コンテンツにスキップするには Enter キーを押してください

Auto-Color バックドアマルウェアがSAPの脆弱性を悪用

投稿日 2025年7月29日

Linuxシステムを標的とし、SAPの重大な脆弱性を悪用する新たなバックドアマルウェアキャンペーンが、サイバーセキュリティ研究者によって発見されました。

Auto-Colorとして知られるこのマルウェアは、2025年4月に米国の化学品企業を標的とした侵入で展開されました。

脅威はSAP NetWeaverの脆弱性を悪用

Darktraceが7月29日に公開したアドバイザリによると、攻撃は脅威アクターがCVE-2025-31324という、リモートファイルアップロードおよびシステム侵害の可能性を許すSAP NetWeaverの重大な欠陥を悪用したことで始まりました。SAPが4月24日にこの脆弱性を公表したにもかかわらず、脅威アクターはすぐにこれを武器化しました。

SectigoのシニアフェローであるJason Soroko氏は、「SAP NetWeaverを運用している組織は、Visual Composer Metadata Uploaderの脆弱性CVE-2025-31324がすでに実際に武器化されており、攻撃者がLinuxホストにAuto Colorリモートアクセス型トロイの木馬を設置するために利用していることを認識する必要があります」と述べました。

攻撃者は悪意のあるURI経由で配布されたZIPファイルを使い、4月27日に侵入を開始しました。DarktraceはDNSトンネリングや不審な着信接続、既知の悪意あるインフラからのダウンロードなどの兆候を検知しました。24時間以内に、Auto-Colorマルウェアはリモートサーバーから取得されたELFファイルを通じて配布されました。

「Darktraceの徹底的な分析と調査により、脅威アクターが重大なSAP NetWeaverの脆弱性を悪用してAuto-Colorバックドアマルウェアを展開した初の記録的事例が明らかになりました」とDeepwatchのサイバーセキュリティ・イネーブルメントディレクター、Frankie Sclafani氏は述べています。「この発見は多段階攻撃の高度化における重要なエスカレーションを示しており、組織は直ちに注意を払う必要があります。」

SAP NetWeaverの悪用についてさらに読む:SAP、悪用の証拠を受け重大な脆弱性を修正

Auto-Colorの動作と検知回避方法

Auto-Colorはリモートアクセス型トロイの木馬(RAT)として機能し、システム権限に応じて動作を適応させることができます。root権限で実行されると、プリロード操作という高度なLinux永続化手法を用いて、偽装された共有オブジェクトライブラリlibcext.so.2をインストールします。

「このエクスプロイトは認証不要で、攻撃者は補助スクリプトをアップロードし、ELFペイロードを取得して/var/log/cross/auto-colorに自身の名前を変更します」とSoroko氏は付け加え、「さらにlibcext.so.2という偽のライブラリをld.so.preloadに追加することで永続化します」と述べました。

一度埋め込まれると、エクスプロイトは自身の名前をログファイルに偽装して存在を隠します。その活動は、ハードコードされたコマンド&コントロール(C2)サーバーへのTLS経由のアウトバウンド接続の確立に依存しています。C2サーバーに接続できない場合、マルウェアはほとんどの動作を抑制し、サンドボックスやオフライン環境では休止状態のように見せて検知を回避します。

「CVE-2025-31324は、SAPを運用するすべての組織にとって警鐘です」とPathlockのSAPセキュリティアナリスト、Jonathan Stross氏は述べています。「Darktraceの詳細な調査は、攻撃者が既知の脆弱性をどれほど創造的かつ効果的にサイバーキルチェーンの進行に利用できるかを浮き彫りにしています。」

Auto-Colorの主な特徴は以下の通りです:

  • 権限認識型の実行パス

  • ld.so.preloadを利用したプリロード型の永続化

  • コンパイル時に埋め込まれる静的かつ暗号化された設定

  • リバースシェル、ファイル実行、キルスイッチなどの機能を持つモジュラー型C2コマンドセット

Darktraceは、自律型レスポンス機能によりマルウェアのコマンド&コントロール(C2)インフラへのアウトバウンド接続をブロックし、マルウェアが初期インストール以上に進行するのを防いだと述べています。

「これはSAPセキュリティがより広範なITセキュリティ運用に統合されるべき明確な例です」とStross氏は説明します。「従来のSAP BasisチームはRATへの対応経験が不足しがちです。SAPチーム、IT運用、セキュリティ部門が連携する必要があります。」

翻訳元: https://www.infosecurity-magazine.com/news/auto-color-backdoor-exploits-sap/

Published in infosecurity-magazine-com

コメントを残す

メールアドレスが公開されることはありません。 が付いている欄は必須項目です