嘶吼RoarTalk 前天
黑客利用SAP NetWeaver漏洞部署Linux Auto-Color恶意软件
index_new5.html
../../../zaker_core/zaker_tpl_static/wap/tpl_font3.html

 

黑客被发现利用 SAP NetWeaver 的一个关键漏洞 CVE-2025-31324,在一家美国化工公司的网络攻击中部署了 Auto-Color Linux 恶意软件。

网络安全公司 Darktrace 在 2025 年 4 月的一次事件响应中发现了这种攻击,当时的调查显示,Auto-Color 恶意软件已经进化,包含了额外的高级躲避战术。

Darktrace 报告称,攻击于 4 月 25 日开始,但两天后才进行积极的利用,将一个 ELF(Linux 可执行文件)文件传输到目标机器上。

Auto-Color 恶意软件最早是由 Palo Alto Networks 的 Unit 42 研究人员在 2025 年 2 月发现的,他们强调了其隐蔽性以及在机器上扎根后难以根除的特性。

后门程序根据其运行的用户权限级别调整其行为,并使用 "ld.so"。通过共享对象注入实现隐形持久化的预加载。

Auto-Color 功能包括任意命令执行、文件修改、完全远程访问的反向 shell、代理流量转发和动态配置更新。它还有一个 rootkit 模块,可以向安全工具隐藏其恶意活动。

Unit 42 无法从它观察到的攻击中发现最初的感染媒介,这些攻击的目标是北美和亚洲的大学和政府机构。

根据 Darktrace 的最新研究,Auto-Color 背后的威胁者利用了 CVE-2025-31324,这是 NetWeaver 中的一个关键漏洞,允许未经身份验证的攻击者上传恶意二进制文件来实现远程代码执行(RCE)。

观察到的攻击时间线

SAP 在 4 月修复了这个漏洞,而安全公司 ReliaQuest、Onapsis 和 watchtower 报告称发现了活跃的利用趋势,几天后就达到了顶峰。而 Mandiant 报告称,至少从 2025 年 3 月中旬开始,就发现了针对 CVE-2025-31324 的零日攻击的证据。

除了最初的访问向量,Darktrace 还发现了一种新的逃避措施,利用在最新版本的 Auto-Color。

如果 Auto-Color 无法连接到其硬编码的命令和控制 ( C2 ) 服务器,它会抑制其大部分恶意行为。这适用于沙盒和与互联网物理隔离的环境,在这些环境中,恶意软件对分析人员来说会显得 benign。

Darktrace 解释说:" 如果 C2 服务器无法访问,Auto-Color 就会有效地停止并避免部署其全部恶意功能,在分析师看来是良性的。" 这种行为可以防止逆向工程发现其有效载荷、凭证收集机制或持久性技术。

这是在 Unit 42 前面记录的内容之上添加的,包括特权感知的执行逻辑、无害文件名的使用、钩子 libc 函数、假日志目录的使用、通过 TLS 的 C2 连接、每个示例的唯一散列以及 " 终止开关 " 的存在。

由于 Auto-Color 现在积极利用 CVE-2025-31324,管理员应该迅速采取行动,在仅面向客户的 SAP 公告中提供安全更新或缓解措施。

宙世代

宙世代

ZAKER旗下Web3.0元宇宙平台

一起剪

一起剪

ZAKER旗下免费视频剪辑工具

相关标签

linux 黑客 美国 网络攻击 物理
相关文章
评论
没有更多评论了
取消

登录后才可以发布评论哦

打开小程序可以发布评论哦

12 我来说两句…
打开 ZAKER 参与讨论