SNOWLIGHT Haittaohjelma
Kiinaan liittyvä uhkatekijä UNC5174, joka tunnetaan myös nimellä Uteus (tai Uetus), on käynnistänyt uuden kyberkampanjan, joka sisältää muunnetun version SNOWLIGHT-haittaohjelmasta ja uuden avoimen lähdekoodin etäkäyttötroijalaisen (RAT) nimeltä VShell. Tämä toiminto on kohdistettu Linux-järjestelmiin ja käyttää kehittyneitä tekniikoita havaitsemisen ja määrityksen välttämiseksi.
Sisällysluettelo
Yhdistäminen: Avoimen lähdekoodin työkalut kansina
Uhkatoimijat luottavat yhä enemmän avoimen lähdekoodin työkaluihin vähentääkseen kustannuksia ja peittääkseen toimintansa. Tässä tapauksessa UNC5174 käyttää tällaisia työkaluja muistuttamaan alemman tason, ei-valtion tukemia hakkereita, mikä vaikeuttaa puolustajien jäljittää kampanjan kansallisvaltioon. Tämä taktiikka on antanut UNC5174:lle mahdollisuuden toimia huomaamattomasti sen viimeisimmän tunnetun yhteyden Kiinan hallitukseen liittyvien operaatioiden kanssa yli vuosi sitten.
Tuttu arsenaali: LUMIVALO ja sen rooli
Aiemmin UNC5174 käytti hyväkseen Connectwise ScreenConnectin ja F5 BIG-IP -ohjelmiston haavoittuvuuksia ottaakseen käyttöön SNOWLIGHTin, C-pohjaisen ELF-latausohjelman. Tätä työkalua käytettiin GOHEAVY:n, Golang-pohjaisen tunnelointityökalun, hakemiseen infrastruktuurista, joka on linkitetty SUPERSHELLiin – julkisesti saatavilla olevaan C2-kehykseen.
Työkalusarjan laajennus: GOREVERSE ja uudet hyökkäysvektorit
Ryhmän työkalupakki sisältää myös GOREVERSE, Golangin käänteisen kuoren, joka kommunikoi Secure Shellin (SSH) kautta. Ranskan kansallinen tietojärjestelmien turvallisuusvirasto (ANSSI) havaitsi äskettäin samanlaisia taktiikoita, joita käytettiin hyökkäyksissä Ivanti Cloud Service Appliancen (CSA) haavoittuvuuksia vastaan, mukaan lukien CVE-2024-8963, CVE-2024-9380 ja CVE-2024-8190.
Alustojen väliset uhat: SNOWLIGHT ja VShell Target macOS
Sekä SNOWLIGHT että VShell voivat tartuttaa Applen macOS-järjestelmiä. Lokakuussa 2024 VShell naamioitiin väärennetyksi Cloudflare-autentikointisovellukseksi, mikä ehdotti laajempaa ja joustavampaa hyökkäysinfrastruktuuria. Tämä monialustainen ominaisuus lisää UNC5174:n aiheuttamaa yleistä uhkaa.
Näkemättömät sisääntulokohdat: hyökkäysketju ja hyötykuorman käyttöönotto
Tammikuussa 2025 havaitussa hyökkäyksessä SNOWLIGHTia käytettiin tiputtimena VShellin, tiedostottoman muistin RAT:n toimittamiseen. Alkuperäinen pääsytapa on tuntematon, mutta kun järjestelmä on sisällä, haitallista komentosarjaa (download_backd.sh) käytetään kahden avainbinaarin käyttöönottamiseksi: dnsloger (SNOWLIGHT) ja system_worker (Sliver). Nämä työkalut auttavat luomaan pysyvyyden ja aloittamaan yhteyden C2-palvelimen kanssa.
Stealth and Control: Viimeinen vaihe VShellin kanssa
Tunkeutumisen viimeisessä vaiheessa VShell ladataan mukautetun pyynnön kautta C2-palvelimelle. Etäkäyttötroijalaisena VShell antaa hyökkääjille mahdollisuuden suorittaa mielivaltaisia komentoja ja siirtää tiedostoja. Sen tiedostoton luonne ja WebSockettien käyttö C2-viestintään tekevät siitä erityisen salaperäisen ja vaarallisen työkalun hyökkääjän arsenaalissa.
Johtopäätös: Hienostunut ja välttelevä uhka
UNC5174 muodostaa edelleen merkittävän riskin avoimen lähdekoodin työkalujen, kehittyneiden toimitusmenetelmien ja salaavien hyötykuormien, kuten SNOWLIGHTin ja VShellin, yhdistelmällä. Heidän kykynsä pysyä havaitsemattomina hyödyntäen julkisia työkaluja ja monialustaisia haavoittuvuuksia korostaa tarvetta lisätä valppautta ja päivitettyjä puolustusstrategioita.
