SAP の深刻な脆弱性 CVE-2025-31324 を悪用：Linux マルウェア Auto-Color の抑制的な振る舞い

Critical SAP flaw exploited to launch Auto-Color Malware attack on U.S. company

2025/07/30 SecurityAffairs — SAP NetWeaver の脆弱性 CVE-2025-31324 を悪用する脅威アクターが、米国の化学関連企業を標的として Auto-Color Linux マルウェアを展開した事例について、サイバー・セキュリティ企業 Darktrace が報告している。Darktrace によると、2025年4月の時点で、米国拠点の化学企業のネットワーク内において、Auto-Color バックドア・マルウェアの活動が確認されたという。そのときの脅威アクターは、３日間にわたりネットワークにアクセスし、複数の不審なファイルのダウンロードを試行しながら、Auto-Color に関連する不正なインフラと通信していたようだ。

2025年4月に ReliaQuest の研究者が、SAP NetWeaver に存在するゼロデイ脆弱性 CVE-2025-31324 (CVSS：10.0) について警告を発していた。この脆弱性は Visual Composer メタデータ・アップローダーの不適切な認証検証に起因し、未認証の攻撃者による不正ファイルのアップロードを許すものだ。

それらのアップロードされた不正なファイルが、標的システム上で実行されると、SAP 環境への完全な侵害へといたる可能性がある。2025年4月の、月例セキュリティ更新において SAP は、この問題に対処している。複数の攻撃に関する調査中に、この脆弱性を特定した ReliaQuest は、パッチ適用済みの環境に対しても、一部の侵害が生じていたことを確認している。

さらに Darktrace も、2025年4月の時点で、Auto-Color を用いる攻撃を検出していた。脆弱性 CVE-2025-31324 を悪用する攻撃者は、３日間にわたり侵入活動を継続したという。そして 4月25日には、脆弱性探索とみられる着信通信が観測され、その２日後には ZIP ファイルがダウンロードされ、外部通信を伴う DNS リクエストが送信された。それにより、Linux 環境では一般的な、ELF 形式ファイルに対する警告がトリガーされた。

Darktrace の自律型の防御機構は迅速に対応し、影響が生じたデバイスのネットワーク挙動を制限しながら、通常動作への干渉を最小限に抑えた。しかし、攻撃者は活動を継続し、通常のコンフィグ・ファイルを装う複数のスクリプトをダウンロードした。

これらのツールを用いることで攻撃者はコマンドを実行し、外部エンドポイントに対して DNS や SSL 経由の接続を確立し、既知のスパイ活動との関連があるインフラへのアクセスを試みた。そして、24時間以内には、偽装されたログファイルに隠された Auto-Color が展開される。

Auto-Color が root 権限で動作すると、きわめて危険な状態に陥る。このマルウェアは、起動後も秘密裏にシステム・ライブラリを追加し、再起動後であっても、持続的な活動を可能にする。さらに、制御指示の受信を目的として、C2 サーバとの暗号通信の確立を試みる。

Darktrace の迅速な対応により、このマルウェアが本格的に起動する前にネットワークが遮断された。このセキュリティ・チームは、防御措置を 24 時間ほど延長し、追加調査および封じ込めを行う時間を確保した。C2 接続が確立されなかったことで、Auto-Color は休止といって構わない状態に留まっていた。この挙動が示すのは、攻撃オペレータによるリアルタイム制御を前提とし、セキュアな検証環境での検出を避けるシナリオである。

Darktrace が指摘するのは、Auto-Color が高度な回避アルゴリズムおよび活動制限機構を組み込んでいる点だ。

Auto-Color とは、2024年に発見された Linux 系のバックドア・マルウェアであり、米国およびアジア地域の大学や政府関連機関を標的として活動しているという。SAP NetWeaver の脆弱性などを悪用し、ld.so.preload などの組み込み機構を用いて持続性を確保し、root 権限での実行を達成すると、偽装されたライブラリを導入してステルス性を高めていく。

このマルウェア本体は /var/log/cross/auto-color に潜伏し、TLS 暗号化を使用してハードコードされた C2 サーバにアクセスする。C2 サーバがオフラインの場合には、このマルウェアは活動を制限し、検出のリスクを最小化している。

Auto-Color が内包する機能には、コマンド実行／リバースシェル接続／トラフィックのプロキシ／中継／ファイルの改変／コンフィグの更新などがある。また、自身の存在を隠ぺいするための、ルート・キット機能も取り込んでいる。

Darktrace のレポートには、「初期侵入から C2 通信の不成立に至るまで、Auto-Color は Linux 環境への深い理解に基づき、露見を避けるための抑制的な動作を選択している」と記されている。

SAP NetWeaver のゼロデイ脆弱性 CVE-2025-31324 を悪用する攻撃は、Visual Composer の認証処理の不備を突くものであり、未認証の攻撃者であっても、不正なファイル・アップロードが可能だと説明されています。そして、侵入後には、Auto-Color というLinux向けマルウェアが使われ、ステルス的な活動を root 権限で持続しようとすると、この記事は指摘しています。ご利用のチームは、ご注意ください。よろしければ、CVE-2025-31324 で検索も、ご参照ください。