برنامج SNOWLIGHT الخبيث
شنّت جهة التهديد المرتبطة بالصين UNC5174، المعروفة أيضًا باسم Uteus (أو Uetus)، حملةً إلكترونيةً جديدةً تتضمن نسخةً معدلةً من برمجية SNOWLIGHT الخبيثة وبرنامجًا جديدًا مفتوح المصدر للوصول عن بُعد (RAT) يُسمى VShell. تستهدف هذه العملية أنظمة Linux وتستخدم تقنياتٍ متقدمةً للتهرب من الكشف والإسناد.
جدول المحتويات
الاندماج: أدوات مفتوحة المصدر كغطاء
يعتمد مُخرِجو التهديدات بشكل متزايد على أدوات مفتوحة المصدر لخفض التكاليف وإخفاء أنشطتهم. في هذه الحالة، يستخدم UNC5174 هذه الأدوات ليُشبه قراصنةً من المستوى الأدنى غير مدعومين من قِبل دول، مما يُصعّب على المُدافعين تتبع الحملة إلى دولة. وقد مكّن هذا التكتيك UNC5174 من العمل بتكتم منذ آخر ارتباط معروف له بعمليات مرتبطة بالحكومة الصينية قبل أكثر من عام.
ترسانة مألوفة: ضوء الثلج ودوره
في السابق، استغلّ UNC5174 ثغراتٍ في Connectwise ScreenConnect وبرنامج F5 BIG-IP لنشر SNOWLIGHT، وهو أداة تنزيل ELF قائمة على لغة C. استُخدمت هذه الأداة لاسترجاع GOHEAVY، وهي أداة أنفاق قائمة على لغة Golang، من بنية تحتية مرتبطة بـ SUPERSHELL، وهو إطار عمل C2 متاح للعامة.
توسيع مجموعة الأدوات: GOREVERSE ومتجهات الهجوم الجديدة
تتضمن مجموعة أدوات المجموعة أيضًا GOREVERSE، وهي واجهة برمجية عكسية بلغة Golang تتواصل عبر Secure Shell (SSH). وقد رصدت الوكالة الوطنية الفرنسية لأمن أنظمة المعلومات (ANSSI) مؤخرًا أساليب مماثلة في هجمات على ثغرات Ivanti Cloud Service Appliance (CSA)، بما في ذلك CVE-2024-8963 وCVE-2024-9380 وCVE-2024-8190.
التهديدات متعددة المنصات: SNOWLIGHT وVShell يستهدفان نظام macOS
كلٌّ من SNOWLIGHT وVShell قادران على إصابة أنظمة Apple macOS. في أكتوبر 2024، تم إخفاء VShell على أنه تطبيق مصادقة Cloudflare مزيف، مما يشير إلى بنية تحتية أوسع وأكثر مرونة للهجمات. هذه القدرة على العمل عبر الأنظمة الأساسية تزيد من التهديد الإجمالي الذي يشكله UNC5174.
نقاط الدخول غير المرئية: سلسلة الهجوم ونشر الحمولة
في هجومٍ شُوهد في يناير 2025، استُخدم SNOWLIGHT كمُرسِلٍ لإيصال VShell، وهو برنامج تجسس عن بُعد (RAT) بدون ملفات في الذاكرة. لا تزال طريقة الوصول الأولية مجهولة، ولكن بمجرد دخوله إلى النظام، يُستخدم نص برمجي ضار (download_backd.sh) لنشر ملفين ثنائيين رئيسيين: dnsloger (SNOWLIGHT) وsystem_worker (Sliver). تساعد هذه الأدوات على تثبيت الثبات وبدء الاتصال بخادم C2.
التخفي والتحكم: المرحلة النهائية مع VShell
تتضمن المرحلة الأخيرة من الاختراق تنزيل VShell عبر طلب مخصص إلى خادم C2. بصفته حصان طروادة للوصول عن بُعد، يمنح VShell المهاجمين القدرة على تنفيذ أوامر عشوائية ونقل الملفات. طبيعته الخالية من الملفات واستخدامه لـ WebSockets لاتصالات C2 يجعله أداة خفية وخطيرة للغاية في ترسانة المهاجم.
الخلاصة: تهديد متطور ومراوغ
لا يزال UNC5174 يُشكل خطرًا كبيرًا بفضل مزيجه من الأدوات مفتوحة المصدر، وطرق التوصيل المتطورة، والحمولات الخفية مثل SNOWLIGHT وVShell. إن قدرتها على البقاء خفيةً أثناء استخدامها الأدوات العامة واستغلالها الثغرات الأمنية عبر الأنظمة الأساسية، تُبرز الحاجة إلى يقظة متزايدة واستراتيجيات دفاعية مُحدثة.
