Een infectie met Auto-Color malware in Linux-systemen is tegengehouden door ai-gedreven detectie. Het besmette apparaat kon gewoon doorgaan met dagelijkse activiteiten.
Vermoedelijk via SAP NetWeaver hebben cybercriminelen misbruik weten te maken van CVE-2025-31324, een kritieke kwetsbaarheid waarmee men bestanden kan uploaden naar de applicatieserver en remote code kan uitvoeren. ‘De aanval verliep in meerdere fasen,’ zo legt ontdekker Darktrace uit, die in Den Haag een R&D team heeft. ‘Via een downloadlink werd een shellscript binnengehaald, dat vervolgens leidde tot communicatie met bekende command-and-control (C2) infrastructuur. Uiteindelijk werd de Auto-Color malware gedownload, een remote access trojan (RAT) die zich richt op Linux-systemen.’
‘Auto-Color is ontworpen om onder de radar te blijven. De malware controleert eerst of het systeem root-toegang biedt. Als dit het geval is, implanteert Auto-Color zichzelf diep in het systeem door gebruik te maken van de preload-functie in Linux en zichzelf te hernoemen naar een logmap-achtige locatie: /var/log/cross/auto-color. De malware probeert vervolgens verbinding te maken met een hardcoded IP-adres via TLS op poort 443. Alleen wanneer deze verbinding slaagt, activeert de malware zijn volledige functionaliteit – waaronder het stelen van gegevens, uitvoeren van opdrachten en zelfverwijdering. Wanneer de verbinding mislukt, blijft de malware passief om analyse te bemoeilijken.’
Ai-cybersecurity vermindert down-time
De ai-gedreven beveiligingssoftware detecteerde de eerste verdachte activiteit snel, door ongebruikelijk verkeer naar kwetsbare SAP-componenten. De daadwerkelijke exploitatie begon kort daarna, met een reeks downloads en scripts die de aanval voorbereidden. Toen het systeem uiteindelijk probeerde de Auto-Color malware binnen te halen, dwong de beveiligingssoftware het getroffen apparaat in een ‘pattern of life’: het systeem mocht uitsluitend bekende, normale activiteiten uitvoeren en geen enkele afwijkende verbinding opzetten. Dit voorkwam dat de malware succesvol contact kon leggen met zijn command-and-controlserver, een cruciale stap in de aanvalsketen, terwijl het apparaat zelf de normale taken kon blijven uitvoeren, aldus Darktrace.
‘Gedurende zes uur probeerde Auto-Color alsnog verbinding te maken via versleutelde communicatie (TLS over poort 443), maar alle pogingen werden automatisch geblokkeerd. Omdat de malware afhankelijk is van die C2-verbinding om zijn volledige functionaliteit te activeren — zoals bestandsinjectie, proxyconfiguraties of zelfverwijdering — schakelde deze over naar ‘slaapmodus’.’ De beperkingen werden verlengd, zodat de beheerder van het apparaat tijd had om de dreiging te analyseren en te verhelpen. ‘Dankzij deze combinatie van autonome verdediging en menselijke ondersteuning werd de aanval vroegtijdig ingedamd, nog vóórdat de malware zich volledig kon nestelen in het systeem.’
Een baseline van verwacht gedrag heet “pattern of life”.
En daar hoort malware ophalen van een “hardcoded IP-adres via TLS op poort 443” natuurlijk niet bij.
Zouden die SAP systemen dan standaard in “pattern of ‘afwijkende verbindingen opzetten'” mode staan ?
Ja dus, want voor dat je het weet ziet de business de security afdeling natuurlijk weer als het department of NO.
En het afdwingen van normale security noemt men blijkbaar AI.
Waarbij uiteindelijk “menselijk ondersteuning” nodig was.
Security afdeling die verder natuurlijk de hele dag false positives aan het onderzoeken is.
Spannend geschreven artikel, maar ik val toch weer terug in slaapmodus.
Een typisch voorbeeld van hoe commerciële securitybedrijven zichzelf positioneren als de ontdekker om hun merkwaarde te versterken:
https://unit42.paloaltonetworks.com/new-linux-backdoor-auto-color/
In het geval van Auto-Color is het aannemelijk dat Darktrace vooral gedragsindicatoren in klantnetwerken zag zoals Dino al zegt en daar een PR-moment van maakte.