Auto-Color बैकडोर

अप्रैल 2025 में एक अमेरिकी रसायन कंपनी को निशाना बनाकर किए गए एक परिष्कृत साइबर हमले में, ख़तरा पैदा करने वाले तत्वों ने SAP NetWeaver में एक अब पैच की गई गंभीर भेद्यता का फ़ायदा उठाकर ऑटो-कलर बैकडोर तैनात कर दिया। यह घटना पैच न किए गए सिस्टम और उच्च-मूल्य वाले लक्ष्यों पर लक्षित उन्नत मैलवेयर ख़तरों से उत्पन्न निरंतर जोखिमों को उजागर करती है।

CVE-2025-31324 का उपयोग: दूरस्थ कोड निष्पादन का एक प्रवेश द्वार

इस हमले का मूल कारण CVE-2025-31324 है, जो SAP NetWeaver में एक गंभीर, अप्रमाणित फ़ाइल अपलोड भेद्यता है। यह दोष रिमोट कोड निष्पादन (RCE) की अनुमति देता है और SAP द्वारा अप्रैल 2025 में पैच किया गया था। इस सुधार के बावजूद, ख़तरा पैदा करने वाले तत्वों ने सार्वजनिक रूप से उजागर डिवाइस को खतरे में डालने के लिए बिना पैच वाले सिस्टम का फ़ायदा उठाया। यह हमला तीन दिनों तक चला और इसमें दुर्भावनापूर्ण फ़ाइल डाउनलोड और ऑटो-कलर मैलवेयर से जुड़े बुनियादी ढाँचे के साथ संचार शामिल था।

ऑटो-कलर: एक गुप्त और परिष्कृत पिछला दरवाज़ा

फरवरी 2025 में पहली बार विश्लेषण किया गया, ऑटो-कलर एक रिमोट एक्सेस ट्रोजन (RAT) की तरह काम करता है जिसे लिनक्स वातावरण को संक्रमित करने के लिए डिज़ाइन किया गया है। इसे पहले नवंबर और दिसंबर 2024 के बीच उत्तरी अमेरिका और एशिया के विश्वविद्यालयों और सरकारी संस्थाओं को निशाना बनाकर किए गए हमलों में देखा गया है।

ऑटो-कलर की सबसे खास विशेषताओं में से एक यह है कि जब यह अपने कमांड-एंड-कंट्रोल (C2) सर्वर तक नहीं पहुँच पाता, तब भी यह अपने दुर्भावनापूर्ण व्यवहार को छुपा लेता है। यह विशेषता उच्च स्तर की परिचालन सुरक्षा और घटना प्रतिक्रिया या सैंडबॉक्स विश्लेषण के दौरान पता लगाने से बचने की मंशा का संकेत देती है।

ऑटो-कलर की प्रमुख क्षमताएँ

ऑटो-कलर दुर्भावनापूर्ण सुविधाओं का एक व्यापक सूट प्रदान करता है, जो समझौता किए गए सिस्टम पर गहन नियंत्रण प्रदान करने के लिए डिज़ाइन किया गया है। इनमें शामिल हैं:

• रिवर्स शेल क्षमताएं
• फ़ाइल निर्माण और निष्पादन
• सिस्टम प्रॉक्सी कॉन्फ़िगरेशन
• वैश्विक पेलोड संशोधन
• सिस्टम प्रोफाइलिंग
• किल स्विच के माध्यम से स्व-विलोपन

ये विशेषताएं हमलावरों को न केवल लगातार पहुंच बनाए रखने की अनुमति देती हैं, बल्कि गतिशील रूप से अनुकूलन करने और आवश्यकता पड़ने पर साक्ष्य मिटाने की भी अनुमति देती हैं।

हमले की समयरेखा: एक सुनियोजित घुसपैठ

सुरक्षा विशेषज्ञों ने 28 अप्रैल को इस घुसपैठ की पहचान की, जब एक इंटरनेट-फेसिंग सर्वर पर एक संदिग्ध ELF बाइनरी का पता चला, जो संभवतः SAP NetWeaver चला रहा था। हालाँकि, टोही और स्कैनिंग के शुरुआती संकेत कथित तौर पर कम से कम तीन दिन पहले शुरू हो गए थे, जो सावधानीपूर्वक योजना बनाने का संकेत देते हैं।

हमलावरों ने दूसरे चरण का पेलोड, एक ELF बाइनरी, वितरित करने के लिए CVE-2025-31324 का इस्तेमाल किया, जो ऑटो-कलर बैकडोर निकला। एक बार तैनात होने के बाद, मैलवेयर ने लिनक्स सिस्टम की गहरी समझ दिखाई और मापी गई सटीकता के साथ क्रियाएँ कीं, जिससे शुरुआती पहचान से बचने के लिए इसका प्रभाव न्यूनतम रहा।

एंटरप्राइज़ सुरक्षा के लिए एक चेतावनी

यह घटना समय पर पैचिंग और महत्वपूर्ण बुनियादी ढाँचे की निरंतर निगरानी के महत्व को रेखांकित करती है। ऑटो-कलर जैसे परिष्कृत मैलवेयर, SAP नेटवीवर जैसे एंटरप्राइज़ प्लेटफ़ॉर्म की कमज़ोरियों के साथ मिलकर, सभी क्षेत्रों के संगठनों के लिए एक बड़ा जोखिम प्रस्तुत करते हैं। आईटी टीमों को कमज़ोरियों के प्रबंधन को प्राथमिकता देनी चाहिए और छिपे हुए, लगातार खतरों का पता लगाने और उनका जवाब देने के लिए तैयार रहना चाहिए।