SNOWLIGHT మాల్వేర్

చైనాతో సంబంధం ఉన్న బెదిరింపు కారకుడు UNC5174, లేదా Uteus (లేదా Uetus) అని కూడా పిలుస్తారు, SNOWLIGHT మాల్వేర్ యొక్క సవరించిన వెర్షన్ మరియు VShell అనే కొత్త ఓపెన్-సోర్స్ రిమోట్ యాక్సెస్ ట్రోజన్ (RAT)తో కూడిన కొత్త సైబర్ ప్రచారాన్ని ప్రారంభించింది. ఈ ఆపరేషన్ Linux వ్యవస్థలను లక్ష్యంగా చేసుకుంటుంది మరియు గుర్తింపు మరియు లక్షణాన్ని తప్పించుకోవడానికి అధునాతన పద్ధతులను ఉపయోగిస్తుంది.

బ్లెండింగ్ ఇన్: కవర్‌గా ఓపెన్ సోర్స్ టూల్స్

బెదిరింపు సంస్థలు ఖర్చులను తగ్గించుకోవడానికి మరియు వారి కార్యకలాపాలను ముసుగు చేయడానికి ఓపెన్-సోర్స్ సాధనాలపై ఎక్కువగా ఆధారపడుతున్నాయి. ఈ సందర్భంలో, UNC5174 తక్కువ-స్థాయి, నాన్-స్పాన్సర్డ్ హ్యాకర్లను పోలి ఉండేలా ఇటువంటి సాధనాలను ఉపయోగిస్తోంది, దీని వలన రక్షకులు ఈ ప్రచారాన్ని ఒక దేశ-రాష్ట్రానికి తిరిగి గుర్తించడం మరింత కష్టతరం అవుతుంది. ఈ వ్యూహం UNC5174 ఒక సంవత్సరం క్రితం చైనా ప్రభుత్వ-సంబంధిత కార్యకలాపాలతో చివరిగా తెలిసిన సంబంధం నుండి వివేకంతో పనిచేయడానికి అనుమతించింది.

సుపరిచితమైన ఆయుధశాల: SNOWLIGHT మరియు దాని పాత్ర

గతంలో, UNC5174 C-ఆధారిత ELF డౌన్‌లోడ్ అయిన SNOWLIGHTని అమలు చేయడానికి Connectwise ScreenConnect మరియు F5 BIG-IP సాఫ్ట్‌వేర్‌లోని దుర్బలత్వాలను ఉపయోగించుకుంది. ఈ సాధనం గోలాంగ్-ఆధారిత టన్నెలింగ్ సాధనం GOHEAVYని బహిరంగంగా అందుబాటులో ఉన్న C2 ఫ్రేమ్‌వర్క్ అయిన SUPERSHELLకి లింక్ చేయబడిన మౌలిక సదుపాయాల నుండి తిరిగి పొందడానికి ఉపయోగించబడింది.

టూల్‌సెట్ విస్తరణ: GOREVERSE మరియు కొత్త దాడి వెక్టర్స్

ఈ గ్రూప్ టూల్‌కిట్‌లో సెక్యూర్ షెల్ (SSH) ద్వారా కమ్యూనికేట్ చేసే గోలాంగ్ రివర్స్ షెల్ అయిన GOREVERSE కూడా ఉంది. ఫ్రెంచ్ నేషనల్ ఏజెన్సీ ఫర్ ది సెక్యూరిటీ ఆఫ్ ఇన్ఫర్మేషన్ సిస్టమ్స్ (ANSSI) ఇటీవల ఇవాంటి క్లౌడ్ సర్వీస్ అప్లయన్స్ (CSA) దుర్బలత్వాలపై దాడులలో ఉపయోగించిన ఇలాంటి వ్యూహాలను గమనించింది, వీటిలో CVE-2024-8963, CVE-2024-9380, మరియు CVE-2024-8190 ఉన్నాయి.

క్రాస్-ప్లాట్‌ఫామ్ బెదిరింపులు: SNOWLIGHT మరియు VShell టార్గెట్ macOS

SNOWLIGHT మరియు VShell రెండూ Apple macOS సిస్టమ్‌లను ప్రభావితం చేయగలవు. అక్టోబర్ 2024లో, VShell ఒక నకిలీ Cloudflare ప్రామాణీకరణ యాప్‌గా మారువేషంలో ఉంది, ఇది విస్తృతమైన మరియు మరింత సరళమైన దాడి మౌలిక సదుపాయాలను సూచిస్తుంది. ఈ క్రాస్-ప్లాట్‌ఫారమ్ సామర్థ్యం UNC5174 ద్వారా ఎదురయ్యే మొత్తం ముప్పును పెంచుతుంది.

కనిపించని ఎంట్రీ పాయింట్లు: దాడి గొలుసు మరియు పేలోడ్ విస్తరణ

జనవరి 2025లో జరిగిన దాడిలో, SNOWLIGHTను ఫైల్‌లెస్ ఇన్-మెమరీ RAT అయిన VShellను డెలివరీ చేయడానికి డ్రాపర్‌గా ఉపయోగించారు. ప్రారంభ యాక్సెస్ పద్ధతి ఇంకా తెలియదు, కానీ సిస్టమ్ లోపలికి ప్రవేశించిన తర్వాత, రెండు కీలక బైనరీలను అమలు చేయడానికి ఒక హానికరమైన స్క్రిప్ట్ (download_backd.sh) ఉపయోగించబడుతుంది: dnsloger (SNOWLIGHT) మరియు system_worker (Sliver). ఈ సాధనాలు C2 సర్వర్‌తో నిలకడను ఏర్పరచడానికి మరియు కమ్యూనికేషన్‌ను ప్రారంభించడానికి సహాయపడతాయి.

స్టెల్త్ మరియు కంట్రోల్: VShell తో చివరి దశ

చొరబాటు యొక్క చివరి దశలో C2 సర్వర్‌కు కస్టమ్ అభ్యర్థన ద్వారా VShell డౌన్‌లోడ్ చేయబడుతుంది. రిమోట్ యాక్సెస్ ట్రోజన్‌గా, VShell దాడి చేసేవారికి ఏకపక్ష ఆదేశాలను అమలు చేయగల మరియు ఫైల్‌లను బదిలీ చేయగల సామర్థ్యాన్ని అందిస్తుంది. దాని ఫైల్‌లెస్ స్వభావం మరియు C2 కమ్యూనికేషన్‌ల కోసం వెబ్‌సాకెట్‌ల ఉపయోగం దీనిని దాడి చేసేవారి ఆయుధశాలలో ప్రత్యేకంగా రహస్యమైన మరియు ప్రమాదకరమైన సాధనంగా చేస్తుంది.

ముగింపు: ఒక అధునాతనమైన మరియు తప్పించుకునే ముప్పు

UNC5174 ఓపెన్-సోర్స్ సాధనాలు, అధునాతన డెలివరీ పద్ధతులు మరియు SNOWLIGHT మరియు VShell వంటి రహస్య పేలోడ్‌ల కలయికతో గణనీయమైన ప్రమాదాన్ని కలిగిస్తూనే ఉంది. పబ్లిక్ సాధనాలను ఉపయోగించుకుంటూ మరియు క్రాస్-ప్లాట్‌ఫారమ్ దుర్బలత్వాలను దోపిడీ చేస్తున్నప్పుడు గుర్తించబడకుండా ఉండే వాటి సామర్థ్యం పెరిగిన నిఘా మరియు నవీకరించబడిన రక్షణ వ్యూహాల అవసరాన్ని నొక్కి చెబుతుంది.