SNOWLIGHT Malware

តួអង្គគំរាមកំហែងដែលភ្ជាប់ជាមួយប្រទេសចិន UNC5174 ដែលត្រូវបានគេស្គាល់ថា Uteus (ឬ Uetus) បានចាប់ផ្តើមយុទ្ធនាការអ៊ីនធឺណេតថ្មីដែលពាក់ព័ន្ធនឹងកំណែដែលបានកែប្រែនៃមេរោគ SNOWLIGHT និង Trojan ពីចម្ងាយ (RAT) ប្រភពបើកចំហថ្មីដែលមានឈ្មោះថា VShell ។ ប្រតិបត្តិការនេះកំណត់គោលដៅលើប្រព័ន្ធលីនុច និងប្រើប្រាស់បច្ចេកទេសកម្រិតខ្ពស់ដើម្បីគេចពីការរកឃើញ និងការបញ្ជាក់។

ការលាយបញ្ចូលគ្នា៖ ឧបករណ៍ប្រភពបើកចំហជាគម្រប

តួអង្គគំរាមកំហែងកំពុងពឹងផ្អែកកាន់តែខ្លាំងឡើងលើឧបករណ៍ប្រភពបើកចំហដើម្បីកាត់បន្ថយការចំណាយ និងបិទបាំងសកម្មភាពរបស់ពួកគេ។ ក្នុងករណីនេះ UNC5174 កំពុងប្រើឧបករណ៍បែបនេះដើម្បីស្រដៀងនឹងពួក Hacker ដែលមិនឧបត្ថម្ភដោយរដ្ឋកម្រិតទាប ដែលធ្វើឱ្យវាកាន់តែលំបាកសម្រាប់អ្នកការពារក្នុងការតាមដានយុទ្ធនាការត្រឡប់ទៅរដ្ឋមួយ។ យុទ្ធសាស្ត្រនេះបានអនុញ្ញាតឱ្យ UNC5174 ដំណើរការដោយមិនដឹងខ្លួនចាប់តាំងពីសមាគមដែលគេស្គាល់ចុងក្រោយរបស់ខ្លួនជាមួយនឹងប្រតិបត្តិការដែលភ្ជាប់ជាមួយរដ្ឋាភិបាលចិនជាងមួយឆ្នាំមុន។

ក្រុម Arsenal ដែលធ្លាប់ស្គាល់៖ SNOWLIGHT និងតួនាទីរបស់វា។

ពីមុន UNC5174 បានទាញយកភាពងាយរងគ្រោះនៅក្នុង Connectwise ScreenConnect និងកម្មវិធី F5 BIG-IP ដើម្បីដាក់ឱ្យប្រើប្រាស់ SNOWLIGHT ដែលជាកម្មវិធីទាញយក ELF ដែលមានមូលដ្ឋានលើ C ។ ឧបករណ៍នេះត្រូវបានប្រើដើម្បីទាញយក GOHEAVY ដែលជាឧបករណ៍ផ្លូវរូងក្រោមដីដែលមានមូលដ្ឋានលើ Golang ពីហេដ្ឋារចនាសម្ព័ន្ធដែលភ្ជាប់ទៅនឹង SUPERSHELL—ជាក្របខ័ណ្ឌ C2 ដែលមានជាសាធារណៈ។

ការពង្រីកឧបករណ៍៖ GOREVERSE និងវ៉ិចទ័រវាយប្រហារថ្មី។

កញ្ចប់ឧបករណ៍របស់ក្រុមនេះក៏រួមបញ្ចូលផងដែរនូវ GOREVERSE ដែលជាសែលបញ្ច្រាស Golang ដែលទំនាក់ទំនងតាមរយៈ Secure Shell (SSH) ។ ទីភ្នាក់ងារជាតិបារាំងសម្រាប់សន្តិសុខប្រព័ន្ធព័ត៌មាន (ANSSI) ថ្មីៗនេះបានសង្កេតឃើញយុទ្ធសាស្ត្រស្រដៀងគ្នានេះដែលត្រូវបានប្រើប្រាស់ក្នុងការវាយប្រហារលើភាពងាយរងគ្រោះរបស់ Ivanti Cloud Service Appliance (CSA) រួមទាំង CVE-2024-8963, CVE-2024-9380 និង CVE-2024-8190 ។

ការគំរាមកំហែងឆ្លងវេទិកា៖ SNOWLIGHT និង VShell គោលដៅ macOS

ទាំង SNOWLIGHT និង VShell មានសមត្ថភាពឆ្លងប្រព័ន្ធ Apple macOS ។ នៅខែតុលា ឆ្នាំ 2024 VShell ត្រូវបានគេក្លែងធ្វើជាកម្មវិធីផ្ទៀងផ្ទាត់ Cloudflare ក្លែងក្លាយ ដែលបង្ហាញពីហេដ្ឋារចនាសម្ព័ន្ធការវាយប្រហារដ៏ទូលំទូលាយ និងអាចបត់បែនបាន។ សមត្ថភាពឆ្លងវេទិកានេះបង្កើនការគំរាមកំហែងជារួមដែលបង្កឡើងដោយ UNC5174 ។

ចំណុចចូលមើលមិនឃើញ៖ ខ្សែសង្វាក់វាយប្រហារ និងការដាក់ពង្រាយបន្ទុក

នៅក្នុងការវាយប្រហារមួយដែលត្រូវបានអង្កេតនៅក្នុងខែមករា ឆ្នាំ 2025 SNOWLIGHT ត្រូវបានគេប្រើជាឧបករណ៍ទម្លាក់ដើម្បីបញ្ជូន VShell ដែលជា RAT ដែលគ្មានឯកសារនៅក្នុងអង្គចងចាំ។ វិធីសាស្ត្រចូលប្រើដំបូងនៅតែមិនស្គាល់ ប៉ុន្តែនៅពេលដែលនៅខាងក្នុងប្រព័ន្ធ ស្គ្រីបព្យាបាទ (download_backd.sh) ត្រូវបានប្រើដើម្បីដាក់ពង្រាយប្រព័ន្ធគោលពីរសំខាន់ៗ៖ dnsloger (SNOWLIGHT) និង system_worker (Sliver)។ ឧបករណ៍ទាំងនេះជួយបង្កើតការតស៊ូ និងផ្តួចផ្តើមទំនាក់ទំនងជាមួយម៉ាស៊ីនមេ C2 ។

ការបំបាំងកាយ និងការគ្រប់គ្រង៖ ដំណាក់កាលចុងក្រោយជាមួយ VShell

ដំណាក់កាលចុងក្រោយនៃការឈ្លានពានពាក់ព័ន្ធនឹង VShell ត្រូវបានទាញយកតាមរយៈសំណើផ្ទាល់ខ្លួនទៅកាន់ម៉ាស៊ីនមេ C2 ។ ក្នុងនាមជា Trojan ពីចម្ងាយ VShell ផ្តល់ឱ្យអ្នកវាយប្រហារនូវសមត្ថភាពក្នុងការប្រតិបត្តិពាក្យបញ្ជាតាមអំពើចិត្ត និងផ្ទេរឯកសារ។ លក្ខណៈគ្មានឯកសាររបស់វា និងការប្រើប្រាស់ WebSockets សម្រាប់ការទំនាក់ទំនង C2 ធ្វើឱ្យវាក្លាយជាឧបករណ៍បំបាំងកាយ និងគ្រោះថ្នាក់ជាពិសេសនៅក្នុងឃ្លាំងអាវុធរបស់អ្នកវាយប្រហារ។

សេចក្តីសន្និដ្ឋាន៖ ការគំរាមកំហែងស្មុគ្រស្មាញ និងគេចវេស

UNC5174 បន្តបង្កហានិភ័យយ៉ាងសំខាន់ជាមួយនឹងការរួមបញ្ចូលគ្នានៃឧបករណ៍ប្រភពបើកចំហ វិធីសាស្រ្តចែកចាយដ៏ទំនើប និងបន្ទុកលួចលាក់ដូចជា SNOWLIGHT និង VShell ។ សមត្ថភាពរបស់ពួកគេក្នុងការនៅតែមិនអាចរកឃើញ ខណៈពេលដែលការប្រើប្រាស់ឧបករណ៍សាធារណៈ និងការកេងប្រវ័ញ្ចភាពងាយរងគ្រោះឆ្លងវេទិកា បញ្ជាក់ពីតម្រូវការសម្រាប់ការប្រុងប្រយ័ត្នខ្ពស់ និងយុទ្ធសាស្រ្តការពារដែលបានធ្វើបច្ចុប្បន្នភាព។