Auto-Color Backdoor

2025年4月，在一場針對美國化工公司的複雜網路攻擊活動中，威脅行為者利用SAP NetWeaver中一個現已修補的嚴重漏洞部署了Auto-Color後門。這次事件凸顯了未修補的系統和針對高價值目標的高階惡意軟體威脅所帶來的持續風險。

利用 CVE-2025-31324：遠端程式碼執行網關

這次攻擊的核心是 SAP NetWeaver 中一個高風險未經身份驗證檔案上傳漏洞 CVE-2025-31324。該漏洞允許遠端程式碼執行 (RCE)，SAP 已於 2025 年 4 月修復漏洞。儘管已修復漏洞，但威脅行為者仍利用未修復的系統入侵了一台公開暴露的設備。這次攻擊持續了三天，包括惡意檔案下載以及與 Auto-Color 惡意軟體相關的基礎設施的通訊。

Auto-Color：隱密而複雜的後門

Auto-Color 於 2025 年 2 月首次被分析，其功能類似於旨在感染 Linux 環境的遠端存取木馬 (RAT)。此前，該木馬曾在 2024 年 11 月至 12 月期間針對北美和亞洲的大學和政府機構發動攻擊。

Auto-Color 最顯著的特徵之一是，當無法存取其命令與控制 (C2) 伺服器時，它能夠隱藏其惡意行為。這一特性表明其具有高度的操作安全性，並意圖在事件回應或沙盒分析期間避免被發現。

自動配色的主要功能

Auto-Color 提供了一套全面的惡意功能，旨在對受感染系統進行深度控制。這些功能包括：

• 反向shell功能
• 文件的建立和執行
• 系統代理配置
• 全域有效載荷修改
• 系統分析
• 透過終止開關自我刪除

這些功能不僅允許攻擊者保持持續訪問，還允許攻擊者在必要時動態調整並刪除證據。

攻擊時間線：一次有預謀的滲透

安全專家於4月28日確認了此次入侵，當時在一台可能運行SAP NetWeaver的面向互聯網的伺服器上檢測到了可疑的ELF二進位。然而，據報道，最初的偵察和掃描跡象至少在三天前就已出現，表明入侵是經過精心策劃的。

攻擊者利用 CVE-2025-31324 漏洞投遞第二階段有效載荷，該載荷是一個 ELF 二進位文件，最終被證實是 Auto-Color 後門。部署後，該惡意軟體展現出對 Linux 系統的深度理解，並以可測量的精度執行操作，最大限度地減少其佔用空間，從而避免被早期檢測到。

企業安全的警鐘

此次事件凸顯了及時修補和持續監控關鍵基礎設施的重要性。像 Auto-Color 這樣的複雜惡意軟體，加上 SAP NetWeaver 等企業平台的漏洞，為各行各業的組織帶來了重大風險。 IT 團隊必須優先考慮漏洞管理，並做好偵測並應對隱藏、持續性威脅的準備。