SNOWLIGHT Malware

चीन से जुड़े ख़तरा पैदा करने वाले यूएनसी5174, जिसे यूटियस (या यूटस) के नाम से भी जाना जाता है, ने एक नया साइबर अभियान शुरू किया है जिसमें स्नोलाइट मैलवेयर का संशोधित संस्करण और वीशेल नामक एक नया ओपन-सोर्स रिमोट एक्सेस ट्रोजन (आरएटी) शामिल है। यह ऑपरेशन लिनक्स सिस्टम को लक्षित करता है और पता लगाने और आरोप लगाने से बचने के लिए उन्नत तकनीकों का उपयोग करता है।

सम्मिश्रण: आवरण के रूप में ओपन सोर्स उपकरण

ख़तरा पैदा करने वाले लोग लागत कम करने और अपनी गतिविधियों को छिपाने के लिए ओपन-सोर्स टूल पर अधिकाधिक निर्भर हो रहे हैं। इस मामले में, UNC5174 ऐसे टूल का उपयोग निम्न-स्तरीय, गैर-राज्य-प्रायोजित हैकर्स जैसा दिखने के लिए कर रहा है, जिससे बचावकर्ताओं के लिए अभियान को राष्ट्र-राज्य तक वापस ट्रैक करना अधिक कठिन हो जाता है। इस रणनीति ने UNC5174 को एक साल से अधिक समय पहले चीनी सरकार से जुड़े ऑपरेशनों के साथ अपने अंतिम ज्ञात जुड़ाव के बाद से गुप्त रूप से काम करने की अनुमति दी है।

एक परिचित शस्त्रागार: बर्फ़ का प्रकाश और इसकी भूमिका

इससे पहले, UNC5174 ने कनेक्टवाइज़ स्क्रीनकनेक्ट और F5 BIG-IP सॉफ़्टवेयर में कमज़ोरियों का फ़ायदा उठाकर SNOWLIGHT, एक C-आधारित ELF डाउनलोडर को तैनात किया था। इस टूल का इस्तेमाल GOHEAVY, एक Golang-आधारित टनलिंग टूल, को SUPERSHELL से जुड़े इंफ्रास्ट्रक्चर से प्राप्त करने के लिए किया गया था - जो एक सार्वजनिक रूप से उपलब्ध C2 फ्रेमवर्क है।

टूलसेट विस्तार: GOREVERSE और नए अटैक वेक्टर

समूह के टूलकिट में GOREVERSE भी शामिल है, जो एक गोलांग रिवर्स शेल है जो सिक्योर शेल (SSH) के माध्यम से संचार करता है। सूचना प्रणालियों की सुरक्षा के लिए फ्रांसीसी राष्ट्रीय एजेंसी (ANSSI) ने हाल ही में इवान्टी क्लाउड सर्विस एप्लायंस (CSA) कमजोरियों पर हमलों में इस्तेमाल की गई समान रणनीति देखी, जिसमें CVE-2024-8963, CVE-2024-9380 और CVE-2024-8190 शामिल हैं।

क्रॉस-प्लेटफ़ॉर्म ख़तरे: SNOWLIGHT और VShell का लक्ष्य macOS

SNOWLIGHT और VShell दोनों ही Apple macOS सिस्टम को संक्रमित करने में सक्षम हैं। अक्टूबर 2024 में, VShell को एक नकली Cloudflare प्रमाणक ऐप के रूप में प्रच्छन्न किया गया था, जो एक व्यापक और अधिक लचीले हमले के बुनियादी ढांचे का सुझाव देता है। यह क्रॉस-प्लेटफ़ॉर्म क्षमता UNC5174 द्वारा उत्पन्न समग्र खतरे को बढ़ाती है।

अदृश्य प्रवेश बिंदु: आक्रमण श्रृंखला और पेलोड परिनियोजन

जनवरी 2025 में देखे गए एक हमले में, SNOWLIGHT का उपयोग VShell, एक फ़ाइल रहित इन-मेमोरी RAT को डिलीवर करने के लिए ड्रॉपर के रूप में किया गया था। प्रारंभिक पहुँच विधि अज्ञात बनी हुई है, लेकिन सिस्टम के अंदर जाने के बाद, एक दुर्भावनापूर्ण स्क्रिप्ट (download_backd.sh) का उपयोग दो प्रमुख बाइनरी को तैनात करने के लिए किया जाता है: dnsloger (SNOWLIGHT) और system_worker (Sliver)। ये उपकरण दृढ़ता स्थापित करने और C2 सर्वर के साथ संचार आरंभ करने में मदद करते हैं।

चुपके और नियंत्रण: VShell के साथ अंतिम चरण

घुसपैठ के अंतिम चरण में C2 सर्वर पर कस्टम अनुरोध के माध्यम से VShell को डाउनलोड किया जाता है। रिमोट एक्सेस ट्रोजन के रूप में, VShell हमलावरों को मनमाने आदेशों को निष्पादित करने और फ़ाइलों को स्थानांतरित करने की क्षमता प्रदान करता है। इसकी फ़ाइल रहित प्रकृति और C2 संचार के लिए WebSockets का उपयोग इसे हमलावर के शस्त्रागार में एक विशेष रूप से गुप्त और खतरनाक उपकरण बनाता है।

निष्कर्ष: एक परिष्कृत और टालने योग्य धमकी

UNC5174 अपने ओपन-सोर्स टूल्स, परिष्कृत डिलीवरी विधियों और SNOWLIGHT और VShell जैसे गुप्त पेलोड के संयोजन के साथ एक महत्वपूर्ण जोखिम पैदा करना जारी रखता है। सार्वजनिक उपकरणों का लाभ उठाते हुए और क्रॉस-प्लेटफ़ॉर्म कमज़ोरियों का फायदा उठाते हुए भी उनका पता न चल पाने की क्षमता बढ़ी हुई सतर्कता और अद्यतन रक्षात्मक रणनीतियों की आवश्यकता को रेखांकित करती है।