بدافزار SNOWLIGHT

عامل تهدید مرتبط با چین UNC5174 که با نام Uteus (یا Uetus) نیز شناخته می شود، یک کمپین سایبری جدید شامل نسخه اصلاح شده بدافزار SNOWLIGHT و یک تروجان دسترسی از راه دور منبع باز جدید (RAT) به نام VShell راه اندازی کرده است. این عملیات سیستم های لینوکس را هدف قرار می دهد و از تکنیک های پیشرفته برای فرار از شناسایی و انتساب استفاده می کند.

Blending In: Open Source Tools as a Cover

عوامل تهدید به طور فزاینده ای به ابزارهای منبع باز برای کاهش هزینه ها و پنهان کردن فعالیت های خود متکی هستند. در این مورد، UNC5174 از چنین ابزارهایی برای شباهت به هکرهای سطح پایین و غیر دولتی استفاده می‌کند، و این کار را برای مدافعان دشوارتر می‌کند تا ردیابی کمپین به یک دولت-ملت را انجام دهند. این تاکتیک به UNC5174 اجازه داده است تا از زمان آخرین ارتباط شناخته شده اش با عملیات های مرتبط با دولت چین در بیش از یک سال پیش، به طور محتاطانه عمل کند.

آرسنال آشنا: نور برف و نقش آن

پیش از این، UNC5174 از آسیب‌پذیری‌ها در Connectwise ScreenConnect و نرم‌افزار F5 BIG-IP برای استقرار SNOWLIGHT، یک دانلودکننده ELF مبتنی بر C، سوء استفاده می‌کرد. این ابزار برای بازیابی GOHEAVY، یک ابزار تونل زنی مبتنی بر Golang، از زیرساخت های مرتبط با SUPERSHELL - یک چارچوب C2 در دسترس عموم استفاده شد.

گسترش مجموعه ابزار: GOREVERSE و بردارهای حمله جدید

جعبه ابزار این گروه همچنین شامل GOREVERSE، یک پوسته معکوس Golang است که از طریق Secure Shell (SSH) ارتباط برقرار می کند. آژانس ملی امنیت سیستم‌های اطلاعاتی فرانسه (ANSSI) اخیراً تاکتیک‌های مشابهی را مشاهده کرده است که در حملات به آسیب‌پذیری‌های Ivanti Cloud Service Appliance (CSA) از جمله CVE-2024-8963، CVE-2024-9380 و CVE-2024-8190 استفاده می‌شود.

تهدیدات بین پلتفرمی: SNOWLIGHT و VShell Target macOS

هر دو SNOWLIGHT و VShell می‌توانند سیستم‌های macOS اپل را آلوده کنند. در اکتبر 2024، VShell به عنوان یک برنامه احراز هویت جعلی Cloudflare مبدل شد که نشان‌دهنده یک زیرساخت حمله گسترده‌تر و انعطاف‌پذیرتر است. این قابلیت کراس پلتفرم، تهدید کلی ناشی از UNC5174 را افزایش می دهد.

نقاط ورود دیده نشده: زنجیره حمله و استقرار بار

در حمله ای که در ژانویه 2025 مشاهده شد، SNOWLIGHT به عنوان قطره چکان برای ارائه VShell، یک RAT بدون فایل در حافظه استفاده شد. روش دسترسی اولیه ناشناخته باقی می ماند، اما هنگامی که در سیستم قرار گرفت، یک اسکریپت مخرب (download_backd.sh) برای استقرار دو باینری کلیدی استفاده می شود: dnsloger (SNOWLIGHT) و system_worker (Sliver). این ابزارها به ایجاد پایداری و شروع ارتباط با سرور C2 کمک می کنند.

مخفی کاری و کنترل: مرحله نهایی با VShell

مرحله نهایی نفوذ شامل دانلود VShell از طریق یک درخواست سفارشی به سرور C2 است. به عنوان یک تروجان دسترسی از راه دور، VShell به مهاجمان توانایی اجرای دستورات دلخواه و انتقال فایل ها را می دهد. ماهیت بدون فایل و استفاده از WebSockets برای ارتباطات C2، آن را به یک ابزار مخفی و خطرناک در زرادخانه مهاجم تبدیل کرده است.

نتیجه گیری: یک تهدید پیچیده و گریزان

UNC5174 با ترکیبی از ابزارهای منبع باز، روش های پیچیده تحویل، و محموله های مخفی مانند SNOWLIGHT و VShell همچنان خطر قابل توجهی دارد. توانایی آن‌ها برای شناسایی نشدن در حین استفاده از ابزارهای عمومی و بهره‌برداری از آسیب‌پذیری‌های بین پلتفرم‌ها، بر نیاز به هوشیاری بیشتر و استراتژی‌های دفاعی به‌روز شده تأکید می‌کند.