SNOWLIGHT Malware

சீனாவுடன் தொடர்புடைய அச்சுறுத்தல் ஏற்படுத்தும் UNC5174, Uteus (அல்லது Uetus) என்றும் அழைக்கப்படுகிறது, இது SNOWLIGHT தீம்பொருளின் மாற்றியமைக்கப்பட்ட பதிப்பு மற்றும் VShell என பெயரிடப்பட்ட புதிய திறந்த மூல தொலைதூர அணுகல் ட்ரோஜன் (RAT) ஆகியவற்றை உள்ளடக்கிய ஒரு புதிய சைபர் பிரச்சாரத்தைத் தொடங்கியுள்ளது. இந்த செயல்பாடு Linux அமைப்புகளை குறிவைத்து, கண்டறிதல் மற்றும் பண்புக்கூறுகளைத் தவிர்க்க மேம்பட்ட நுட்பங்களைப் பயன்படுத்துகிறது.

கலத்தல்: ஒரு அட்டையாக திறந்த மூல கருவிகள்

அச்சுறுத்தல் செய்பவர்கள் செலவுகளைக் குறைப்பதற்கும் தங்கள் செயல்பாடுகளை மறைப்பதற்கும் திறந்த மூல கருவிகளை அதிகளவில் நம்பியுள்ளனர். இந்த நிலையில், UNC5174, குறைந்த அளவிலான, அரசு சாராத ஆதரவு பெற்ற ஹேக்கர்களைப் போல தோற்றமளிக்க இதுபோன்ற கருவிகளைப் பயன்படுத்துகிறது, இதனால் பாதுகாவலர்கள் பிரச்சாரத்தை ஒரு தேசிய அரசுடன் பின்னோக்கிக் கண்டுபிடிப்பது மிகவும் கடினமாகிறது. இந்த தந்திரோபாயம், ஒரு வருடத்திற்கு முன்பு சீன அரசாங்கத்துடன் இணைக்கப்பட்ட நடவடிக்கைகளுடன் அதன் கடைசி தொடர்புக்குப் பிறகு, UNC5174 விவேகத்துடன் செயல்பட அனுமதித்துள்ளது.

ஒரு பழக்கமான ஆயுதக் களஞ்சியம்: SNOWLIGHT மற்றும் அதன் பங்கு

முன்னதாக, UNC5174, C-அடிப்படையிலான ELF பதிவிறக்கியான SNOWLIGHT ஐப் பயன்படுத்த Connectwise ScreenConnect மற்றும் F5 BIG-IP மென்பொருளில் உள்ள பாதிப்புகளைப் பயன்படுத்தியது. இந்தக் கருவி, Golang-அடிப்படையிலான சுரங்கப்பாதை கருவியான GOHEAVY ஐ, பொதுவில் கிடைக்கும் C2 கட்டமைப்பான SUPERSHELL உடன் இணைக்கப்பட்ட உள்கட்டமைப்பிலிருந்து மீட்டெடுக்கப் பயன்படுத்தப்பட்டது.

கருவித்தொகுப்பு விரிவாக்கம்: GOREVERSE மற்றும் புதிய தாக்குதல் திசையன்கள்

இந்தக் குழுவின் கருவித்தொகுப்பில், செக்யூர் ஷெல் (SSH) வழியாகத் தொடர்பு கொள்ளும் கோலாங் ரிவர்ஸ் ஷெல்லான GOREVERSE-ம் அடங்கும். தகவல் அமைப்புகளின் பாதுகாப்புக்கான பிரெஞ்சு தேசிய நிறுவனம் (ANSSI) சமீபத்தில், Ivanti Cloud Service Appliance (CSA) பாதிப்புகள் மீதான தாக்குதல்களில் இதேபோன்ற தந்திரோபாயங்களைப் பயன்படுத்தியதைக் கவனித்தது, இதில் CVE-2024-8963, CVE-2024-9380, மற்றும் CVE-2024-8190 ஆகியவை அடங்கும்.

குறுக்கு-தள அச்சுறுத்தல்கள்: SNOWLIGHT மற்றும் VShell இலக்கு macOS

SNOWLIGHT மற்றும் VShell இரண்டும் Apple macOS அமைப்புகளைப் பாதிக்கும் திறன் கொண்டவை. அக்டோபர் 2024 இல், VShell ஒரு போலி Cloudflare அங்கீகார செயலியாக மாறுவேடமிட்டது, இது ஒரு பரந்த மற்றும் நெகிழ்வான தாக்குதல் உள்கட்டமைப்பைக் குறிக்கிறது. இந்த குறுக்கு-தளத் திறன் UNC5174 ஆல் ஏற்படும் ஒட்டுமொத்த அச்சுறுத்தலை அதிகரிக்கிறது.

காணப்படாத நுழைவுப் புள்ளிகள்: தாக்குதல் சங்கிலி மற்றும் சுமை வரிசைப்படுத்தல்

ஜனவரி 2025 இல் காணப்பட்ட ஒரு தாக்குதலில், கோப்பு இல்லாத நினைவக RAT ஆன VShell ஐ வழங்க SNOWLIGHT ஒரு டிராப்பராகப் பயன்படுத்தப்பட்டது. ஆரம்ப அணுகல் முறை தெரியவில்லை, ஆனால் கணினிக்குள் நுழைந்ததும், dnsloger (SNOWLIGHT) மற்றும் system_worker (Sliver) ஆகிய இரண்டு முக்கிய பைனரிகளைப் பயன்படுத்த ஒரு தீங்கிழைக்கும் ஸ்கிரிப்ட் (download_backd.sh) பயன்படுத்தப்படுகிறது. இந்தக் கருவிகள் நிலைத்தன்மையை நிறுவவும் C2 சேவையகத்துடன் தொடர்பைத் தொடங்கவும் உதவுகின்றன.

திருட்டுத்தனமும் கட்டுப்பாடும்: VShell உடனான இறுதி நிலை

ஊடுருவலின் இறுதி கட்டத்தில், C2 சேவையகத்திற்கு தனிப்பயன் கோரிக்கை மூலம் VShell பதிவிறக்கம் செய்யப்படுகிறது. தொலைதூர அணுகல் ட்ரோஜனாக, VShell தன்னிச்சையான கட்டளைகளை இயக்கும் மற்றும் கோப்புகளை மாற்றும் திறனை தாக்குபவர்களுக்கு வழங்குகிறது. அதன் கோப்பு இல்லாத தன்மை மற்றும் C2 தகவல்தொடர்புகளுக்கான WebSockets இன் பயன்பாடு, தாக்குபவர்களின் ஆயுதக் களஞ்சியத்தில் குறிப்பாக திருட்டுத்தனமான மற்றும் ஆபத்தான கருவியாக அமைகிறது.

முடிவு: ஒரு நுட்பமான மற்றும் தவிர்க்கும் அச்சுறுத்தல்

UNC5174, அதன் திறந்த மூல கருவிகள், அதிநவீன விநியோக முறைகள் மற்றும் SNOWLIGHT மற்றும் VShell போன்ற திருட்டுத்தனமான தரவுத்தளங்களின் கலவையுடன் தொடர்ந்து குறிப்பிடத்தக்க ஆபத்தை ஏற்படுத்துகிறது. பொது கருவிகளைப் பயன்படுத்தும்போதும், குறுக்கு-தள பாதிப்புகளைப் பயன்படுத்தும்போதும் கண்டறியப்படாமல் இருக்கும் அவற்றின் திறன், அதிகரித்த விழிப்புணர்வு மற்றும் புதுப்பிக்கப்பட்ட தற்காப்பு உத்திகளின் தேவையை அடிக்கோடிட்டுக் காட்டுகிறது.