网络安全公司Darktrace披露，攻击者利用SAP NetWeaver高危漏洞CVE-2025-31324，成功在美国一家化工企业部署了Linux后门病毒Auto-Color。该恶意软件不仅能够执行任意命令、篡改文件、进行远程控制和流量代理，还具备新型的规避技术。当无法连接到硬编码的C2服务器时，Auto-Color会抑制多数恶意行为，在沙箱或隔离环境中呈现良性特征，极大地增加了分析人员的逆向工程难度。SAP已发布补丁，但仍需立即应用以防范风险。

🎯 **关键漏洞利用与攻击目标**：攻击者利用SAP NetWeaver的高危漏洞CVE-2025-31324，成功植入了Linux后门病毒Auto-Color到一家美国化工企业的设备中，表明该漏洞存在被广泛利用的风险，且目标可能涉及关键基础设施。

🦠 **Auto-Color后门病毒的强大功能**：该恶意软件具备执行任意命令、文件篡改、反向shell远程控制、流量代理转发以及动态配置更新等多种能力。其根模块能够隐藏恶意活动痕迹，并通过劫持"ld.so.preload"实现共享库注入式持久化驻留，显示出其高度的复杂性和隐蔽性。

🛡️ **新型规避技术提升检测难度**：Auto-Color新增了关键的规避机制，即在无法连接到预设的C2服务器时，会抑制大部分恶意行为，从而在沙箱或隔离环境中表现出无害的特征。这一特性显著阻碍了安全分析人员对其载荷、凭证窃取及持久化技术的深入揭露。

🚨 **漏洞修复与利用之间的竞赛**：尽管SAP已在2025年4月发布了针对CVE-2025-31324的补丁，但多家安全机构监测到，在补丁发布后的数日内，就出现了大规模的漏洞利用尝试。这凸显了企业及时应用安全更新的重要性，以及攻击者迅速行动的能力。

HackerNews 编译，转载请注明出处：

网络安全公司Darktrace在2025年4月的事件响应中发现，攻击者利用SAP NetWeaver高危漏洞CVE-2025-31324，对美国某化工企业部署Linux后门病毒Auto-Color。调查显示该恶意软件已升级新型规避技术。

此次攻击始于4月25日，活跃利用发生在27日，攻击者向目标设备植入ELF可执行文件。Auto-Color最初由Palo Alto Networks Unit 42团队于2025年2月记录，其具备高隐蔽性且难以根除。该后门根据运行权限动态调整行为模式，通过劫持”ld.so.preload”实现共享库注入式持久化驻留。

Auto-Color具备任意命令执行、文件篡改、反向shell远程控制、流量代理转发及动态配置更新能力，其根模块可隐藏恶意活动痕迹。Unit 42此前未能确定该病毒针对北美和亚洲政府及高校的初始感染途径。

Darktrace最新研究证实，攻击者通过NetWeaver漏洞实现未授权上传恶意二进制文件并执行远程代码。SAP已于2025年4月发布补丁，但ReliaQuest、Onapsis等机构监测到漏洞修复数日后即出现大规模利用尝试。

除初始攻击途径外，Darktrace还发现Auto-Color新增规避机制：当无法连接硬编码C2服务器时，恶意程序将抑制多数恶意行为。在沙箱或隔离环境中，该特性使病毒呈现良性特征。”若C2服务器不可达，Auto-Color会暂停完整恶意功能加载，使分析人员误判其无害性，”Darktrace解释称，”该机制有效阻碍逆向工程人员揭露其载荷、凭证窃取及持久化技术”。此特性在原Unit 42披露的权限感知逻辑、无害文件名伪装、libc函数劫持、伪造日志目录等技术基础上再次升级。

鉴于Auto-Color正积极利用该漏洞，管理员需立即应用SAP客户公告中的安全更新或缓解措施。

 

 

 

---

消息来源：bleepingcomputer；

本文由 HackerNews.cc 翻译整理，封面来源于网络；

转载请注明“转自 HackerNews.cc”并附上原文