【安全资讯】黑客利用SAP NetWeaver漏洞部署Linux Auto-Color恶意软件

概要：

近日，黑客利用SAP NetWeaver中的一个关键漏洞（CVE-2025-31324）部署了Linux Auto-Color恶意软件，对美国一家化学品公司发动了网络攻击。网络安全公司Darktrace在2025年4月的事件响应中发现了此次攻击，并指出Auto-Color恶意软件已进化出更多高级规避战术。此次攻击不仅影响了企业运营，还波及北美和亚洲的大学及政府机构，凸显了该漏洞的严重性和广泛影响。

主要内容：

攻击始于2025年4月25日，但实际利用发生在两天后，黑客通过漏洞上传了一个ELF（Linux可执行）文件到目标机器。Auto-Color恶意软件首次由Palo Alto Networks的Unit 42研究团队在2025年2月记录，其特点是难以检测和清除。该后门会根据运行权限调整行为，并通过共享对象注入（ld.so.preload）实现隐蔽持久化。

Auto-Color具备任意命令执行、文件修改、反向Shell远程访问、代理流量转发和动态配置更新等功能，并包含一个rootkit模块以隐藏恶意活动。Darktrace发现，攻击者利用CVE-2025-31324漏洞实现远程代码执行（RCE），该漏洞允许未经认证的攻击者上传恶意二进制文件。

最新版本的Auto-Color新增了一项规避措施：若无法连接到硬编码的C2服务器，恶意软件会抑制大部分恶意行为，使其在沙盒或隔离环境中显得无害。这一特性增加了分析和逆向工程的难度。

SAP已于2025年4月修复该漏洞，但安全公司发现，勒索软件团伙和国家黑客已加入利用行列。Mandiant报告称，早在2025年3月中旬就发现了该漏洞的零日利用证据。管理员需尽快应用SAP提供的安全更新或缓解措施，以防止进一步攻击。