今年4月の3日間のサイバー攻撃で, ハッカーは新たに公開されたSAPの脆弱性を悪用し、米国の化学会社に侵入した。, Auto-Colorバックドアとして知られるステルス性の高いLinuxマルウェアを展開する.
サイバーセキュリティ企業ダークトレース 言う 攻撃者は、 SAP ネットウィーバー (CVE-2025-31324), マルウェアをインストールし、既知の悪意のあるインフラストラクチャと通信できるようにする. 重大な被害が出る前に攻撃は阻止された, 同社の自律防御技術のおかげで, 影響を受けたシステムを隔離した.
エクスプロイトとマルウェアの珍しい組み合わせ
SAPのゼロデイ脆弱性とAuto-Colorの組み合わせ, リモート アクセス トロイの木馬 (ねずみ) 昨年末に初めて観測された, 非常にユニークな組み合わせです. 実際には, これはSAPの脆弱性を利用してマルウェアが配信された最初の事例である。.
SAPは4月にCVE-2025-31324の脆弱性を公開した。 24, 攻撃者がNetWeaverサーバーにファイルをアップロードできるという警告, 扉を開く リモートコード実行 完全なシステム制御が可能. ほんの数日後, Darktraceは、このエクスプロイトが実際に使用されていることを検出した。.
攻撃はどのように展開したか?
ダークトレースによると, 最初の違反は4月に始まった 25 公開サーバーを偵察する疑わしい受信トラフィックの波. 2日後, 攻撃者は細工したSAP URIを通じてZIPファイルを配信した, 脆弱性を悪用してシステムに悪意のあるファイルを埋め込む. すぐにDNSトンネリングの証拠が見つかった。これは、アラートをトリガーせずにネットワークからデータをこっそり持ち出すためによく使用される手法である。.
マルウェアは、ダウンロードされたスクリプトを介してすぐに配信され、ELFバイナリ(Auto-Colorのペイロード)を取得して実行し、ホストデバイスが完全に侵害されました。.
自動カラー: 回避機能が組み込まれた洗練されたバックドア
オートカラーは普通のバックドアではない. システムログファイルに似せて名前を変更し、Linuxシステムの奥深くに潜伏します。, コアシステムライブラリを変更することで永続性を獲得する. プリロード操作と呼ばれる技術を使用する, デバイス上で起動されるほぼすべてのアプリケーションに接続できる.
しかし、オートカラーが特に危険なのは、休眠状態になる能力である。. 指揮統制システムに接続できない場合 (C2) サーバ, 通常はポートの暗号化されたチャネルを介して 44, それはその行動を抑制する, サンドボックス環境やエアギャップネットワークでの検出を回避する. オペレーターに到達できた場合にのみ、その全機能を起動できる。.
制御された対応により、より大きな被害は回避された
ダークトレースのサイバーAIプラットフォームが異常なファイルのダウンロードを検出した, DNSの動作, 早い段階でのアウトバウンド接続. 同社の自律対応システムは、 “生活パターン” 侵害されたデバイス上, 通常の業務活動に制限し、それ以上の横方向の移動を防ぐ.
マルウェアの既知のC2アドレスへの送信トラフィック (146.70.41.178) ブロックされた, Auto-Color がリバースシェルなどのリモートコマンドを開始しないようにする, ファイル実行, またはプロキシ操作 - モジュール式C2プロトコルの一部であると考えられる機能.
脅威アクターはLinuxの内部構造を明確に理解しており、可視性を最小限に抑える措置を講じていた。, ダークトレースの広報担当者はこう述べた。. しかし、活動を早期に特定し封じ込めることで, セキュリティ会社のシステムは、はるかに大きな被害をもたらす事件を防いだ。.
最後の言葉
この攻撃は、新たに公開された脆弱性が現実世界の環境でいかに迅速に悪用されるかを直接的に示している。, 特にAuto-Colorのような高度なマルウェアと組み合わせると. マルウェアは依然として脅威であるが, ダークトレースの迅速な対応により、社内セキュリティチームは調査に必要な時間を確保できた。, パッチ, そして修復する.
セキュリティ研究者は、Auto-Colorマルウェアが今後も進化し続ける可能性が高いと警告している。. そのステルス性, 適応性, 再起動後も継続する能力は、脅威アクターにとって強力な武器となる。, 特に高価値セクターをターゲットとする企業