Aggregator

Here’s a look at the most interesting products from the past month, featuring releases from: Akeyless, At-Bay, Barracuda Networks, Bitdefender, Cynomi, Darwinium, DigitalOcean, Immersive, Lepide, Malwarebytes, ManageEngine, NETSCOUT, PlexTrac, Scamnetic, Seemplicity, Socure, StealthCores, Stellar Cyber, Tosibox, Tracer AI, and Zenni Optical. Darwinium launches AI tools to detect and disrupt adversarial threats Darwinium has announced Beagle and Copilot, two new agentic AI features that simulate adversarial attacks, surface hidden vulnerabilities, and dynamically optimize fraud defenses. As … More →

The post Infosec products of the month: July 2025 appeared first on Help Net Security.

黑客被发现利用SAP NetWeaver的一个关键漏洞CVE-2025-31324，在一家美国化工公司的网络攻击中部署了Auto-Color Linux恶意软件。

网络安全公司Darktrace在2025年4月的一次事件响应中发现了这种攻击，当时的调查显示，Auto-Color 恶意软件已经进化，包含了额外的高级躲避战术。

Darktrace报告称，攻击于4月25日开始，但两天后才进行积极的利用，将一个ELF（Linux可执行文件）文件传输到目标机器上。

Auto-Color 恶意软件最早是由Palo Alto Networks 的 Unit 42 研究人员在 2025 年 2 月发现的，他们强调了其隐蔽性以及在机器上扎根后难以根除的特性。

后门程序根据其运行的用户权限级别调整其行为，并使用“ld.so”。通过共享对象注入实现隐形持久化的预加载。

Auto-Color功能包括任意命令执行、文件修改、完全远程访问的反向shell、代理流量转发和动态配置更新。它还有一个rootkit模块，可以向安全工具隐藏其恶意活动。

Unit 42无法从它观察到的攻击中发现最初的感染媒介，这些攻击的目标是北美和亚洲的大学和政府机构。

根据Darktrace的最新研究，Auto-Color背后的威胁者利用了CVE-2025-31324，这是NetWeaver中的一个关键漏洞，允许未经身份验证的攻击者上传恶意二进制文件来实现远程代码执行（RCE）。

观察到的攻击时间线

SAP在4月修复了这个漏洞，而安全公司ReliaQuest、Onapsis和watchtower报告称发现了活跃的利用趋势，几天后就达到了顶峰。而Mandiant报告称，至少从2025年3月中旬开始，就发现了针对CVE-2025-31324的零日攻击的证据。

除了最初的访问向量，Darktrace还发现了一种新的逃避措施，利用在最新版本的Auto-Color。

如果 Auto-Color 无法连接到其硬编码的命令和控制 (C2) 服务器，它会抑制其大部分恶意行为。这适用于沙盒和与互联网物理隔离的环境，在这些环境中，恶意软件对分析人员来说会显得 benign。

Darktrace解释说：“如果C2服务器无法访问，Auto-Color就会有效地停止并避免部署其全部恶意功能，在分析师看来是良性的。”这种行为可以防止逆向工程发现其有效载荷、凭证收集机制或持久性技术。

这是在Unit 42前面记录的内容之上添加的，包括特权感知的执行逻辑、无害文件名的使用、钩子libc函数、假日志目录的使用、通过TLS的C2连接、每个示例的唯一散列以及“终止开关”的存在。

由于Auto-Color现在积极利用CVE-2025-31324，管理员应该迅速采取行动，在仅面向客户的SAP公告中提供安全更新或缓解措施。

Author: Ke Liu of Tencent’s Xuanwu Lab

2017年3月27日，来自华南理工大学的 Zhiniang Peng 和 Chen Wu 在 GitHub [1] 上公开了一份 IIS 6.0 的漏洞利用代码，并指明其可能于 2016 年 7 月份或 8 月份被用于黑客攻击活动。

该漏洞的编号为 CVE-2017-7269 [2]，由恶意的 PROPFIND 请求所引起：当 If 字段包含形如 <http://localhost/xxxx> 的超长URL时，可导致缓冲区溢出（包括栈溢出和堆溢出）。

微软从 2015 年 7 月 14 日开始停止对 Windows Server 2003 的支持，所以这个漏洞也没有官方补丁，0patch [3] 提供了一个临时的解决方案。

无独有偶，Shadow Brokers 在2017年4月14日公布了一批新的 NSA 黑客工具，笔者分析后确认其中的 Explodingcan 便是 CVE-2017-7269 的漏洞利用程序，而且两个 Exploit 的写法如出一辙，有理由认为两者出自同一团队之手：

• 两个 Exploit 的结构基本一致；
• 都将 Payload 数据填充到地址 0x680312c0；
• 都基于 KiFastSystemCall / NtProtectVirtualMemory 绕过 DEP；

本文以 3 月份公布的 Exploit 为基础，详细分析该漏洞的基本原理和利用技巧。