Darktrace detecteert geavanceerde Linux-aanval via Auto-Color backdoor-malware

Den Haag, 7 augustus 2025 – Uit nieuw onderzoek van Darktrace blijkt dat cybercriminelen actief misbruik maken van een recent ontdekte kwetsbaarheid in SAP NetWeaver (CVE-2025-31324) om Linux-systemen te infecteren met de geavanceerde Auto-Color backdoor-malware. Dankzij AI-gedreven detectie en snelle respons wist Darktrace een aanval op een Amerikaans chemiebedrijf vroegtijdig te stoppen. Slimme malware en misbruik van SAP-kwetsbaarheid De aanval verliep in meerdere fasen: via een downloadlink werd een shellscript binnengehaald, dat vervolgens leidde tot communicatie met bekende command-and-control (C2) infrastructuur. Uiteindelijk werd de Auto-Color malware gedownload — een Remote Access Trojan (RAT) die zich richt op Linux-systemen. Malware ontwijkt detectie en wacht op instructies De malware probeert vervolgens verbinding te maken met een hardcoded IP-adres via TLS op poort 443. Alleen wanneer deze verbinding slaagt, activeert de malware zijn volledige functionaliteit – waaronder het stelen van gegevens, uitvoeren van opdrachten en zelfverwijdering. Wanneer de verbinding mislukt, blijft de malware passief om analyse te bemoeilijken. Snelle ingreep voorkomt escalatie De responsmodule beperkte het gedrag van het getroffen apparaat door een zogenoemd “pattern of life” af te dwingen: het systeem mocht uitsluitend bekende, normale activiteiten uitvoeren en geen enkele afwijkende verbinding opzetten. Dit voorkwam dat de malware succesvol contact kon leggen met zijn command-and-controlserver, een cruciale stap in de aanvalsketen. Gedurende zes uur probeerde Auto-Color alsnog verbinding te maken via versleutelde communicatie (TLS over poort 443), maar alle pogingen werden automatisch geblokkeerd. Omdat de malware afhankelijk is van die C2-verbinding om zijn volledige functionaliteit te activeren — zoals bestandsinjectie, proxyconfiguraties of zelfverwijdering — schakelde deze over naar ‘slaapmodus’. Het Darktrace Managed Detection and Response (MDR)-team verlengde de beperkingen met 24 uur, waardoor het beveiligingsteam van de klant tijd kreeg om de dreiging grondig te analyseren en te verhelpen. Dankzij deze combinatie van autonome verdediging en menselijke ondersteuning werd de aanval vroegtijdig ingedamd, nog vóórdat de malware zich volledig kon nestelen in het systeem. Lees de blog op de website van Darktrace voor een uitgebreide technische analyse. |
Over Darktrace |
Dit artikel is een ingezonden bericht en valt buiten de verantwoordelijkheid van de redactie.