SNOWLIGHT Malware
Hrozba spojená s Čínou UNC5174, známá také jako Uteus (nebo Uetus), spustila novou kybernetickou kampaň zahrnující upravenou verzi malwaru SNOWLIGHT a nový open-source trojan pro vzdálený přístup (RAT) s názvem VShell. Tato operace se zaměřuje na systémy Linux a využívá pokročilé techniky k vyhnutí se detekci a připisování.
Obsah
Blending In: Open Source Tools jako obal
Aktéři hrozeb stále více spoléhají na open-source nástroje, aby snížili náklady a maskovali své aktivity. V tomto případě UNC5174 používá takové nástroje, aby se podobaly hackerům na nízké úrovni, nesponzorovaným státem, což obráncům ztěžuje vysledování kampaně zpět k národnímu státu. Tato taktika umožnila UNC5174 pracovat diskrétně od jeho posledního známého spojení s operacemi spojenými s čínskou vládou před více než rokem.
Známý arzenál: SNOWLIGHT a jeho role
Dříve UNC5174 využíval zranitelnosti v Connectwise ScreenConnect a softwaru F5 BIG-IP k nasazení SNOWLIGHT, ELF downloaderu založeného na C. Tento nástroj byl použit k načtení GOHEAVY, nástroje pro tunelování založeného na Golangu, z infrastruktury propojené se SUPERSHELL – veřejně dostupným rámcem C2.
Rozšíření sady nástrojů: GOREVERSE a nové útočné vektory
Sada nástrojů skupiny také obsahuje GOREVERSE, reverzní shell Golang , který komunikuje přes Secure Shell (SSH). Francouzská národní agentura pro bezpečnost informačních systémů (ANSSI) nedávno zaznamenala podobné taktiky používané při útocích na zranitelnost zařízení Ivanti Cloud Service Appliance (CSA), včetně CVE-2024-8963, CVE-2024-9380 a CVE-2024-8190.
Multiplatformní hrozby: SNOWLIGHT a VShell Target macOS
SNOWLIGHT i VShell jsou schopny infikovat systémy Apple macOS. V říjnu 2024 byl VShell maskován jako falešná autentizační aplikace Cloudflare, což naznačuje širší a flexibilnější útočnou infrastrukturu. Tato schopnost napříč platformami zvyšuje celkovou hrozbu, kterou představuje UNC5174.
Neviditelné vstupní body: Útokový řetězec a nasazení užitečného zatížení
Při útoku pozorovaném v lednu 2025 byl SNOWLIGHT použit jako kapátko k dodání VShell, bezsouborové krysy v paměti. Počáteční přístupová metoda zůstává neznámá, ale jakmile se dostanete do systému, použije se škodlivý skript (download_backd.sh) k nasazení dvou klíčových binárních souborů: dnsloger (SNOWLIGHT) a system_worker (Sliver). Tyto nástroje pomáhají zajistit stálost a zahájit komunikaci se serverem C2.
Stealth and Control: The Final Stage with VShell
Poslední fáze průniku zahrnuje stažení VShell prostřednictvím vlastního požadavku na server C2. Jako trojský kůň pro vzdálený přístup poskytuje VShell útočníkům možnost spouštět libovolné příkazy a přenášet soubory. Jeho bezsouborová povaha a použití WebSockets pro komunikaci C2 z něj činí obzvláště tajný a nebezpečný nástroj v arzenálu útočníka.
Závěr: Sofistikovaná a vyhýbavá hrozba
UNC5174 nadále představuje značné riziko díky kombinaci nástrojů s otevřeným zdrojovým kódem, sofistikovaných metod doručování a tajných užitečných zatížení, jako jsou SNOWLIGHT a VShell. Jejich schopnost zůstat neodhalena při využívání veřejných nástrojů a využívání zranitelností napříč platformami podtrhuje potřebu zvýšené ostražitosti a aktualizovaných obranných strategií.
