近日,网络安全公司Darktrace在应对美国一家化工企业的安全事件时发现,黑客正在利用SAP NetWeaver一个关键漏洞(CVE-2025-31324)投放新型Linux恶意软件Auto-Color。该攻击始于4月25日,黑客通过远程代码执行将Auto-Color的ELF文件植入受害主机。据报道,Auto-Color最早在2025年2月由Palo Alto Networks Unit 42团队披露,其具有高度隐蔽性,一旦系统被攻陷极难彻底清除。该木马通过“ld.so.preload”机制实现持久化,并具备执行任意命令、文件操作、反向shell远程控制及代理转发流量等多种能力,还内置rootkit模块隐藏恶意行为。
SAP已于2025年4月修复上述漏洞,但安全厂商监测到持续的漏洞利用活动,5月起更有勒索软件团伙及与中国有关的黑客组织加入攻击行列。另外,Mandiant指出,此漏洞自3月中旬起已被作为零日利用。
最新版本的Auto-Color还实现了一项新型反分析措施:如果无法成功连接其指令控制服务器,木马会主动停止大部分恶意活动,使其在沙箱或隔离环境中表现为“良性”,从而逃避检测与溯源。