SNOWLIGHT Malware

চীন-সংশ্লিষ্ট হুমকি অভিনেতা UNC5174, যা Uteus (বা Uetus) নামেও পরিচিত, SNOWLIGHT ম্যালওয়্যারের একটি পরিবর্তিত সংস্করণ এবং VShell নামে একটি নতুন ওপেন-সোর্স রিমোট অ্যাক্সেস ট্রোজান (RAT) নিয়ে একটি নতুন সাইবার প্রচারণা শুরু করেছে। এই অপারেশনটি লিনাক্স সিস্টেমগুলিকে লক্ষ্য করে এবং সনাক্তকরণ এবং অ্যাট্রিবিউশন এড়াতে উন্নত কৌশল ব্যবহার করে।

মিশ্রণ: একটি কভার হিসেবে ওপেন সোর্স টুলস

হুমকিদাতারা খরচ কমাতে এবং তাদের কার্যকলাপ লুকানোর জন্য ক্রমবর্ধমানভাবে ওপেন-সোর্স টুলের উপর নির্ভর করছে। এই ক্ষেত্রে, UNC5174 নিম্ন-স্তরের, অ-রাষ্ট্র-স্পন্সর হ্যাকারদের মতো দেখতে এই ধরনের টুল ব্যবহার করছে, যার ফলে রক্ষকদের জন্য কোনও জাতি-রাষ্ট্রে প্রচারণার সন্ধান করা আরও কঠিন হয়ে পড়েছে। এই কৌশলটি UNC5174 কে এক বছরেরও বেশি সময় আগে চীনা সরকার-সংযুক্ত কার্যক্রমের সাথে শেষ পরিচিত যোগাযোগের পর থেকে গোপনে কাজ করার অনুমতি দিয়েছে।

একটি পরিচিত অস্ত্রাগার: তুষারপাত এবং এর ভূমিকা

পূর্বে, UNC5174 Connectwise ScreenConnect এবং F5 BIG-IP সফ্টওয়্যারের দুর্বলতাগুলিকে কাজে লাগিয়ে SNOWLIGHT, একটি C-ভিত্তিক ELF ডাউনলোডার স্থাপন করেছিল। এই টুলটি SUPERSHELL-এর সাথে সংযুক্ত অবকাঠামো থেকে Golang-ভিত্তিক টানেলিং টুল GOHEAVY পুনরুদ্ধার করতে ব্যবহৃত হয়েছিল - একটি সর্বজনীনভাবে উপলব্ধ C2 ফ্রেমওয়ার্ক।

টুলসেট সম্প্রসারণ: GOREVERSE এবং নতুন আক্রমণ ভেক্টর

গ্রুপের টুলকিটে GOREVERSEও অন্তর্ভুক্ত, একটি গোল্যাং রিভার্স শেল যা সিকিউর শেল (SSH) এর মাধ্যমে যোগাযোগ করে। ফরাসি ন্যাশনাল এজেন্সি ফর দ্য সিকিউরিটি অফ ইনফরমেশন সিস্টেমস (ANSSI) সম্প্রতি ইভান্টি ক্লাউড সার্ভিস অ্যাপ্লায়েন্স (CSA) দুর্বলতার উপর আক্রমণে ব্যবহৃত একই ধরণের কৌশল পর্যবেক্ষণ করেছে, যার মধ্যে CVE-2024-8963, CVE-2024-9380 এবং CVE-2024-8190 অন্তর্ভুক্ত রয়েছে।

ক্রস-প্ল্যাটফর্ম হুমকি: স্নোলাইট এবং ভিশেল টার্গেট ম্যাকওএস

SNOWLIGHT এবং VShell উভয়ই Apple macOS সিস্টেমে সংক্রমিত হতে সক্ষম। ২০২৪ সালের অক্টোবরে, VShell একটি নকল Cloudflare প্রমাণীকরণকারী অ্যাপের ছদ্মবেশে পরিণত হয়েছিল, যা একটি বিস্তৃত এবং আরও নমনীয় আক্রমণ পরিকাঠামোর ইঙ্গিত দেয়। এই ক্রস-প্ল্যাটফর্ম ক্ষমতা UNC5174 দ্বারা সৃষ্ট সামগ্রিক হুমকিকে বাড়িয়ে তোলে।

অদৃশ্য প্রবেশের পয়েন্ট: আক্রমণ শৃঙ্খল এবং পেলোড স্থাপন

২০২৫ সালের জানুয়ারিতে দেখা যাওয়া এক আক্রমণে, SNOWLIGHT কে VShell, একটি ফাইললেস ইন-মেমরি RAT সরবরাহ করার জন্য ড্রপার হিসেবে ব্যবহার করা হয়েছিল। প্রাথমিক অ্যাক্সেস পদ্ধতিটি অজানা থেকে যায়, কিন্তু একবার সিস্টেমের ভিতরে প্রবেশ করলে, একটি ক্ষতিকারক স্ক্রিপ্ট (download_backd.sh) ব্যবহার করে দুটি মূল বাইনারি স্থাপন করা হয়: dnsloger (SNOWLIGHT) এবং system_worker (Sliver)। এই সরঞ্জামগুলি স্থিরতা স্থাপন করতে এবং C2 সার্ভারের সাথে যোগাযোগ শুরু করতে সহায়তা করে।

গোপনতা এবং নিয়ন্ত্রণ: ভিশেলের সাথে চূড়ান্ত পর্যায়

অনুপ্রবেশের চূড়ান্ত পর্যায়ে রয়েছে VShell কে C2 সার্ভারে একটি কাস্টম অনুরোধের মাধ্যমে ডাউনলোড করা। একটি রিমোট অ্যাক্সেস ট্রোজান হিসেবে, VShell আক্রমণকারীদের ইচ্ছামত কমান্ড চালানো এবং ফাইল স্থানান্তর করার ক্ষমতা প্রদান করে। এর ফাইলহীন প্রকৃতি এবং C2 যোগাযোগের জন্য ওয়েবসকেটের ব্যবহার এটিকে আক্রমণকারীদের অস্ত্রাগারে একটি বিশেষভাবে গোপন এবং বিপজ্জনক হাতিয়ার করে তোলে।

উপসংহার: একটি পরিশীলিত এবং এড়িয়ে যাওয়ার হুমকি

UNC5174 এর ওপেন-সোর্স টুল, অত্যাধুনিক ডেলিভারি পদ্ধতি এবং SNOWLIGHT এবং VShell এর মতো গোপন পেলোডের সংমিশ্রণের কারণে একটি উল্লেখযোগ্য ঝুঁকি তৈরি করে চলেছে। পাবলিক টুল ব্যবহার করে এবং ক্রস-প্ল্যাটফর্ম দুর্বলতা কাজে লাগানোর সময় তাদের অজ্ঞাত থাকার ক্ষমতা বর্ধিত সতর্কতা এবং আপডেটেড প্রতিরক্ষামূলক কৌশলের প্রয়োজনীয়তার উপর জোর দেয়।