SNOWLIGHT Malware

ਚੀਨ ਨਾਲ ਜੁੜੇ ਖ਼ਤਰੇ ਦੇ ਐਕਟਰ UNC5174, ਜਿਸਨੂੰ Uteus (ਜਾਂ Uetus) ਵੀ ਕਿਹਾ ਜਾਂਦਾ ਹੈ, ਨੇ ਇੱਕ ਨਵੀਂ ਸਾਈਬਰ ਮੁਹਿੰਮ ਸ਼ੁਰੂ ਕੀਤੀ ਹੈ ਜਿਸ ਵਿੱਚ SNOWLIGHT ਮਾਲਵੇਅਰ ਦਾ ਇੱਕ ਸੋਧਿਆ ਹੋਇਆ ਸੰਸਕਰਣ ਅਤੇ VShell ਨਾਮਕ ਇੱਕ ਨਵਾਂ ਓਪਨ-ਸੋਰਸ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ (RAT) ਸ਼ਾਮਲ ਹੈ। ਇਹ ਓਪਰੇਸ਼ਨ ਲੀਨਕਸ ਸਿਸਟਮਾਂ ਨੂੰ ਨਿਸ਼ਾਨਾ ਬਣਾਉਂਦਾ ਹੈ ਅਤੇ ਖੋਜ ਅਤੇ ਵਿਸ਼ੇਸ਼ਤਾ ਤੋਂ ਬਚਣ ਲਈ ਉੱਨਤ ਤਕਨੀਕਾਂ ਦੀ ਵਰਤੋਂ ਕਰਦਾ ਹੈ।

ਬਲੈਂਡਿੰਗ ਇਨ: ਇੱਕ ਕਵਰ ਦੇ ਤੌਰ 'ਤੇ ਓਪਨ ਸੋਰਸ ਟੂਲ

ਧਮਕੀ ਦੇਣ ਵਾਲੇ ਲੋਕ ਲਾਗਤਾਂ ਘਟਾਉਣ ਅਤੇ ਆਪਣੀਆਂ ਗਤੀਵਿਧੀਆਂ ਨੂੰ ਛੁਪਾਉਣ ਲਈ ਓਪਨ-ਸੋਰਸ ਟੂਲਸ 'ਤੇ ਵੱਧ ਤੋਂ ਵੱਧ ਨਿਰਭਰ ਕਰ ਰਹੇ ਹਨ। ਇਸ ਮਾਮਲੇ ਵਿੱਚ, UNC5174 ਅਜਿਹੇ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਹੇਠਲੇ-ਪੱਧਰੀ, ਗੈਰ-ਰਾਜ-ਪ੍ਰਯੋਜਿਤ ਹੈਕਰਾਂ ਵਾਂਗ ਕਰਨ ਲਈ ਕਰ ਰਿਹਾ ਹੈ, ਜਿਸ ਨਾਲ ਬਚਾਅ ਕਰਨ ਵਾਲਿਆਂ ਲਈ ਮੁਹਿੰਮ ਨੂੰ ਕਿਸੇ ਰਾਸ਼ਟਰ-ਰਾਜ ਵਿੱਚ ਵਾਪਸ ਲੱਭਣਾ ਵਧੇਰੇ ਮੁਸ਼ਕਲ ਹੋ ਜਾਂਦਾ ਹੈ। ਇਸ ਰਣਨੀਤੀ ਨੇ UNC5174 ਨੂੰ ਇੱਕ ਸਾਲ ਪਹਿਲਾਂ ਚੀਨੀ ਸਰਕਾਰ ਨਾਲ ਜੁੜੇ ਕਾਰਜਾਂ ਨਾਲ ਆਪਣੇ ਆਖਰੀ ਜਾਣੇ-ਪਛਾਣੇ ਸਬੰਧ ਤੋਂ ਬਾਅਦ ਸਮਝਦਾਰੀ ਨਾਲ ਕੰਮ ਕਰਨ ਦੀ ਆਗਿਆ ਦਿੱਤੀ ਹੈ।

ਇੱਕ ਜਾਣਿਆ-ਪਛਾਣਿਆ ਸ਼ਸਤਰ: ਬਰਫ਼ ਦੀ ਰੌਸ਼ਨੀ ਅਤੇ ਇਸਦੀ ਭੂਮਿਕਾ

ਪਹਿਲਾਂ, UNC5174 ਨੇ Connectwise ScreenConnect ਅਤੇ F5 BIG-IP ਸੌਫਟਵੇਅਰ ਵਿੱਚ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਕੇ SNOWLIGHT, ਇੱਕ C-ਅਧਾਰਿਤ ELF ਡਾਊਨਲੋਡਰ, ਨੂੰ ਤੈਨਾਤ ਕੀਤਾ ਸੀ। ਇਸ ਟੂਲ ਦੀ ਵਰਤੋਂ GOHEAVY, ਇੱਕ ਗੋਲੰਗ-ਅਧਾਰਿਤ ਟਨਲਿੰਗ ਟੂਲ, ਨੂੰ SUPERSHELL ਨਾਲ ਜੁੜੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਤੋਂ ਪ੍ਰਾਪਤ ਕਰਨ ਲਈ ਕੀਤੀ ਗਈ ਸੀ - ਇੱਕ ਜਨਤਕ ਤੌਰ 'ਤੇ ਉਪਲਬਧ C2 ਫਰੇਮਵਰਕ।

ਟੂਲਸੈੱਟ ਵਿਸਥਾਰ: GOREVERSE ਅਤੇ ਨਵੇਂ ਹਮਲਾ ਵੈਕਟਰ

ਸਮੂਹ ਦੀ ਟੂਲਕਿੱਟ ਵਿੱਚ GOREVERSE ਵੀ ਸ਼ਾਮਲ ਹੈ, ਇੱਕ ਗੋਲੰਗ ਰਿਵਰਸ ਸ਼ੈੱਲ ਜੋ ਸਿਕਿਓਰ ਸ਼ੈੱਲ (SSH) ਰਾਹੀਂ ਸੰਚਾਰ ਕਰਦਾ ਹੈ। ਫ੍ਰੈਂਚ ਨੈਸ਼ਨਲ ਏਜੰਸੀ ਫਾਰ ਦ ਸਕਿਓਰਿਟੀ ਆਫ ਇਨਫਰਮੇਸ਼ਨ ਸਿਸਟਮਜ਼ (ANSSI) ਨੇ ਹਾਲ ਹੀ ਵਿੱਚ ਇਵਾਂਤੀ ਕਲਾਉਡ ਸਰਵਿਸ ਐਪਲਾਇੰਸ (CSA) ਕਮਜ਼ੋਰੀਆਂ 'ਤੇ ਹਮਲਿਆਂ ਵਿੱਚ ਵਰਤੀਆਂ ਜਾਂਦੀਆਂ ਸਮਾਨ ਰਣਨੀਤੀਆਂ ਨੂੰ ਦੇਖਿਆ, ਜਿਸ ਵਿੱਚ CVE-2024-8963, CVE-2024-9380, ਅਤੇ CVE-2024-8190 ਸ਼ਾਮਲ ਹਨ।

ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਖ਼ਤਰੇ: ਸਨੋਲਾਈਅਟ ਅਤੇ ਵੀਸ਼ੈਲ ਟਾਰਗੇਟ ਮੈਕੋਸ

SNOWLIGHT ਅਤੇ VShell ਦੋਵੇਂ ਹੀ Apple macOS ਸਿਸਟਮਾਂ ਨੂੰ ਸੰਕਰਮਿਤ ਕਰਨ ਦੇ ਸਮਰੱਥ ਹਨ। ਅਕਤੂਬਰ 2024 ਵਿੱਚ, VShell ਨੂੰ ਇੱਕ ਨਕਲੀ Cloudflare ਪ੍ਰਮਾਣਕ ਐਪ ਦੇ ਰੂਪ ਵਿੱਚ ਭੇਸ ਦਿੱਤਾ ਗਿਆ ਸੀ, ਜੋ ਇੱਕ ਵਿਸ਼ਾਲ ਅਤੇ ਵਧੇਰੇ ਲਚਕਦਾਰ ਹਮਲੇ ਦੇ ਬੁਨਿਆਦੀ ਢਾਂਚੇ ਦਾ ਸੁਝਾਅ ਦਿੰਦਾ ਹੈ। ਇਹ ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਸਮਰੱਥਾ UNC5174 ਦੁਆਰਾ ਪੈਦਾ ਕੀਤੇ ਗਏ ਸਮੁੱਚੇ ਖ਼ਤਰੇ ਨੂੰ ਵਧਾਉਂਦੀ ਹੈ।

ਅਣਦੇਖੇ ਐਂਟਰੀ ਪੁਆਇੰਟ: ਅਟੈਕ ਚੇਨ ਅਤੇ ਪੇਲੋਡ ਡਿਪਲਾਇਮੈਂਟ

ਜਨਵਰੀ 2025 ਵਿੱਚ ਦੇਖੇ ਗਏ ਇੱਕ ਹਮਲੇ ਵਿੱਚ, SNOWLIGHT ਨੂੰ VShell, ਇੱਕ ਫਾਈਲ ਰਹਿਤ ਇਨ-ਮੈਮੋਰੀ RAT, ਡਿਲੀਵਰ ਕਰਨ ਲਈ ਇੱਕ ਡਰਾਪਰ ਵਜੋਂ ਵਰਤਿਆ ਗਿਆ ਸੀ। ਸ਼ੁਰੂਆਤੀ ਪਹੁੰਚ ਵਿਧੀ ਅਣਜਾਣ ਰਹਿੰਦੀ ਹੈ, ਪਰ ਇੱਕ ਵਾਰ ਸਿਸਟਮ ਦੇ ਅੰਦਰ, ਇੱਕ ਖਤਰਨਾਕ ਸਕ੍ਰਿਪਟ (download_backd.sh) ਦੀ ਵਰਤੋਂ ਦੋ ਮੁੱਖ ਬਾਈਨਰੀਆਂ ਨੂੰ ਤੈਨਾਤ ਕਰਨ ਲਈ ਕੀਤੀ ਜਾਂਦੀ ਹੈ: dnsloger (SNOWLIGHT) ਅਤੇ system_worker (Sliver)। ਇਹ ਟੂਲ ਇੱਕ C2 ਸਰਵਰ ਨਾਲ ਸਥਿਰਤਾ ਸਥਾਪਤ ਕਰਨ ਅਤੇ ਸੰਚਾਰ ਸ਼ੁਰੂ ਕਰਨ ਵਿੱਚ ਮਦਦ ਕਰਦੇ ਹਨ।

ਸਟੀਲਥ ਅਤੇ ਕੰਟਰੋਲ: VShell ਨਾਲ ਅੰਤਿਮ ਪੜਾਅ

ਘੁਸਪੈਠ ਦੇ ਆਖਰੀ ਪੜਾਅ ਵਿੱਚ VShell ਨੂੰ C2 ਸਰਵਰ ਤੋਂ ਇੱਕ ਕਸਟਮ ਬੇਨਤੀ ਰਾਹੀਂ ਡਾਊਨਲੋਡ ਕੀਤਾ ਜਾਂਦਾ ਹੈ। ਇੱਕ ਰਿਮੋਟ ਐਕਸੈਸ ਟ੍ਰੋਜਨ ਦੇ ਰੂਪ ਵਿੱਚ, VShell ਹਮਲਾਵਰਾਂ ਨੂੰ ਮਨਮਾਨੇ ਕਮਾਂਡਾਂ ਨੂੰ ਚਲਾਉਣ ਅਤੇ ਫਾਈਲਾਂ ਟ੍ਰਾਂਸਫਰ ਕਰਨ ਦੀ ਯੋਗਤਾ ਪ੍ਰਦਾਨ ਕਰਦਾ ਹੈ। ਇਸਦੀ ਫਾਈਲ ਰਹਿਤ ਪ੍ਰਕਿਰਤੀ ਅਤੇ C2 ਸੰਚਾਰ ਲਈ ਵੈੱਬਸਾਕੇਟਸ ਦੀ ਵਰਤੋਂ ਇਸਨੂੰ ਹਮਲਾਵਰ ਦੇ ਹਥਿਆਰਾਂ ਵਿੱਚ ਇੱਕ ਖਾਸ ਤੌਰ 'ਤੇ ਗੁਪਤ ਅਤੇ ਖਤਰਨਾਕ ਸੰਦ ਬਣਾਉਂਦੀ ਹੈ।

ਸਿੱਟਾ: ਇੱਕ ਸੂਝਵਾਨ ਅਤੇ ਟਾਲ-ਮਟੋਲ ਕਰਨ ਵਾਲਾ ਖ਼ਤਰਾ

UNC5174 ਆਪਣੇ ਓਪਨ-ਸੋਰਸ ਟੂਲਸ, ਸੂਝਵਾਨ ਡਿਲੀਵਰੀ ਵਿਧੀਆਂ, ਅਤੇ SNOWLIGHT ਅਤੇ VShell ਵਰਗੇ ਸਟੀਲਥੀ ਪੇਲੋਡਾਂ ਦੇ ਸੁਮੇਲ ਨਾਲ ਇੱਕ ਮਹੱਤਵਪੂਰਨ ਜੋਖਮ ਪੈਦਾ ਕਰਨਾ ਜਾਰੀ ਰੱਖਦਾ ਹੈ। ਜਨਤਕ ਟੂਲਸ ਦੀ ਵਰਤੋਂ ਕਰਦੇ ਹੋਏ ਅਤੇ ਕਰਾਸ-ਪਲੇਟਫਾਰਮ ਕਮਜ਼ੋਰੀਆਂ ਦਾ ਸ਼ੋਸ਼ਣ ਕਰਦੇ ਹੋਏ ਅਣਪਛਾਤੇ ਰਹਿਣ ਦੀ ਉਨ੍ਹਾਂ ਦੀ ਯੋਗਤਾ ਵਧੀ ਹੋਈ ਚੌਕਸੀ ਅਤੇ ਅੱਪਡੇਟ ਕੀਤੀਆਂ ਰੱਖਿਆਤਮਕ ਰਣਨੀਤੀਆਂ ਦੀ ਜ਼ਰੂਰਤ ਨੂੰ ਉਜਾਗਰ ਕਰਦੀ ਹੈ।