Auto-Color Backdoor
अप्रिल २०२५ मा अमेरिकामा आधारित रसायन कम्पनीलाई लक्षित गरी गरिएको परिष्कृत साइबर आक्रमण अभियानमा, धम्की दिने व्यक्तिहरूले SAP NetWeaver मा रहेको अहिले-प्याच गरिएको महत्वपूर्ण जोखिमलाई अटो-कलर ब्याकडोर प्रयोग गर्न प्रयोग गरे। यो घटनाले अनप्याच गरिएको प्रणालीहरू र उच्च-मूल्य लक्ष्यहरूमा लक्षित उन्नत मालवेयर खतराहरूद्वारा उत्पन्न हुने निरन्तर जोखिमहरूलाई हाइलाइट गर्दछ।
सामग्रीको तालिका
CVE-2025-31324 को शोषण: रिमोट कोड कार्यान्वयनको प्रवेशद्वार
आक्रमणको मूलमा CVE-2025-31324 छ, जुन SAP NetWeaver मा एक महत्वपूर्ण अप्रमाणित फाइल अपलोड जोखिम हो। यो त्रुटिले रिमोट कोड कार्यान्वयन (RCE) लाई अनुमति दिन्छ र अप्रिल २०२५ मा SAP द्वारा प्याच गरिएको थियो। समाधानको बावजुद, खतरा अभिनेताहरूले सार्वजनिक रूपमा खुला उपकरणलाई सम्झौता गर्न अनप्याच गरिएको प्रणालीहरूको फाइदा उठाए। आक्रमण तीन दिनमा फैलियो र यसमा दुर्भावनापूर्ण फाइल डाउनलोडहरू र अटो-कलर मालवेयरसँग जोडिएको पूर्वाधारसँगको सञ्चार समावेश थियो।
स्वतः-रङ: एक गोप्य र परिष्कृत पछाडिको ढोका
फेब्रुअरी २०२५ मा पहिलो पटक विश्लेषण गरिएको, अटो-कलरले लिनक्स वातावरणलाई संक्रमित गर्न डिजाइन गरिएको रिमोट एक्सेस ट्रोजन (RAT) जस्तै काम गर्छ। यो पहिले नोभेम्बर र डिसेम्बर २०२४ बीच उत्तर अमेरिका र एशियाभरि विश्वविद्यालयहरू र सरकारी संस्थाहरूलाई लक्षित आक्रमणहरूमा देखिएको थियो।
अटो-कलरको सबैभन्दा उल्लेखनीय विशेषताहरू मध्ये एक भनेको यसको कमाण्ड-एन्ड-कन्ट्रोल (C2) सर्भरमा पुग्न नसक्दा यसको दुर्भावनापूर्ण व्यवहार लुकाउने क्षमता हो। यो सुविधाले उच्च स्तरको परिचालन सुरक्षा र घटना प्रतिक्रिया वा स्यान्डबक्स विश्लेषणको समयमा पत्ता लगाउनबाट बच्ने उद्देश्यलाई सुझाव दिन्छ।
अटो-कलरका प्रमुख क्षमताहरू
अटो-कलरले सम्झौता गरिएका प्रणालीहरूमा गहिरो नियन्त्रण प्रदान गर्न डिजाइन गरिएको दुर्भावनापूर्ण सुविधाहरूको एक विस्तृत सुइट प्रदान गर्दछ। यसमा समावेश छन्:
- उल्टो शेल क्षमताहरू
- फाइल सिर्जना र कार्यान्वयन
- प्रणाली प्रोक्सी कन्फिगरेसन
- विश्वव्यापी पेलोड परिमार्जन
- प्रणाली प्रोफाइलिङ
- किल स्विच मार्फत स्व-मेटाउने
यी सुविधाहरूले आक्रमणकारीहरूलाई निरन्तर पहुँच कायम राख्न मात्र नभई गतिशील रूपमा अनुकूलन गर्न र आवश्यक पर्दा प्रमाण मेटाउन पनि अनुमति दिन्छ।
आक्रमणको समयरेखा: एक गणना गरिएको घुसपैठ
सुरक्षा विज्ञहरूले अप्रिल २८ मा घुसपैठ पहिचान गरे, जब SAP NetWeaver चलिरहेको इन्टरनेट-फेसिंग सर्भरमा शंकास्पद ELF बाइनरी पत्ता लाग्यो। यद्यपि, जासूसी र स्क्यानिङको प्रारम्भिक संकेतहरू कम्तिमा तीन दिन अघि सुरु भएको रिपोर्ट गरिएको छ, जसले सावधानीपूर्वक योजना बनाउने संकेत गर्दछ।
आक्रमणकारीहरूले दोस्रो-चरणको पेलोड, ELF बाइनरी डेलिभर गर्न CVE-2025-31324 प्रयोग गरे जुन अटो-कलर ब्याकडोर साबित भयो। एक पटक तैनाथ गरिसकेपछि, मालवेयरले लिनक्स प्रणालीहरूको गहिरो बुझाइ प्रदर्शन गर्यो र प्रारम्भिक पहिचानबाट बच्नको लागि यसको पदचिह्नलाई न्यूनतम गर्दै, मापन गरिएको परिशुद्धताका साथ कार्यहरू कार्यान्वयन गर्यो।
उद्यम सुरक्षाको लागि एक जागरण आह्वान
यो घटनाले महत्वपूर्ण पूर्वाधारको समयमै प्याचिङ र निरन्तर अनुगमनको महत्त्वलाई जोड दिन्छ। अटो-कलर जस्ता परिष्कृत मालवेयर, SAP NetWeaver जस्ता उद्यम प्लेटफर्महरूमा कमजोरीहरूसँग मिलेर, क्षेत्रहरूमा संस्थाहरूको लागि महत्त्वपूर्ण जोखिम प्रस्तुत गर्दछ। IT टोलीहरूले कमजोरी व्यवस्थापनलाई प्राथमिकता दिनुपर्छ र लुकेका, निरन्तर खतराहरू पत्ता लगाउन र प्रतिक्रिया दिन तयार हुनुपर्छ।
