SNOWLIGHT Malware
Den kinesiske trusselsaktør UNC5174, også kendt som Uteus (eller Uetus), har lanceret en ny cyberkampagne, der involverer en modificeret version af SNOWLIGHT malware og en ny open source Remote Access Trojan (RAT) ved navn VShell. Denne operation er rettet mod Linux-systemer og anvender avancerede teknikker til at undgå registrering og tilskrivning.
Indholdsfortegnelse
Blanding ind: Open Source-værktøjer som omslag
Trusselsaktører er i stigende grad afhængige af open source-værktøjer for at reducere omkostningerne og maskere deres aktiviteter. I dette tilfælde bruger UNC5174 sådanne værktøjer til at ligne lav-tier, ikke-statssponsorerede hackere, hvilket gør det sværere for forsvarere at spore kampagnen tilbage til en nationalstat. Denne taktik har gjort det muligt for UNC5174 at fungere diskret siden dens sidste kendte tilknytning til kinesiske regeringsrelaterede operationer for over et år siden.
Et velkendt Arsenal: SNØLYS og dets rolle
Tidligere udnyttede UNC5174 sårbarheder i Connectwise ScreenConnect og F5 BIG-IP-softwaren til at implementere SNOWLIGHT, en C-baseret ELF-downloader. Dette værktøj blev brugt til at hente GOHEAVY, et Golang-baseret tunnelingværktøj, fra infrastruktur knyttet til SUPERSHELL – en offentligt tilgængelig C2-ramme.
Udvidelse af værktøjssæt: GOREVERSE og nye angrebsvektorer
Gruppens værktøjssæt inkluderer også GOREVERSE, en Golang reverse shell, der kommunikerer via Secure Shell (SSH). Det franske nationale agentur for informationssystemers sikkerhed (ANSSI) observerede for nylig lignende taktikker, der blev brugt i angreb på Ivanti Cloud Service Appliance (CSA) sårbarheder, herunder CVE-2024-8963, CVE-2024-9380 og CVE-2024-8190.
Trusler på tværs af platforme: SNOWLIGHT og VShell Target macOS
Både SNOWLIGHT og VShell er i stand til at inficere Apple macOS-systemer. I oktober 2024 blev VShell forklædt som en falsk Cloudflare-autentificeringsapp, hvilket tyder på en bredere og mere fleksibel angrebsinfrastruktur. Denne mulighed på tværs af platforme øger den overordnede trussel fra UNC5174.
Usynlige indgangspunkter: Angrebskæde og indsættelse af nyttelast
I et angreb observeret i januar 2025 blev SNOWLIGHT brugt som en dropper til at levere VShell, en filløs RAT i hukommelsen. Den indledende adgangsmetode forbliver ukendt, men når først er inde i systemet, bruges et ondsindet script (download_backd.sh) til at implementere to nøglebinære filer: dnsloger (SNOWLIGHT) og system_worker (Sliver). Disse værktøjer hjælper med at etablere persistens og igangsætte kommunikation med en C2-server.
Stealth and Control: The Final Stage med VShell
Den sidste fase af indtrængen involverer VShell, der downloades via en brugerdefineret anmodning til C2-serveren. Som en fjernadgangs-trojaner giver VShell angribere mulighed for at udføre vilkårlige kommandoer og overføre filer. Dens filløse karakter og brug af WebSockets til C2-kommunikation gør det til et særligt snigende og farligt værktøj i angriberens arsenal.
Konklusion: En sofistikeret og undvigende trussel
UNC5174 udgør fortsat en betydelig risiko med sin kombination af open source-værktøjer, sofistikerede leveringsmetoder og snigende nyttelaster som SNOWLIGHT og VShell. Deres evne til at forblive uopdaget, mens de udnytter offentlige værktøjer og udnytter sårbarheder på tværs af platforme, understreger behovet for øget årvågenhed og opdaterede defensive strategier.
