Darktrace近日發現了威脅行為者利用SAP NetWeaver重大漏洞(CVE-2025-31324)部署高度規避性Auto-Color後門惡意軟體的攻擊案例。
這個漏洞由SAP SE於2025年4月24日披露,CVSS評分高達10分(最高等級),攻擊者可透過此漏洞上傳惡意檔案至SAP NetWeaver應用程式伺服器,進而執行遠端程式碼並完全入侵系統。
Auto-Color惡意軟體特徵
Auto-Color後門程式首次出現於2024年11月,此前已觀察到針對美國和亞洲地區系統的攻擊活動。
Auto-Color是一個遠端存取木馬(RAT),因其能夠在執行後將自身重新命名為「/var/log/cross/auto-color」而得名,主要鎖定Linux系統,經常在美國和亞洲的大學及政府機構中被發現。
Auto-Color具有極強的隱匿能力,利用Linux內建功能如ld.so.preload進行持續性系統入侵。由於採用靜態編譯和加密的命令控制(C2)配置,使得每個惡意軟體實例都具有獨特性。更值得注意的是,研究人員發現了一個關鍵的新特徵:
當Auto-Color無法與C2伺服器建立連線時,會刻意進入「休眠狀態」,在分析環境中表現得如同正常程式,藉此隱藏其真實的惡意功能。
Auto-Color具備多項惡意功能,包括反向shell遠端存取、檔案建立和執行、系統代理配置、全域載荷操作、系統分析,以及觸發終止開關時的自我移除功能。最新研究顯示,Auto-Color已演進出額外的進階隱匿戰術,如果無法連接到硬編碼的C2伺服器,會抑制大部分惡意行為,在沙箱和離線環境中對分析人員呈現良性狀態
攻擊時序分析
根據Darktrace安全營運中心(SOC)的調查,2025年4月在一家美國化學公司網路中發現了多階段Auto-Color攻擊:
- 4月25日:開始觀察到針對CVE-2025-31324的掃描活動
- 4月27日:主動攻擊開始,來自IP 91.193.19.109的連線和ZIP檔案下載標誌著漏洞利用的開始
- 4月27-28日:受攻擊設備立即對OAST域名發出可疑DNS請求,這是漏洞測試或資料穿隧的常見手法
- 4月27日晚:下載shell腳本(config.sh),設備連接到47.97.42.177(與Supershell C2平台相關的端點)
- 4月28日:從146.70.41.178下載Auto-Color ELF惡意軟體檔案
Darktrace的調查確認這是首次觀察到SAP NetWeaver漏洞與Auto-Color惡意軟體的攻擊。
專家建議與防護措施
Qualys威脅研究部門資安研究經理Mayuresh Dani指出,即使CVE-2025-31324等漏洞已經緊急披露,駭客仍持續積極利用這些安全缺陷,形成更加持久的威脅態勢。
用戶應立即安裝SAP NetWeaver系統CVE-2025-31324修補程式,但如果因某些原因無法安裝修補程式,則應立即停止將這些SAP NetWeaver安裝暴露在網際網路上,將其隔離並封鎖 /developmentserver/metadatauploader端點,同時部署零信任架構,假設已遭入侵並在傳輸前驗證每個網路活動。