SNOWLIGHT Malware

चीनसँग सम्बन्धित खतरा अभिनेता UNC5174, जसलाई Uteus (वा Uetus) पनि भनिन्छ, ले SNOWLIGHT मालवेयरको परिमार्जित संस्करण र VShell नामक नयाँ खुला स्रोत रिमोट एक्सेस ट्रोजन (RAT) समावेश गरी नयाँ साइबर अभियान सुरु गरेको छ। यो अपरेशनले लिनक्स प्रणालीहरूलाई लक्षित गर्दछ र पत्ता लगाउने र एट्रिब्युशनबाट बच्न उन्नत प्रविधिहरू प्रयोग गर्दछ।

मिश्रण: खुला स्रोत उपकरणहरूलाई आवरणको रूपमा

खतराका अभिनेताहरू लागत घटाउन र आफ्ना गतिविधिहरू लुकाउन खुला-स्रोत उपकरणहरूमा बढ्दो रूपमा भर परिरहेका छन्। यस अवस्थामा, UNC5174 ले निम्न-स्तरीय, गैर-राज्य-प्रायोजित ह्याकरहरू जस्तै देखिने यस्ता उपकरणहरू प्रयोग गरिरहेको छ, जसले गर्दा रक्षकहरूलाई अभियानलाई राष्ट्र-राज्यमा फिर्ता ट्रेस गर्न गाह्रो भएको छ। यो रणनीतिले UNC5174 लाई एक वर्ष भन्दा बढी समय अघि चिनियाँ सरकार-सम्बन्धित अपरेशनहरूसँगको अन्तिम ज्ञात सम्बन्धदेखि नै गोप्य रूपमा सञ्चालन गर्न अनुमति दिएको छ।

एक परिचित शस्त्रागार: हिउँको प्रकाश र यसको भूमिका

पहिले, UNC5174 ले Connectwise ScreenConnect र F5 BIG-IP सफ्टवेयरमा भएका कमजोरीहरूको शोषण गर्दै C-आधारित ELF डाउनलोडर SNOWLIGHT तैनाथ गर्‍यो। यो उपकरण सार्वजनिक रूपमा उपलब्ध C2 फ्रेमवर्क - SUPERSHELL सँग जोडिएको पूर्वाधारबाट Golang-आधारित टनेलिङ उपकरण GOHEAVY पुन: प्राप्त गर्न प्रयोग गरिएको थियो।

उपकरणसेट विस्तार: GOREVERSE र नयाँ आक्रमण भेक्टरहरू

समूहको टुलकिटमा GOREVERSE पनि समावेश छ, जुन गोलङ रिभर्स शेल हो जसले सेक्योर शेल (SSH) मार्फत सञ्चार गर्छ। फ्रान्सेली राष्ट्रिय सूचना प्रणाली सुरक्षा एजेन्सी (ANSSI) ले हालै CVE-2024-8963, CVE-2024-9380, र CVE-2024-8190 सहित इभान्टी क्लाउड सेवा उपकरण (CSA) कमजोरीहरूमा आक्रमणहरूमा प्रयोग गरिएका समान रणनीतिहरू अवलोकन गरेको छ।

क्रस-प्लेटफर्म खतराहरू: SNOWLIGHT र VShell लक्ष्य macOS

SNOWLIGHT र VShell दुवैले Apple macOS प्रणालीहरूलाई संक्रमित गर्न सक्षम छन्। अक्टोबर २०२४ मा, VShell लाई नक्कली Cloudflare प्रमाणक एपको रूपमा भेषमा राखिएको थियो, जसले फराकिलो र अधिक लचिलो आक्रमण पूर्वाधारको सुझाव दिन्छ। यो क्रस-प्लेटफर्म क्षमताले UNC5174 द्वारा उत्पन्न समग्र खतरालाई बढाउँछ।

नदेखिने प्रवेश बिन्दुहरू: आक्रमण श्रृंखला र पेलोड तैनाती

जनवरी २०२५ मा देखिएको आक्रमणमा, SNOWLIGHT लाई VShell, फाइललेस इन-मेमोरी RAT डेलिभर गर्न ड्रपरको रूपमा प्रयोग गरिएको थियो। प्रारम्भिक पहुँच विधि अज्ञात रहन्छ, तर एक पटक प्रणाली भित्र, दुई प्रमुख बाइनरीहरू तैनाथ गर्न एक दुर्भावनापूर्ण स्क्रिप्ट (download_backd.sh) प्रयोग गरिन्छ: dnsloger (SNOWLIGHT) र system_worker (Sliver)। यी उपकरणहरूले दृढता स्थापित गर्न र C2 सर्भरसँग सञ्चार सुरु गर्न मद्दत गर्छन्।

चोरी र नियन्त्रण: VShell सँग अन्तिम चरण

घुसपैठको अन्तिम चरणमा VShell लाई C2 सर्भरमा अनुकूलन अनुरोध मार्फत डाउनलोड गर्नु समावेश छ। रिमोट एक्सेस ट्रोजनको रूपमा, VShell ले आक्रमणकारीहरूलाई मनमानी आदेशहरू कार्यान्वयन गर्ने र फाइलहरू स्थानान्तरण गर्ने क्षमता प्रदान गर्दछ। यसको फाइललेस प्रकृति र C2 सञ्चारको लागि WebSockets को प्रयोगले यसलाई आक्रमणकारीको शस्त्रागारमा विशेष गरी गोप्य र खतरनाक उपकरण बनाउँछ।

निष्कर्ष: एक परिष्कृत र टार्ने खतरा

UNC5174 ले खुला स्रोत उपकरणहरू, परिष्कृत डेलिभरी विधिहरू, र SNOWLIGHT र VShell जस्ता गोप्य पेलोडहरूको संयोजनको साथ महत्त्वपूर्ण जोखिम खडा गरिरहेको छ। सार्वजनिक उपकरणहरूको लाभ उठाउँदै र क्रस-प्लेटफर्म कमजोरीहरूको शोषण गर्दा पत्ता नलाग्ने तिनीहरूको क्षमताले बढ्दो सतर्कता र अद्यावधिक रक्षात्मक रणनीतिहरूको आवश्यकतालाई जोड दिन्छ।