Auto-Color RAT利用SAP NetWeaver漏洞发起高级网络攻击

攻击者尝试将刚修复的SAP Netweaver漏洞与隐蔽的Auto-Color Linux RAT结合，实施多阶段入侵

威胁行为者近期试图利用一个新修复的最高严重级别SAP Netweaver漏洞部署持久的Linux远程访问木马（RAT）“Auto-Color”。根据Darktrace的报告，一次最新攻击滥用该漏洞建立了隐蔽的高级阶段入侵，但很快被其“自主响应”机制遏制。

“2025年4月，Darktrace在美国一家化工企业的网络中发现了Auto-Color后门恶意软件攻击，”Darktrace在周二发布前与CSO分享的博客文章中表示。“在Darktrace成功阻止恶意活动并遏制攻击后，Darktrace威胁研究团队对恶意软件进行了深入调查，（发现）威胁行为者利用CVE-2025-31324部署Auto-Color作为多阶段攻击的一部分。”Darktrace确认这是首次观察到SAP NetWeaver利用与Auto-Color恶意软件的配对。此前，据报道该漏洞可能在零日攻击中被利用，在SAP服务器上安装JSP Web shell。

Deepwatch网络安全启用总监Frankie Sclafani表示，这一发现需要组织立即关注。“关键SAP漏洞与难以捉摸的Auto-Color后门恶意软件针对关键基础设施的危险汇聚，标志着网络威胁进入了一个令人不安的新篇章，”他补充道。“安全社区应主动监控此类活动，并促进协作情报共享，以进一步了解和反击威胁行为者的方法。”

新型SAP漏洞利用与恶意软件配对

利用SAP的关键CVE-2025-31324漏洞使恶意行为者能够将文件上传到SAP Netweaver应用服务器，可能导致远程代码执行（RCE）和完全系统入侵。

在此案例中，攻击者利用仅几天前披露的漏洞，将可执行和可链接格式（ELF）有效负载投放到面向互联网的NetWeaver服务器上。一旦安装，恶意软件会根据用户权限自适应。具有root访问权限时，它会植入恶意库“libcext.so.2”并隐藏在类似系统目录下。没有root权限时，它保持低调，同时仍尝试通过TLS联系其C2服务器。

Auto-Color于2024年首次出现，通过共享对象注入和‘ld.so.preload’持久化等技术针对Linux系统。每个样本携带唯一的文件和加密C2配置，难以检测。

Pathlock的SAP安全分析师Jonathan Stross表示，此次攻击凸显了将SAP防御纳入核心IT运营的必要性。“CVE-2025-31324对每个运行SAP的组织都是一个警钟，”他说。“应对像Auto-Color后门恶意软件这样的威胁需要跨部门协作。SAP团队、IT运营和安全必须共同努力，分享专业知识，并确保SAP系统不被视为孤立的资产。”

Auto-Color得名于其在执行后将自身重命名为“/var/log/cross/auto-color/”。该RAT通常挂钩并覆盖核心系统功能，同时保持持久性。

攻击被中途阻止

Darktrace分析师检测到可疑的ELF下载以及一系列异常DNS和SSL连接到已知恶意基础设施。这家英国网络安全公司声称其“自主响应”在几分钟内介入，将设备限制在其通常的合法活动中，同时分析师调查异常行为。

Darktrace研究人员表示，当恶意软件无法到达其C2时停滞，揭示了其内置的抑制策略以逃避沙箱分析。遏制行动延长了24小时，为客户提供了修复时间。

CVSS 10.0的SAP Netweaver漏洞于4月由公司发布补丁，通过SAP安全说明3594142推送给客户，仅可通过认证访问。无法立即应用补丁的组织被建议按照SAP说明3596125中的指示禁用或防止访问易受攻击的组件。SAP未立即回应CSO对此发现的评论请求。Sclafani为安全团队推荐了一系列措施，包括立即修补漏洞、增强异常和横向移动检测、实施网络分段和零信任，以及投资AI驱动的自主响应。