SNOWLIGHT Зловреден софтуер
Свързаният с Китай заплаха UNC5174, известен още като Uteus (или Uetus), стартира нова кибер кампания, включваща модифицирана версия на зловреден софтуер SNOWLIGHT и нов троянски кон с отворен код за отдалечен достъп (RAT), наречен VShell. Тази операция е насочена към Linux системи и използва усъвършенствани техники за избягване на откриване и приписване.
Съдържание
Смесване: Инструменти с отворен код като покритие
Заплахите все повече разчитат на инструменти с отворен код, за да намалят разходите и да прикрият дейността си. В този случай UNC5174 използва такива инструменти, за да прилича на хакери от ниско ниво, които не са спонсорирани от държавата, което прави по-трудно за защитниците да проследят кампанията обратно до национална държава. Тази тактика позволи на UNC5174 да работи дискретно след последната му известна връзка с операции, свързани с китайското правителство преди повече от година.
Познат арсенал: SNOWLIGHT и неговата роля
Преди това UNC5174 използваше уязвимости в Connectwise ScreenConnect и софтуера F5 BIG-IP, за да внедри SNOWLIGHT, C-базиран ELF изтеглящ инструмент. Този инструмент беше използван за извличане на GOHEAVY, базиран на Golang инструмент за тунелиране, от инфраструктура, свързана със SUPERSHELL — публично достъпна C2 рамка.
Разширяване на набора от инструменти: GOREVERSE и нови вектори на атаки
Инструментариумът на групата включва също GOREVERSE, обратна обвивка на Golang , която комуникира чрез Secure Shell (SSH). Френската национална агенция за сигурност на информационните системи (ANSSI) наскоро наблюдава подобни тактики, използвани при атаки срещу уязвимостите на Ivanti Cloud Service Appliance (CSA), включително CVE-2024-8963, CVE-2024-9380 и CVE-2024-8190.
Междуплатформени заплахи: SNOWLIGHT и VShell Target macOS
И SNOWLIGHT, и VShell са в състояние да заразят системите на Apple macOS. През октомври 2024 г. VShell беше маскиран като фалшиво приложение за удостоверяване на Cloudflare, което предполага по-широка и по-гъвкава инфраструктура за атака. Тази междуплатформена способност увеличава общата заплаха, породена от UNC5174.
Невидими входни точки: верига от атаки и разгръщане на полезен товар
При атака, наблюдавана през януари 2025 г., SNOWLIGHT беше използван като капкомер за доставяне на VShell, безфайлов RAT в паметта. Първоначалният метод за достъп остава неизвестен, но след като влезе в системата, злонамерен скрипт (download_backd.sh) се използва за внедряване на два ключови двоични файла: dnsloger (SNOWLIGHT) и system_worker (Sliver). Тези инструменти помагат за установяване на постоянство и иницииране на комуникация със сървър C2.
Стелт и контрол: Последният етап с VShell
Последният етап от проникването включва изтеглянето на VShell чрез персонализирана заявка към сървъра C2. Като троянски кон за отдалечен достъп, VShell предоставя на атакуващите възможността да изпълняват произволни команди и да прехвърлят файлове. Неговият безфайлов характер и използването на WebSockets за C2 комуникации го правят особено скрит и опасен инструмент в арсенала на нападателя.
Заключение: Сложна и уклончива заплаха
UNC5174 продължава да представлява значителен риск със своята комбинация от инструменти с отворен код, усъвършенствани методи за доставка и скрити полезни товари като SNOWLIGHT и VShell. Тяхната способност да останат незабелязани, докато използват публични инструменти и експлоатират междуплатформени уязвимости, подчертава необходимостта от повишена бдителност и актуализирани защитни стратегии.
