SNOWLIGHT pahavara
Hiinaga seotud ohustaja UNC5174, tuntud ka kui Uteus (või Uetus), on käivitanud uue küberkampaania, mis hõlmab pahavara SNOWLIGHT muudetud versiooni ja uut avatud lähtekoodiga kaugjuurdepääsu trooja (RAT) nimega VShell. See toiming on suunatud Linuxi süsteemidele ja kasutab tuvastamisest ja omistamisest kõrvalehoidmiseks täiustatud tehnikaid.
Sisukord
Sulandumine: avatud lähtekoodiga tööriistad kaanena
Ohutegurid toetuvad kulude vähendamiseks ja oma tegevuse varjamiseks üha enam avatud lähtekoodiga tööriistadele. Antud juhul kasutab UNC5174 selliseid tööriistu, et meenutada madala tasemega mitteriiklike häkkeritega häkkereid, muutes kaitsjatel kampaania rahvusriigile jälitamise keerulisemaks. See taktika on võimaldanud UNC5174-l diskreetselt tegutseda alates viimasest teadaolevast seotusest Hiina valitsusega seotud operatsioonidega üle aasta tagasi.
Tuttav arsenal: LUMEVALGUS ja selle roll
Varem kasutas UNC5174 ära Connectwise ScreenConnecti ja F5 BIG-IP tarkvara turvaauke, et juurutada C-põhise ELF-i allalaadija SNOWLIGHT. Seda tööriista kasutati Golangi-põhise tunneldamistööriista GOHEAVY hankimiseks infrastruktuurist, mis oli seotud avalikult kättesaadava C2 raamistikuga SUPERSHELL.
Tööriistakomplekti laiendus: GOREVERSE ja uued rünnakuvektorid
Grupi tööriistakomplekt sisaldab ka GOREVERSE, Golangi pöördkesta, mis suhtleb turvalise kesta (SSH) kaudu. Prantsusmaa riiklik infosüsteemide turvalisuse agentuur (ANSSI) täheldas hiljuti sarnast taktikat, mida kasutati Ivanti Cloud Service Appliance'i (CSA) turvaaukude, sealhulgas CVE-2024-8963, CVE-2024-9380 ja CVE-2024-8190 rünnakutes.
Platvormidevahelised ohud: SNOWLIGHT ja VShell Target macOS
Nii SNOWLIGHT kui ka VShell on võimelised nakatama Apple macOS-i süsteeme. 2024. aasta oktoobris maskeeriti VShell võltsitud Cloudflare'i autentimisrakenduseks, mis viitab laiemale ja paindlikumale ründetaristule. See platvormideülene võimalus suurendab UNC5174 üldist ohtu.
Nägematud sisenemispunktid: ründeahela ja kasuliku koormuse juurutamine
2025. aasta jaanuaris täheldatud rünnakus kasutati SNOWLIGHT-i tilgutina VShelli, failivaba mälusisese RAT-i kohaletoimetamiseks. Esialgne juurdepääsumeetod jääb teadmata, kuid süsteemi sisenedes kasutatakse pahatahtlikku skripti (download_backd.sh) kahe võtmebinaarfaili juurutamiseks: dnsloger (SNOWLIGHT) ja system_worker (Sliver). Need tööriistad aitavad luua püsivust ja alustada suhtlust C2-serveriga.
Vargus ja kontroll: viimane etapp VShelliga
Sissetungi viimane etapp hõlmab VShelli allalaadimist kohandatud päringu kaudu C2 serverisse. Kaugjuurdepääsu troojana annab VShell ründajatele võimaluse täita suvalisi käske ja edastada faile. Selle failivaba olemus ja WebSocketsi kasutamine C2-suhtluseks muudavad selle ründaja arsenalis eriti varjatuks ja ohtlikuks tööriistaks.
Järeldus: keerukas ja vältimatu oht
UNC5174 kujutab endast jätkuvalt märkimisväärset ohtu oma avatud lähtekoodiga tööriistade, keerukate tarnemeetodite ja varjatud kasulike koormuste, nagu SNOWLIGHT ja VShell, kombinatsiooniga. Nende võime jääda avalike vahendite kasutamise ja platvormideüleste haavatavuste ärakasutamise märkamatuks rõhutab vajadust kõrgendatud valvsuse ja ajakohastatud kaitsestrateegiate järele.
