黑客利用SAP NetWeaver漏洞部署Linux Auto-Color恶意软件

黑客被发现利用SAP NetWeaver的一个关键漏洞CVE-2025-31324，在一家美国化工公司的网络攻击中部署了Auto-Color Linux恶意软件。

网络安全公司Darktrace在2025年4月的一次事件响应中发现了这种攻击，当时的调查显示，Auto-Color 恶意软件已经进化，包含了额外的高级躲避战术。

Darktrace报告称，攻击于4月25日开始，但两天后才进行积极的利用，将一个ELF（Linux可执行文件）文件传输到目标机器上。

Auto-Color 恶意软件最早是由Palo Alto Networks 的 Unit 42 研究人员在 2025 年 2 月发现的，他们强调了其隐蔽性以及在机器上扎根后难以根除的特性。

后门程序根据其运行的用户权限级别调整其行为，并使用“ld.so”。通过共享对象注入实现隐形持久化的预加载。

Auto-Color功能包括任意命令执行、文件修改、完全远程访问的反向shell、代理流量转发和动态配置更新。它还有一个rootkit模块，可以向安全工具隐藏其恶意活动。

Unit 42无法从它观察到的攻击中发现最初的感染媒介，这些攻击的目标是北美和亚洲的大学和政府机构。

根据Darktrace的最新研究，Auto-Color背后的威胁者利用了CVE-2025-31324，这是NetWeaver中的一个关键漏洞，允许未经身份验证的攻击者上传恶意二进制文件来实现远程代码执行（RCE）。

观察到的攻击时间线

SAP在4月修复了这个漏洞，而安全公司ReliaQuest、Onapsis和watchtower报告称发现了活跃的利用趋势，几天后就达到了顶峰。而Mandiant报告称，至少从2025年3月中旬开始，就发现了针对CVE-2025-31324的零日攻击的证据。

除了最初的访问向量，Darktrace还发现了一种新的逃避措施，利用在最新版本的Auto-Color。

如果 Auto-Color 无法连接到其硬编码的命令和控制 (C2) 服务器，它会抑制其大部分恶意行为。这适用于沙盒和与互联网物理隔离的环境，在这些环境中，恶意软件对分析人员来说会显得 benign。

Darktrace解释说：“如果C2服务器无法访问，Auto-Color就会有效地停止并避免部署其全部恶意功能，在分析师看来是良性的。”这种行为可以防止逆向工程发现其有效载荷、凭证收集机制或持久性技术。

这是在Unit 42前面记录的内容之上添加的，包括特权感知的执行逻辑、无害文件名的使用、钩子libc函数、假日志目录的使用、通过TLS的C2连接、每个示例的唯一散列以及“终止开关”的存在。

由于Auto-Color现在积极利用CVE-2025-31324，管理员应该迅速采取行动，在仅面向客户的SAP公告中提供安全更新或缓解措施。