch für die Schwachstelle veröffentlichte, versäumten es viele Organisationen, die Updates zeitnah zu installieren. Bis Mai 2025 begannen auch Ransomware-Gruppen und mit chinesischen Staatsstrukturen verbundene Hackergruppen, diese Sicherheitslücke zu exploitieren.
Bedrohungsumfang und Angriffsgeographie
Untersuchungen von Mandiant bestätigten, dass die Schwachstelle bereits als Zero-Day-Exploit seit Mitte März 2025 aktiv ausgenutzt wurde, noch vor der offiziellen Entdeckung und dem Patching. Die ersten Angriffe richteten sich gegen Universitäten und Regierungsorganisationen in Nordamerika und Asien.
Dieser Vorfall unterstreicht die kritische Bedeutung zeitnaher Systemupdates und der Implementierung mehrschichtiger Sicherheitslösungen. Organisationen wird dringend empfohlen, sofort die Verfügbarkeit von SAP NetWeaver-Updates zu prüfen, die Netzwerküberwachung zu verstärken und Sicherheitsaudits kritischer Systeme durchzuführen. Nur ein umfassender Ansatz in der Cybersicherheit kann zuverlässigen Schutz vor modernen Bedrohungen wie Auto-Color gewährleisten.