名为 Auto-Color 的恶意软件于 2025 年 4 月针对一家美国化学品公司进行了有针对性的入侵。

威胁利用SAP NetWeaver 漏洞

根据 Darktrace 于 7 月 29 日发布的一份安全公告，此次攻击始于一名攻击者利用SAP NetWeaver 中的一个严重漏洞CVE-2025-31324发起攻击。

该漏洞允许远程文件上传，并可能造成系统入侵。尽管 SAP 于 4 月 24 日披露了该漏洞，攻击者组织仍迅速采取行动，将其武器化。

Sectigo 高级研究员 Jason Soroko 表示：“运行 SAP NetWeaver 的组织需要认识到 Visual Composer Metadata Uploader 漏洞 CVE-2025-31324 现已在野外被武器化，并且攻击者正在利用它在 Linux 主机上植入 Auto Color 远程访问木马。”

攻击者于4月27日通过恶意URI传递一个ZIP文件，发起了入侵。Darktrace检测到DNS隧道和可疑入站连接的迹象，包括来自已知恶意基础设施的下载。在24小时内，恶意软件Auto-Color通过从远程服务器检索的ELF文件进行传播。

Deepwatch 研究人员表示：“Darktrace 的全面分析和调查结果揭示了首例有记录的威胁组织利用关键 SAP NetWeaver 漏洞部署 Auto-Color 后门恶意软件的案例。这一发现表明，多阶段攻击的复杂程度显著提升，值得各组织立即关注。”

Auto-Color 如何运作并逃避检测

Auto-Color 是一种远程访问木马 (RAT)，能够根据系统权限调整其行为。当以 root 权限运行时，它会通过预加载操作（一种高级 Linux 持久化方法）安装伪装的共享对象库libcext.so.2。

Soroko 补充道：“该漏洞不需要身份验证，攻击者可以上传辅助脚本，提取 ELF 有效负载，并将其重命名为 /var/log/cross/auto-color，并通过向 ld.so.preload 添加名为 libcext.so.2 的虚假库来保持其持久性。”

一旦嵌入，漏洞利用程序就会重命名自身，模仿日志文件并掩盖其存在。其活动依赖于通过 TLS 建立与硬编码的命令与控制 (C2) 服务器的出站连接。如果无法访问 C2 服务器，恶意软件会抑制大多数行为，使其在沙盒或离线环境中处于休眠状态以逃避检测。

CVE-2025-31324 为每个运行 SAP 的组织敲响了警钟。Darktrace 的详细研究突显了攻击者如何巧妙有效地利用已知漏洞，沿着网络杀伤链推进。

Auto-Color后门的主要特点包括：

• 权限感知执行路径；
• 使用ld.so.preload实现基于预加载的持久性；
• 编译时嵌入的静态加密配置；
• 具有反向 shell、文件执行和终止开关等功能的模块化 C2 命令集

技术报告：

https://www.darktrace.com/blog/auto-color-backdoor-how-darktrace-thwarted-a-stealthy-linux-intrusion