Auto-Color Backdoor

ఏప్రిల్ 2025లో అమెరికాకు చెందిన కెమికల్స్ కంపెనీని లక్ష్యంగా చేసుకుని జరిగిన అధునాతన సైబర్ దాడి ప్రచారంలో, ముప్పు కలిగించే వ్యక్తులు SAP నెట్‌వీవర్‌లో ఇప్పుడు ప్యాచ్ చేయబడిన కీలకమైన దుర్బలత్వాన్ని ఉపయోగించుకుని ఆటో-కలర్ బ్యాక్‌డోర్‌ను అమలు చేశారు. ఈ సంఘటన అన్‌ప్యాచ్డ్ సిస్టమ్‌లు మరియు అధిక-విలువ లక్ష్యాలను లక్ష్యంగా చేసుకున్న అధునాతన మాల్వేర్ బెదిరింపుల వల్ల కలిగే నిరంతర ప్రమాదాలను హైలైట్ చేస్తుంది.

ఎక్స్‌ప్లోయిటింగ్ CVE-2025-31324: రిమోట్ కోడ్ ఎగ్జిక్యూషన్‌కు గేట్‌వే

ఈ దాడికి ప్రధాన కారణం CVE-2025-31324, ఇది SAP NetWeaverలో కీలకమైన ప్రామాణీకరించని ఫైల్ అప్‌లోడ్ దుర్బలత్వం. ఈ లోపం రిమోట్ కోడ్ ఎగ్జిక్యూషన్ (RCE)ని అనుమతిస్తుంది మరియు దీనిని SAP ఏప్రిల్ 2025లో ప్యాచ్ చేసింది. పరిష్కారం ఉన్నప్పటికీ, బెదిరింపు నటులు అన్‌ప్యాచ్ చేయని సిస్టమ్‌లను ఉపయోగించి బహిరంగంగా బహిర్గతమయ్యే పరికరాన్ని రాజీ చేశారు. ఈ దాడి మూడు రోజుల పాటు కొనసాగింది మరియు హానికరమైన ఫైల్ డౌన్‌లోడ్‌లు మరియు ఆటో-కలర్ మాల్వేర్‌కు లింక్ చేయబడిన మౌలిక సదుపాయాలతో కమ్యూనికేషన్‌ను కలిగి ఉంది.

ఆటో-కలర్: ఒక రహస్యమైన మరియు అధునాతనమైన బ్యాక్‌డోర్

ఫిబ్రవరి 2025లో మొదటిసారి విశ్లేషించబడిన ఆటో-కలర్, Linux వాతావరణాలను ప్రభావితం చేయడానికి రూపొందించబడిన రిమోట్ యాక్సెస్ ట్రోజన్ (RAT) మాదిరిగానే పనిచేస్తుంది. ఇది గతంలో నవంబర్ మరియు డిసెంబర్ 2024 మధ్య ఉత్తర అమెరికా మరియు ఆసియా అంతటా విశ్వవిద్యాలయాలు మరియు ప్రభుత్వ సంస్థలను లక్ష్యంగా చేసుకున్న దాడులలో కనిపించింది.

ఆటో-కలర్ యొక్క అత్యంత ముఖ్యమైన లక్షణాలలో ఒకటి దాని కమాండ్-అండ్-కంట్రోల్ (C2) సర్వర్‌ను చేరుకోలేనప్పుడు దాని హానికరమైన ప్రవర్తనను దాచగల సామర్థ్యం. ఈ లక్షణం అధిక స్థాయి కార్యాచరణ భద్రతను మరియు సంఘటన ప్రతిస్పందన లేదా శాండ్‌బాక్స్ విశ్లేషణ సమయంలో గుర్తింపును నివారించే ఉద్దేశ్యాన్ని సూచిస్తుంది.

ఆటో-కలర్ యొక్క కీలక సామర్థ్యాలు

ఆటో-కలర్ రాజీపడిన వ్యవస్థలపై లోతైన నియంత్రణను అందించడానికి రూపొందించబడిన హానికరమైన లక్షణాల సమగ్ర సూట్‌ను అందిస్తుంది. వీటిలో ఇవి ఉన్నాయి:

• రివర్స్ షెల్ సామర్థ్యాలు
• ఫైల్ సృష్టి మరియు అమలు
• సిస్టమ్ ప్రాక్సీ కాన్ఫిగరేషన్
• గ్లోబల్ పేలోడ్ సవరణ
• సిస్టమ్ ప్రొఫైలింగ్
• కిల్ స్విచ్ ద్వారా స్వీయ-తొలగింపు

ఈ లక్షణాలు దాడి చేసేవారికి నిరంతర ప్రాప్యతను కొనసాగించడమే కాకుండా, డైనమిక్‌గా అనుగుణంగా మారడానికి మరియు అవసరమైనప్పుడు ఆధారాలను తుడిచివేయడానికి కూడా అనుమతిస్తాయి.

దాడి యొక్క కాలక్రమం: లెక్కించబడిన చొరబాటు

ఏప్రిల్ 28న SAP NetWeaver నడుస్తున్న ఇంటర్నెట్-ఫేసింగ్ సర్వర్‌లో అనుమానాస్పద ELF బైనరీ కనుగొనబడినప్పుడు భద్రతా నిపుణులు చొరబాటును గుర్తించారు. అయితే, నిఘా మరియు స్కానింగ్ యొక్క ప్రారంభ సంకేతాలు కనీసం మూడు రోజుల ముందుగానే ప్రారంభమైనట్లు నివేదించబడింది, ఇది జాగ్రత్తగా ప్రణాళికను సూచిస్తుంది.

దాడి చేసేవారు రెండవ-దశ పేలోడ్‌ను అందించడానికి CVE-2025-31324ని ఉపయోగించారు, ఇది ఆటో-కలర్ బ్యాక్‌డోర్‌గా మారిన ELF బైనరీ. అమలు చేసిన తర్వాత, మాల్వేర్ Linux వ్యవస్థల గురించి లోతైన అవగాహనను ప్రదర్శించింది మరియు కొలతలు కలిగిన ఖచ్చితత్వంతో చర్యలను అమలు చేసింది, ముందస్తు గుర్తింపును నివారించడానికి దాని పాదముద్రను కనిష్టీకరించింది.

ఎంటర్‌ప్రైజ్ భద్రత కోసం ఒక మేల్కొలుపు పిలుపు

ఈ సంఘటన కీలకమైన మౌలిక సదుపాయాలను సకాలంలో ప్యాచింగ్ చేయడం మరియు నిరంతర పర్యవేక్షణ యొక్క ప్రాముఖ్యతను నొక్కి చెబుతుంది. SAP NetWeaver వంటి ఎంటర్‌ప్రైజ్ ప్లాట్‌ఫామ్‌లలోని దుర్బలత్వాలతో పాటు, ఆటో-కలర్ వంటి అధునాతన మాల్వేర్, అన్ని రంగాలలోని సంస్థలకు గణనీయమైన ప్రమాదాన్ని అందిస్తుంది. IT బృందాలు దుర్బలత్వ నిర్వహణకు ప్రాధాన్యత ఇవ్వాలి మరియు రహస్యమైన, నిరంతర బెదిరింపులను గుర్తించి వాటికి ప్రతిస్పందించడానికి సిద్ధంగా ఉండాలి.