SNOWLIGHT κακόβουλο λογισμικό
Ο συνδεδεμένος με την Κίνα παράγοντας απειλών UNC5174, επίσης γνωστός ως Uteus (ή Uetus), ξεκίνησε μια νέα εκστρατεία στον κυβερνοχώρο που περιλαμβάνει μια τροποποιημένη έκδοση του κακόβουλου λογισμικού SNOWLIGHT και ένα νέο ανοιχτού κώδικα Remote Access Trojan (RAT) που ονομάζεται VShell. Αυτή η λειτουργία στοχεύει συστήματα Linux και χρησιμοποιεί προηγμένες τεχνικές για να αποφύγει τον εντοπισμό και την απόδοση.
Πίνακας περιεχομένων
Ανάμειξη: Εργαλεία ανοιχτού κώδικα ως εξώφυλλο
Οι φορείς απειλών βασίζονται όλο και περισσότερο σε εργαλεία ανοιχτού κώδικα για να μειώσουν το κόστος και να κρύψουν τις δραστηριότητές τους. Σε αυτήν την περίπτωση, το UNC5174 χρησιμοποιεί τέτοια εργαλεία για να μοιάζει με χάκερ χαμηλού επιπέδου, που δεν χρηματοδοτούνται από το κράτος, καθιστώντας πιο δύσκολο για τους υπερασπιστές να εντοπίσουν την εκστρατεία πίσω σε ένα έθνος-κράτος. Αυτή η τακτική επέτρεψε στο UNC5174 να λειτουργεί διακριτικά από την τελευταία γνωστή συσχέτισή του με επιχειρήσεις που συνδέονται με την κινεζική κυβέρνηση πριν από περισσότερο από ένα χρόνο.
A Familiar Arsenal: SNOWLIGHT and Its Role
Προηγουμένως, το UNC5174 εκμεταλλευόταν ευπάθειες στο Connectwise ScreenConnect και το λογισμικό F5 BIG-IP για να αναπτύξει το SNOWLIGHT, ένα πρόγραμμα λήψης ELF που βασίζεται σε C. Αυτό το εργαλείο χρησιμοποιήθηκε για την ανάκτηση του GOHEAVY, ενός εργαλείου διάνοιξης σήραγγας που βασίζεται στο Golang, από υποδομή που συνδέεται με το SUPERSHELL—ένα δημόσια διαθέσιμο πλαίσιο C2.
Επέκταση συνόλου εργαλείων: GOREVERSE και New Attack Vectors
Η εργαλειοθήκη της ομάδας περιλαμβάνει επίσης το GOREVERSE, ένα αντίστροφο κέλυφος Golang που επικοινωνεί μέσω Secure Shell (SSH). Η Γαλλική Εθνική Υπηρεσία για την Ασφάλεια των Πληροφοριακών Συστημάτων (ANSSI) παρατήρησε πρόσφατα παρόμοιες τακτικές που χρησιμοποιούνται σε επιθέσεις σε ευπάθειες του Ivanti Cloud Service Appliance (CSA), συμπεριλαμβανομένων των CVE-2024-8963, CVE-2024-9380 και CVE-2024-8190.
Απειλές μεταξύ πλατφορμών: SNOWLIGHT και VShell Target macOS
Τόσο το SNOWLIGHT όσο και το VShell είναι ικανά να μολύνουν συστήματα Apple macOS. Τον Οκτώβριο του 2024, το VShell μεταμφιέστηκε ως μια ψεύτικη εφαρμογή ελέγχου ταυτότητας Cloudflare, προτείνοντας μια ευρύτερη και πιο ευέλικτη υποδομή επίθεσης. Αυτή η ικανότητα πολλαπλών πλατφορμών αυξάνει τη συνολική απειλή που θέτει το UNC5174.
Unseen Entry Points: Attack Chain and Payload Deployment
Σε μια επίθεση που παρατηρήθηκε τον Ιανουάριο του 2025, το SNOWLIGHT χρησιμοποιήθηκε ως σταγονόμετρο για την παράδοση του VShell, ενός RAT χωρίς αρχεία στη μνήμη. Η μέθοδος αρχικής πρόσβασης παραμένει άγνωστη, αλλά μόλις εισέλθει στο σύστημα, χρησιμοποιείται ένα κακόβουλο σενάριο (download_backd.sh) για την ανάπτυξη δύο βασικών δυαδικών αρχείων: dnsloger (SNOWLIGHT) και system_worker (Sliver). Αυτά τα εργαλεία βοηθούν στη δημιουργία επιμονής και στην έναρξη επικοινωνίας με έναν διακομιστή C2.
Stealth and Control: The Final Stage with VShell
Το τελικό στάδιο της εισβολής περιλαμβάνει τη λήψη του VShell μέσω ενός προσαρμοσμένου αιτήματος στον διακομιστή C2. Ως Trojan απομακρυσμένης πρόσβασης, το VShell παρέχει στους εισβολείς τη δυνατότητα να εκτελούν αυθαίρετες εντολές και να μεταφέρουν αρχεία. Η φύση του χωρίς αρχεία και η χρήση των WebSockets για επικοινωνίες C2 το καθιστούν ένα ιδιαίτερα κρυφό και επικίνδυνο εργαλείο στο οπλοστάσιο του εισβολέα.
Συμπέρασμα: Μια εξελιγμένη και υπεκφυγή απειλή
Το UNC5174 συνεχίζει να αποτελεί σημαντικό κίνδυνο με τον συνδυασμό εργαλείων ανοιχτού κώδικα, εξελιγμένων μεθόδων παράδοσης και κρυφών ωφέλιμων φορτίων όπως το SNOWLIGHT και το VShell. Η ικανότητά τους να παραμένουν απαρατήρητοι ενώ αξιοποιούν δημόσια εργαλεία και εκμεταλλεύονται τρωτά σημεία μεταξύ των πλατφορμών υπογραμμίζει την ανάγκη για αυξημένη επαγρύπνηση και ενημερωμένες αμυντικές στρατηγικές.
