攻撃者は、パッチが適用されたばかりのSAP Netweaverの脆弱性とステルス性の高いAuto-Color Linux RATを連鎖させ、多段階の侵害を試みた。
脅威アクターは最近、最大深刻度のSAP Netweaverの新たにパッチが適用された脆弱性を悪用し、持続的なLinuxリモートアクセス型トロイの木馬(RAT)「Auto-Color」を展開しようとした。
Darktraceのレポートによると、最近の攻撃ではこの脆弱性を悪用してステルス性の高い高度な侵害を試みたが、「自律型レスポンス」により短時間で封じ込められたという。
「2025年4月、Darktraceは米国の化学企業のネットワーク上でAuto-Colorバックドア型マルウェア攻撃を検知しました」とDarktraceはブログ記事で火曜日の公開に先立ちCSOに共有した。「Darktraceが悪意のある活動をブロックし攻撃を封じ込めた後、Darktrace脅威リサーチチームがマルウェアをさらに調査した結果、脅威アクターがCVE-2025-31324を悪用し、Auto-Colorを多段階攻撃の一部として展開していたことが判明しました。」
Darktraceは、SAP NetWeaverの脆弱性悪用とAuto-Colorマルウェアの組み合わせが初めて観測されたケースであることを確認しました。以前、この脆弱性はゼロデイ攻撃でSAPサーバーにJSPウェブシェルをインストールするために悪用された可能性があると報告されていました。
Deepwatchのサイバーセキュリティ推進ディレクター、フランキー・スクラファニ氏は、この発見は組織による即時の注意を要すると述べています。「重要なSAPの脆弱性と捉えどころのないAuto-Colorバックドア型マルウェアが重要インフラを標的に融合したことは、サイバー脅威の新たな不穏な章を示しています」と同氏は付け加えました。「セキュリティコミュニティはこの活動を積極的に監視し、脅威アクターの手法をさらに理解し対抗するために、協調的なインテリジェンス共有を促進すべきです。」
新たなSAP脆弱性悪用とマルウェアの組み合わせ
SAPの重大なCVE-2025-31324脆弱性の悪用により、悪意のあるアクターはSAP Netweaverアプリケーションサーバーにファイルをアップロードでき、リモートコード実行(RCE)やシステム全体の侵害につながる可能性があります。
今回のケースでは、攻撃者は公開からわずか数日後のこの脆弱性を悪用し、実行可能かつリンク可能な形式(ELF)のペイロードをインターネットに面したNetWeaverサーバーに送り込みました。インストールされると、マルウェアはユーザー権限に応じて動作を変えます。root権限があれば、悪意のあるライブラリ「libcext.so.2」を埋め込み、システム風のディレクトリに隠れます。root権限がなければ、目立たないようにしつつもTLS経由でC2サーバーへの接続を試み続けます。
Auto-Colorは2024年に初めて確認され、共有オブジェクトインジェクションや「ld.so.preload」永続化などの手法でLinuxシステムを標的にします。各サンプルは固有のファイルと暗号化されたC2設定を持ち、検知を困難にしています。
PathlockのSAPセキュリティアナリスト、ジョナサン・ストロス氏は、この攻撃はSAP防御をIT運用の中核に組み込む必要性を浮き彫りにしていると述べています。「CVE-2025-31324は、SAPを運用するすべての組織への警鐘です」と同氏は語ります。「Auto-Colorバックドア型マルウェアのような脅威に対処するには、部門横断的な連携が必要です。SAPチーム、IT運用、セキュリティが協力し、専門知識を共有し、SAPシステムを孤立した資産として扱わないようにする必要があります。」
Auto-Colorという名称は、実行後に「/var/log/cross/auto-color/」へ自身の名前を変更することに由来します。このRATは通常、コアシステム機能をフックし上書きしつつ、持続性を維持します。
攻撃はその場で阻止された
Darktraceのアナリストは、不審なELFファイルのダウンロードや、既知の悪意あるインフラへの奇妙なDNSおよびSSL接続の急増を検知しました。イギリスのサイバーセキュリティ企業である同社は、「自律型レスポンス」が数分以内に介入し、アナリストが異常な挙動を調査する間、デバイスを通常の正当な活動のみに制限したと主張しています。
Darktraceの研究者によると、マルウェアはC2に接続できなかったため動作が停止し、サンドボックス解析を回避するための内蔵抑制戦術が明らかになったとのことです。封じ込め措置は24時間延長され、顧客が対処する時間が確保されました。
CVSS 10.0のSAP Netweaver脆弱性には、4月に同社からパッチが提供され、SAPセキュリティノート3594142として顧客に展開されました(認証が必要)。すぐにパッチを適用できない場合は、SAPノート3596125の指示に従い、脆弱なコンポーネントへのアクセスを無効化または防止することが推奨されました。SAPはこの発見に関するCSOのコメント要請に即時回答しませんでした。スクラファニ氏は、セキュリティチーム向けに、脆弱性の即時パッチ適用、異常検知およびラテラルムーブメント検知の強化、ネットワークセグメンテーションとゼロトラストの実装、AIによる自律型レスポンスへの投資などの対策を推奨しています。
ニュースレターを購読する
編集部からあなたの受信箱へ
下記にメールアドレスを入力して開始してください。