הצעת הנחה מרובה רישיונות
מסד נתונים של איומים תוכנה זדונית תוכנה זדונית של SNOWLIGHT

תוכנה זדונית של SNOWLIGHT

עד Mezo ב-תוכנה זדונית, איום מתמשך מתקדם (APT)
לתרגם ל:
עברית

שחקן האיום המקושר לסין UNC5174, הידוע גם בשם Uteus (או Uetus), השיק קמפיין סייבר חדש הכולל גרסה שונה של תוכנת הזדונית SNOWLIGHT וקוד פתוח חדש של גישה מרחוק טרויאני (RAT) בשם VShell. פעולה זו מכוונת למערכות לינוקס ומשתמשת בטכניקות מתקדמות כדי להתחמק מזיהוי וייחוס.

מיזוג פנימה: כלי קוד פתוח ככריכה

שחקני איומים מסתמכים יותר ויותר על כלי קוד פתוח כדי להפחית עלויות ולהסוות את פעילותם. במקרה זה, UNC5174 משתמש בכלים כאלה כדי להידמות להאקרים ברמה נמוכה שאינם בחסות המדינה, מה שמקשה על המגינים לאתר את הקמפיין למדינת לאום. טקטיקה זו אפשרה ל-UNC5174 לפעול בדיסקרטיות מאז הקשר הידוע האחרון שלו עם פעולות הקשורות לממשלה הסינית לפני יותר משנה.

ארסנל מוכרת: SNOWLIGHT ותפקידו

בעבר, UNC5174 ניצל נקודות תורפה ב-Connectwise ScreenConnect ובתוכנת F5 BIG-IP כדי לפרוס את SNOWLIGHT, הורדת ELF מבוסס C. כלי זה שימש כדי לאחזר את GOHEAVY, כלי מנהור מבוסס גולנג, מתשתית המקושרת ל-SUPERSHELL - מסגרת C2 זמינה לציבור.

הרחבת ערכת כלים: GOREVERSE ו-New Attack Vectors

ערכת הכלים של הקבוצה כוללת גם את GOREVERSE, מעטפת הפוכה של גולנג המתקשרת באמצעות Secure Shell (SSH). הסוכנות הלאומית הצרפתית לאבטחת מערכות מידע (ANSSI) זיהתה לאחרונה טקטיקות דומות המשמשות בהתקפות על פגיעויות של Ivanti Cloud Service Appliance (CSA), כולל CVE-2024-8963, CVE-2024-9380 ו-CVE-2024-8190.

איומים חוצי פלטפורמה: SNOWLIGHT ו-VShell Target macOS

גם SNOWLIGHT וגם VShell מסוגלים להדביק מערכות macOS של Apple. באוקטובר 2024, VShell התחפשה לאפליקציית אימות מזויפת של Cloudflare, מה שמציע תשתית תקיפה רחבה וגמישה יותר. יכולת חוצת פלטפורמות זו מגדילה את האיום הכולל הנשקף מ-UNC5174.

נקודות כניסה בלתי נראות: שרשרת התקפה ופריסה של מטען

במתקפה שנצפתה בינואר 2025, SNOWLIGHT שימש כטפטפת להעברת VShell, RAT בזיכרון ללא קבצים. שיטת הגישה הראשונית נותרה לא ידועה, אבל ברגע שנכנס למערכת, נעשה שימוש בסקריפט זדוני (download_backd.sh) לפריסת שני קבצי מפתח בינאריים: dnsloger (SNOWLIGHT) ו-system_worker (Sliver). כלים אלו עוזרים לבסס התמדה וליזום תקשורת עם שרת C2.

התגנבות ושליטה: השלב האחרון עם VShell

השלב האחרון של החדירה כולל הורדת VShell באמצעות בקשה מותאמת אישית לשרת C2. בתור טרויאני גישה מרחוק, VShell מעניק לתוקפים את היכולת לבצע פקודות שרירותיות ולהעביר קבצים. אופיו חסר הקבצים והשימוש ב-WebSockets לתקשורת C2 הופכים אותו לכלי חמקני ומסוכן במיוחד בארסנל של התוקף.

מסקנה: איום מתוחכם ומתחמק

UNC5174 ממשיך להוות סיכון משמעותי עם השילוב שלו של כלי קוד פתוח, שיטות אספקה מתוחכמות ומטענים חמקניים כמו SNOWLIGHT ו- VShell. היכולת שלהם להישאר בלתי מזוהה תוך מינוף כלים ציבוריים וניצול פגיעויות חוצות פלטפורמות מדגישה את הצורך בערנות מוגברת ואסטרטגיות הגנה מעודכנות.

מגמות

CVE-2025-26633 פגיעות

פְּגִיעוּת, איום מתמשך מתקדם (APT)
Water Gamayun ניצלה באופן פעיל את CVE-2025-26633 (המכונה MSC EvilTwin), פגיעות במסגרת Microsoft Management Console (MMC), כדי להפעיל תוכנות זדוניות באמצעות קבצי Microsoft Console (.msc). דלתות אחוריות חדשות: SilentPrism ו-DarkWisp פושעי הסייבר שמאחורי מתקפת היום האפס הזו פרסו שתי דלתות אחוריות מתוחכמות - SilentPrism ו-DarkWisp. כלים אלה מקלים על התמדה, סיור מערכת ושליטה מרחוק, מה שהופך אותם...

הכי נצפה

תוכנה זדונית

פישינג, ספאם
31,270
הודעת ההונאה 'Apple Pay Suspended' היא סוג של טקטיקת פישינג המכוונת למשתמשים של Apple Pay. ההודעה טוענת כי ארנק Apple Pay של המשתמש הושעה וקוראת לו ללחוץ על קישור כדי לשחזר אותו. עם זאת, לחיצה על הקישור תוביל את המשתמש לאתר מזויף שנועד לגנוב את המידע האישי והפיננסי שלו. אם משתמש נופל קורבן לתוכנית זו, ההשלכות עלולות להיות חמורות, כולל הפסדים כספיים וגניבת זהות. חיוני לדעת לזהות ולהימנע...
טוען...