Auto-Color Backdoor

2025年4月，在一场针对美国一家化工公司的复杂网络攻击活动中，威胁行为者利用SAP NetWeaver中一个现已修补的严重漏洞部署了Auto-Color后门。此次事件凸显了未修补的系统和针对高价值目标的高级恶意软件威胁所带来的持续风险。

利用 CVE-2025-31324：远程代码执行网关

此次攻击的核心是 SAP NetWeaver 中一个高危未经身份验证文件上传漏洞 CVE-2025-31324。该漏洞允许远程代码执行 (RCE)，SAP 已于 2025 年 4 月修复该漏洞。尽管已修复该漏洞，但威胁行为者仍利用未修复的系统入侵了一台公开暴露的设备。此次攻击持续了三天，包括恶意文件下载以及与 Auto-Color 恶意软件相关的基础设施的通信。

Auto-Color：隐秘而复杂的后门

Auto-Color 于 2025 年 2 月首次被分析，其功能类似于一种旨在感染 Linux 环境的远程访问木马 (RAT)。此前，该木马曾在 2024 年 11 月至 12 月期间针对北美和亚洲的大学和政府机构发动攻击。

Auto-Color 最显著的特征之一是，当无法访问其命令与控制 (C2) 服务器时，它能够隐藏其恶意行为。这一特性表明其具有高度的操作安全性，并意图在事件响应或沙盒分析期间避免被发现。

自动配色的主要功能

Auto-Color 提供了一套全面的恶意功能，旨在对受感染系统进行深度控制。这些功能包括：

• 反向shell功能
• 文件的创建和执行
• 系统代理配置
• 全局有效载荷修改
• 系统分析
• 通过终止开关自我删除

这些功能不仅允许攻击者保持持续访问，还允许攻击者在必要时动态调整并删除证据。

攻击时间线：一次有预谋的渗透

安全专家于4月28日确认了此次入侵，当时在一台可能运行SAP NetWeaver的面向互联网的服务器上检测到了可疑的ELF二进制文件。然而，据报道，最初的侦察和扫描迹象至少在三天前就已出现，表明此次入侵是经过精心策划的。

攻击者利用 CVE-2025-31324 漏洞投递第二阶段有效载荷，该载荷是一个 ELF 二进制文件，最终被证实是 Auto-Color 后门。部署后，该恶意软件展现出对 Linux 系统的深度理解，并以可测量的精度执行操作，最大限度地减少其占用空间，从而避免被早期检测到。

企业安全的警钟

此次事件凸显了及时修补和持续监控关键基础设施的重要性。像 Auto-Color 这样的复杂恶意软件，加上 SAP NetWeaver 等企业平台中的漏洞，给各行各业的组织带来了重大风险。IT 团队必须优先考虑漏洞管理，并做好检测和应对隐蔽、持续性威胁的准备。