ハッカーがSAP NetWeaverの脆弱性を悪用し、Linux Auto-Colorマルウェアを展開

ハッカーがCVE-2025-31324として追跡されている重大なSAP NetWeaverの脆弱性を悪用し、米国の化学企業に対するサイバー攻撃でAuto-Color Linuxマルウェアを展開していることが確認されました。

サイバーセキュリティ企業のDarktraceは、2025年4月のインシデント対応中にこの攻撃を発見し、調査の結果、Auto-Colorマルウェアがさらに高度な回避戦術を備えるよう進化していることが明らかになりました。

Darktraceの報告によると、攻撃は4月25日に始まりましたが、実際の悪用は2日後に発生し、標的となったマシンにELF（Linux実行ファイル）が配信されました。

Auto-Colorマルウェアは、Palo Alto NetworksのUnit 42の研究者によって2025年2月に初めて記録され、その回避能力と、一度マシンに足場を築くと駆除が困難であることが強調されました。

このバックドアは、実行されるユーザー権限レベルに応じて挙動を調整し、共有オブジェクトインジェクションによるステルス性の高い永続化のために「ld.so.preload」を使用します。

Auto-Colorは、任意コマンドの実行、ファイルの改ざん、完全なリモートアクセスを可能にするリバースシェル、プロキシトラフィックの転送、動的な設定更新などの機能を備えています。また、セキュリティツールから悪意ある活動を隠すルートキットモジュールも含まれています。

Unit 42は、北米およびアジアの大学や政府機関を標的とした観測攻撃から、初期感染経路を特定することができませんでした。

Darktraceの最新調査によると、Auto-Colorの背後にいる脅威アクターは、認証されていない攻撃者が悪意あるバイナリをアップロードしてリモートコード実行（RCE）を実現できる、NetWeaverの重大な脆弱性CVE-2025-31324を悪用しています。

SAPは2025年4月にこの脆弱性を修正しましたが、セキュリティ企業のReliaQuest、Onapsis、watchTowrは、数日後に活発な悪用の試みが見られたと報告しています。

5月までに、ランサムウェアグループや中国の国家系ハッカーもこの悪用活動に加わり、Mandiantは少なくとも2025年3月中旬からCVE-2025-31324のゼロデイ悪用の証拠を発見したと報告しています。

初期アクセス経路とは別に、DarktraceはAuto-Colorの最新バージョンで実装された新たな回避策も発見しました。

Auto-Colorがハードコードされたコマンド＆コントロール（C2）サーバーに接続できない場合、ほとんどの悪意ある動作を抑制します。これは、サンドボックスやエアギャップ環境において、マルウェアが分析者に無害に見えるようにするためです。

「C2サーバーに到達できない場合、Auto-Colorは実質的に停止し、完全な悪意ある機能の展開を控えるため、分析者には無害に見えます」とDarktraceは説明しています。

「この挙動により、リバースエンジニアリングによってペイロード、認証情報の収集メカニズム、永続化手法などが明らかになるのを防ぎます。」

これは、Unit 42が以前に記録した、権限認識型の実行ロジック、無害なファイル名の使用、libc関数のフック、偽のログディレクトリの利用、TLS経由のC2接続、各サンプルごとのユニークなハッシュ、「キルスイッチ」の存在などに加えられたものです。

Auto-Colorが現在CVE-2025-31324を積極的に悪用しているため、管理者は顧客専用のSAPのセキュリティ情報に記載されたセキュリティアップデートまたは緩和策を速やかに適用する必要があります。