Auto-Color Backdoor
2025年4月、米国に拠点を置く化学会社を標的とした高度なサイバー攻撃キャンペーンにおいて、脅威アクターはSAP NetWeaverの重大な脆弱性(現在はパッチ適用済み)を悪用し、Auto-Colorバックドアを展開しました。このインシデントは、パッチ未適用のシステムと、高価値な標的を狙う高度なマルウェアの脅威が依然として存在することを浮き彫りにしています。
目次
CVE-2025-31324の悪用:リモートコード実行への入り口
この攻撃の核心は、SAP NetWeaverにおける認証されていないファイルアップロードの重大な脆弱性であるCVE-2025-31324です。この脆弱性はリモートコード実行(RCE)を許し、SAPは2025年4月に修正プログラムを公開しました。しかし、修正プログラムが公開されていたにもかかわらず、脅威アクターはパッチ未適用のシステムを利用し、公開されているデバイスに侵入しました。この攻撃は3日間にわたって展開され、悪意のあるファイルのダウンロードや、Auto-Colorマルウェアに関連するインフラストラクチャとの通信が含まれていました。
オートカラー:ステルス性の高い洗練されたバックドア
2025年2月に初めて解析されたAuto-Colorは、Linux環境に感染するように設計されたリモートアクセス型トロイの木馬(RAT)と同様の機能を持ちます。2024年11月から12月にかけて、北米とアジアの大学や政府機関を標的とした攻撃で確認されています。
Auto-Colorの最も顕著な特徴の一つは、コマンドアンドコントロール(C2)サーバーに到達できない場合、悪意のある動作を隠蔽する能力です。この機能は、高度な運用セキュリティと、インシデント対応やサンドボックス分析における検出回避の意図を示唆しています。
オートカラーの主な機能
Auto-Colorは、侵入したシステムを徹底的に制御するために設計された、包括的な悪意ある機能スイートを提供します。これには以下が含まれます。
- リバースシェル機能
- ファイルの作成と実行
- システムプロキシ構成
- グローバルペイロードの変更
- システムプロファイリング
- キルスイッチによる自己削除
これらの機能により、攻撃者は永続的なアクセスを維持できるだけでなく、必要に応じて動的に適応し、証拠を消去することもできます。
攻撃のタイムライン:計画的な侵入
セキュリティ専門家は4月28日、SAP NetWeaverを実行していると思われるインターネット接続サーバー上で不審なELFバイナリが検出され、侵入を確認しました。しかし、偵察とスキャンの初期兆候は少なくとも3日前から始まっていたと報告されており、綿密な計画があったことが示唆されています。
攻撃者はCVE-2025-31324を利用して、第2段階のペイロードであるELFバイナリを配信しました。これはAuto-Colorバックドアであることが判明しました。展開されると、マルウェアはLinuxシステムを深く理解し、慎重な精度で動作を実行し、早期発見を回避するためにフットプリントを最小限に抑えました。
企業セキュリティへの警鐘
このインシデントは、重要なインフラへのタイムリーなパッチ適用と継続的な監視の重要性を浮き彫りにしています。Auto-Colorのような高度なマルウェアは、SAP NetWeaverのようなエンタープライズプラットフォームの脆弱性と相まって、あらゆる業界の組織に重大なリスクをもたらします。ITチームは脆弱性管理を最優先し、ステルス性の高い持続的な脅威を検知・対応できるよう準備を整える必要があります。
