ডার্কট্রেসের একটি প্রতিবেদনে বলা হয়েছে, “তিন দিনের মধ্যে, একজন হামলাকারী গ্রাহকের নেটওয়ার্কে প্রবেশ করে, বেশ কয়েকটি সন্দেহজনক ফাইল ডাউনলোড করার চেষ্টা করে এবং অটো-কালার ম্যালওয়্যারের সঙ্গে যুক্ত ক্ষতিকর অবকাঠামোর সঙ্গে যোগাযোগ করে।”
প্রশ্নে থাকা দুর্বলতাটি হলো CVE-2025-31324, যা এসএপি নেটওয়েভারের একটি গুরুতর অননুমোদিত ফাইল আপলোড বাগ, যা রিমোট কোড এক্সিকিউশন (আরসিই) সম্ভব করে। এটি এপ্রিলে এসএপি দ্বারা প্যাচ করা হয়েছিল।
অটো-কালার ম্যালওয়্যার, যা প্রথম পালো অল্টো নেটওয়ার্কসের ইউনিট ৪২ দ্বারা গত ফেব্রুয়ারিতে নথিভুক্ত হয়েছিল, এটি একটি রিমোট অ্যাক্সেস ট্রোজানের মতো কাজ করে, যা আক্রান্ত লিনাক্স হোস্টে দূরবর্তী প্রবেশাধিকার সক্ষম করে। এটি ২০২৪ সালের নভেম্বর থেকে ডিসেম্বরের মধ্যে উত্তর আমেরিকা এবং এশিয়ার বিশ্ববিদ্যালয় এবং সরকারি সংস্থাগুলোকে লক্ষ্য করে হামলায় দেখা গেছে।
এই ম্যালওয়্যারটি তার কমান্ড-অ্যান্ড-কন্ট্রোল (সিটু) সার্ভারের সঙ্গে সংযোগ স্থাপন করতে ব্যর্থ হলে তার ক্ষতিকর আচরণ লুকিয়ে রাখে, যা হামলাকারীদের সনাক্তকরণ এড়ানোর চেষ্টার ইঙ্গিত দেয়, যাতে এটি নিরীহ বলে মনে হয়।
এটি বিভিন্ন ফিচার সমর্থন করে, যার মধ্যে রয়েছে:
- রিভার্স শেল
- ফাইল তৈরি এবং এক্সিকিউশন
- সিস্টেম প্রক্সি কনফিগারেশন
- গ্লোবাল পেলোড ম্যানিপুলেশন
- সিস্টেম প্রোফাইলিং
- কিল সুইচ ট্রিগার হলে নিজেকে মুছে ফেলা
ডার্কট্রেস কর্তৃক সনাক্তকৃত ঘটনাটি ২৮ এপ্রিল ঘটেছিল, যখন এটি সম্ভবত এসএপি নেটওয়েভার চালিত একটি ইন্টারনেট-উন্মুক্ত মেশিনে একটি সন্দেহজনক ELF বাইনারি ডাউনলোডের বিষয়ে সতর্ক করেছিল। তবে, স্ক্যানিং কার্যক্রমের প্রাথমিক লক্ষণগুলো কমপক্ষে তিন দিন আগে শুরু হয়েছিল।
“এই ক্ষেত্রে CVE-2025-31324 দুর্বলতাটি একটি দ্বিতীয় ধাপের হামলা শুরু করতে ব্যবহৃত হয়েছিল, যার মধ্যে ছিল ইন্টারনেট-উন্মুক্ত ডিভাইসের আপোস এবং অটো-কালার ম্যালওয়্যারের প্রতিনিধিত্বকারী একটি ELF ফাইল ডাউনলোড,” কোম্পানিটি জানিয়েছে।
“প্রাথমিক অনুপ্রবেশ থেকে সিটু যোগাযোগ স্থাপনের ব্যর্থতা পর্যন্ত, অটো-কালার ম্যালওয়্যার লিনাক্সের অভ্যন্তরীণ বিষয়ে স্পষ্ট বোঝাপড়া দেখিয়েছে এবং সনাক্তকরণের ঝুঁকি কমাতে এবং এক্সপোজার কমিয়ে আনতে গণনাকৃত সংযম প্রদর্শন করেছে।”
