Auto-Color Backdoor

ਅਪ੍ਰੈਲ 2025 ਵਿੱਚ ਇੱਕ ਯੂਐਸ-ਅਧਾਰਤ ਰਸਾਇਣ ਕੰਪਨੀ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੀ ਇੱਕ ਸੂਝਵਾਨ ਸਾਈਬਰ ਹਮਲੇ ਦੀ ਮੁਹਿੰਮ ਵਿੱਚ, ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੇ ਆਟੋ-ਕਲਰ ਬੈਕਡੋਰ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ SAP NetWeaver ਵਿੱਚ ਇੱਕ ਹੁਣ-ਪੈਚ ਕੀਤੀ ਗਈ ਨਾਜ਼ੁਕ ਕਮਜ਼ੋਰੀ ਦਾ ਫਾਇਦਾ ਉਠਾਇਆ। ਇਹ ਘਟਨਾ ਅਣ-ਪੈਚ ਕੀਤੇ ਸਿਸਟਮਾਂ ਅਤੇ ਉੱਚ-ਮੁੱਲ ਵਾਲੇ ਟੀਚਿਆਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਣ ਵਾਲੇ ਉੱਨਤ ਮਾਲਵੇਅਰ ਖਤਰਿਆਂ ਦੁਆਰਾ ਪੈਦਾ ਹੋਣ ਵਾਲੇ ਨਿਰੰਤਰ ਜੋਖਮਾਂ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।

ਐਕਸਪਲੋਇਟਿੰਗ CVE-2025-31324: ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ ਦਾ ਇੱਕ ਗੇਟਵੇ

ਹਮਲੇ ਦੇ ਮੂਲ ਵਿੱਚ CVE-2025-31324 ਹੈ, ਜੋ ਕਿ SAP NetWeaver ਵਿੱਚ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਅਣ-ਪ੍ਰਮਾਣਿਤ ਫਾਈਲ ਅਪਲੋਡ ਕਮਜ਼ੋਰੀ ਹੈ। ਇਹ ਨੁਕਸ ਰਿਮੋਟ ਕੋਡ ਐਗਜ਼ੀਕਿਊਸ਼ਨ (RCE) ਦੀ ਆਗਿਆ ਦਿੰਦਾ ਹੈ ਅਤੇ ਅਪ੍ਰੈਲ 2025 ਵਿੱਚ SAP ਦੁਆਰਾ ਪੈਚ ਕੀਤਾ ਗਿਆ ਸੀ। ਠੀਕ ਹੋਣ ਦੇ ਬਾਵਜੂਦ, ਧਮਕੀ ਦੇਣ ਵਾਲਿਆਂ ਨੇ ਜਨਤਕ ਤੌਰ 'ਤੇ ਸਾਹਮਣੇ ਆਏ ਡਿਵਾਈਸ ਨਾਲ ਸਮਝੌਤਾ ਕਰਨ ਲਈ ਅਣ-ਪੈਚ ਕੀਤੇ ਸਿਸਟਮਾਂ ਦਾ ਲਾਭ ਉਠਾਇਆ। ਹਮਲਾ ਤਿੰਨ ਦਿਨਾਂ ਵਿੱਚ ਹੋਇਆ ਅਤੇ ਇਸ ਵਿੱਚ ਆਟੋ-ਕਲਰ ਮਾਲਵੇਅਰ ਨਾਲ ਜੁੜੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਨਾਲ ਖਤਰਨਾਕ ਫਾਈਲ ਡਾਊਨਲੋਡ ਅਤੇ ਸੰਚਾਰ ਸ਼ਾਮਲ ਸਨ।

ਆਟੋ-ਕਲਰ: ਇੱਕ ਗੁਪਤ ਅਤੇ ਸੂਝਵਾਨ ਪਿਛਲਾ ਦਰਵਾਜ਼ਾ

ਫਰਵਰੀ 2025 ਵਿੱਚ ਪਹਿਲੀ ਵਾਰ ਵਿਸ਼ਲੇਸ਼ਣ ਕੀਤਾ ਗਿਆ, ਆਟੋ-ਕਲਰ ਇੱਕ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RAT) ਵਾਂਗ ਹੀ ਕੰਮ ਕਰਦਾ ਹੈ ਜੋ ਲੀਨਕਸ ਵਾਤਾਵਰਣ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹ ਪਹਿਲਾਂ ਨਵੰਬਰ ਅਤੇ ਦਸੰਬਰ 2024 ਦੇ ਵਿਚਕਾਰ ਉੱਤਰੀ ਅਮਰੀਕਾ ਅਤੇ ਏਸ਼ੀਆ ਵਿੱਚ ਯੂਨੀਵਰਸਿਟੀਆਂ ਅਤੇ ਸਰਕਾਰੀ ਸੰਸਥਾਵਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦੇ ਹੋਏ ਹਮਲਿਆਂ ਵਿੱਚ ਦੇਖਿਆ ਗਿਆ ਹੈ।

ਆਟੋ-ਕਲਰ ਦੀਆਂ ਸਭ ਤੋਂ ਵੱਧ ਦੱਸੀਆਂ ਗਈਆਂ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਵਿੱਚੋਂ ਇੱਕ ਇਹ ਹੈ ਕਿ ਜਦੋਂ ਇਹ ਆਪਣੇ ਕਮਾਂਡ-ਐਂਡ-ਕੰਟਰੋਲ (C2) ਸਰਵਰ ਤੱਕ ਨਹੀਂ ਪਹੁੰਚ ਸਕਦਾ ਤਾਂ ਇਹ ਆਪਣੇ ਖਤਰਨਾਕ ਵਿਵਹਾਰ ਨੂੰ ਛੁਪਾਉਣ ਦੀ ਸਮਰੱਥਾ ਰੱਖਦਾ ਹੈ। ਇਹ ਵਿਸ਼ੇਸ਼ਤਾ ਉੱਚ ਪੱਧਰੀ ਸੰਚਾਲਨ ਸੁਰੱਖਿਆ ਅਤੇ ਘਟਨਾ ਪ੍ਰਤੀਕਿਰਿਆ ਜਾਂ ਸੈਂਡਬੌਕਸ ਵਿਸ਼ਲੇਸ਼ਣ ਦੌਰਾਨ ਖੋਜ ਤੋਂ ਬਚਣ ਦੇ ਇਰਾਦੇ ਦਾ ਸੁਝਾਅ ਦਿੰਦੀ ਹੈ।

ਆਟੋ-ਕਲਰ ਦੀਆਂ ਮੁੱਖ ਸਮਰੱਥਾਵਾਂ

ਆਟੋ-ਕਲਰ ਖਤਰਨਾਕ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਦਾ ਇੱਕ ਵਿਆਪਕ ਸੂਟ ਪੇਸ਼ ਕਰਦਾ ਹੈ ਜੋ ਸਮਝੌਤਾ ਕੀਤੇ ਸਿਸਟਮਾਂ 'ਤੇ ਡੂੰਘਾ ਨਿਯੰਤਰਣ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ ਤਿਆਰ ਕੀਤਾ ਗਿਆ ਹੈ। ਇਹਨਾਂ ਵਿੱਚ ਸ਼ਾਮਲ ਹਨ:

• ਰਿਵਰਸ ਸ਼ੈੱਲ ਸਮਰੱਥਾਵਾਂ
• ਫਾਈਲ ਬਣਾਉਣਾ ਅਤੇ ਲਾਗੂ ਕਰਨਾ
• ਸਿਸਟਮ ਪ੍ਰੌਕਸੀ ਸੰਰਚਨਾ
• ਗਲੋਬਲ ਪੇਲੋਡ ਸੋਧ
• ਸਿਸਟਮ ਪ੍ਰੋਫਾਈਲਿੰਗ
• ਕਿੱਲ ਸਵਿੱਚ ਰਾਹੀਂ ਸਵੈ-ਮਿਟਾਉਣਾ

ਇਹ ਵਿਸ਼ੇਸ਼ਤਾਵਾਂ ਹਮਲਾਵਰਾਂ ਨੂੰ ਨਾ ਸਿਰਫ਼ ਨਿਰੰਤਰ ਪਹੁੰਚ ਬਣਾਈ ਰੱਖਣ ਦੀ ਆਗਿਆ ਦਿੰਦੀਆਂ ਹਨ, ਸਗੋਂ ਗਤੀਸ਼ੀਲ ਤੌਰ 'ਤੇ ਅਨੁਕੂਲ ਹੋਣ ਅਤੇ ਲੋੜ ਪੈਣ 'ਤੇ ਸਬੂਤ ਮਿਟਾਉਣ ਦੀ ਵੀ ਆਗਿਆ ਦਿੰਦੀਆਂ ਹਨ।

ਹਮਲੇ ਦੀ ਸਮਾਂ-ਰੇਖਾ: ਇੱਕ ਗਣਨਾ ਕੀਤੀ ਘੁਸਪੈਠ

ਸੁਰੱਖਿਆ ਮਾਹਿਰਾਂ ਨੇ 28 ਅਪ੍ਰੈਲ ਨੂੰ ਘੁਸਪੈਠ ਦੀ ਪਛਾਣ ਕੀਤੀ, ਜਦੋਂ ਇੱਕ ਸ਼ੱਕੀ ELF ਬਾਈਨਰੀ ਦਾ ਪਤਾ ਇੱਕ ਇੰਟਰਨੈਟ-ਫੇਸਿੰਗ ਸਰਵਰ 'ਤੇ ਲੱਗਿਆ ਜੋ ਸੰਭਾਵਤ ਤੌਰ 'ਤੇ SAP NetWeaver ਚਲਾ ਰਿਹਾ ਸੀ। ਹਾਲਾਂਕਿ, ਖੋਜ ਅਤੇ ਸਕੈਨਿੰਗ ਦੇ ਸ਼ੁਰੂਆਤੀ ਸੰਕੇਤ ਘੱਟੋ-ਘੱਟ ਤਿੰਨ ਦਿਨ ਪਹਿਲਾਂ ਸ਼ੁਰੂ ਹੋਏ ਸਨ, ਜੋ ਕਿ ਸਾਵਧਾਨੀਪੂਰਵਕ ਯੋਜਨਾਬੰਦੀ ਨੂੰ ਦਰਸਾਉਂਦੇ ਹਨ।

ਹਮਲਾਵਰਾਂ ਨੇ ਦੂਜੇ-ਪੜਾਅ ਦੇ ਪੇਲੋਡ, ਇੱਕ ELF ਬਾਈਨਰੀ, ਨੂੰ ਪ੍ਰਦਾਨ ਕਰਨ ਲਈ CVE-2025-31324 ਦੀ ਵਰਤੋਂ ਕੀਤੀ ਜੋ ਕਿ ਆਟੋ-ਕਲਰ ਬੈਕਡੋਰ ਨਿਕਲਿਆ। ਇੱਕ ਵਾਰ ਤਾਇਨਾਤ ਹੋਣ ਤੋਂ ਬਾਅਦ, ਮਾਲਵੇਅਰ ਨੇ ਲੀਨਕਸ ਸਿਸਟਮਾਂ ਦੀ ਡੂੰਘੀ ਸਮਝ ਦਾ ਪ੍ਰਦਰਸ਼ਨ ਕੀਤਾ ਅਤੇ ਮਾਪੀ ਗਈ ਸ਼ੁੱਧਤਾ ਨਾਲ ਕਾਰਵਾਈਆਂ ਨੂੰ ਅੰਜਾਮ ਦਿੱਤਾ, ਸ਼ੁਰੂਆਤੀ ਖੋਜ ਤੋਂ ਬਚਣ ਲਈ ਇਸਦੇ ਪੈਰਾਂ ਦੇ ਨਿਸ਼ਾਨ ਨੂੰ ਘੱਟ ਤੋਂ ਘੱਟ ਕੀਤਾ।

ਐਂਟਰਪ੍ਰਾਈਜ਼ ਸੁਰੱਖਿਆ ਲਈ ਇੱਕ ਜਾਗਣ ਦੀ ਘੰਟੀ

ਇਹ ਘਟਨਾ ਸਮੇਂ ਸਿਰ ਪੈਚਿੰਗ ਅਤੇ ਮਹੱਤਵਪੂਰਨ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦੀ ਨਿਰੰਤਰ ਨਿਗਰਾਨੀ ਦੀ ਮਹੱਤਤਾ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ। ਆਟੋ-ਕਲਰ ਵਰਗੇ ਆਧੁਨਿਕ ਮਾਲਵੇਅਰ, SAP NetWeaver ਵਰਗੇ ਐਂਟਰਪ੍ਰਾਈਜ਼ ਪਲੇਟਫਾਰਮਾਂ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦੇ ਨਾਲ, ਸਾਰੇ ਖੇਤਰਾਂ ਵਿੱਚ ਸੰਗਠਨਾਂ ਲਈ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਜੋਖਮ ਪੇਸ਼ ਕਰਦੇ ਹਨ। IT ਟੀਮਾਂ ਨੂੰ ਕਮਜ਼ੋਰੀ ਪ੍ਰਬੰਧਨ ਨੂੰ ਤਰਜੀਹ ਦੇਣੀ ਚਾਹੀਦੀ ਹੈ ਅਤੇ ਗੁਪਤ, ਨਿਰੰਤਰ ਖਤਰਿਆਂ ਦਾ ਪਤਾ ਲਗਾਉਣ ਅਤੇ ਜਵਾਬ ਦੇਣ ਲਈ ਤਿਆਰ ਰਹਿਣਾ ਚਾਹੀਦਾ ਹੈ।