SNOWLIGHT Malware
Prijetnja UNC5174 povezana s Kinom, također poznata kao Uteus (ili Uetus), pokrenula je novu cyber kampanju koja uključuje modificiranu verziju zlonamjernog softvera SNOWLIGHT i novi trojanac otvorenog koda za udaljeni pristup (RAT) pod nazivom VShell. Ova operacija cilja na Linux sustave i koristi napredne tehnike za izbjegavanje otkrivanja i pripisivanja.
Sadržaj
Uklapanje: Alati otvorenog koda kao naslovnica
Akteri prijetnji sve se više oslanjaju na alate otvorenog koda kako bi smanjili troškove i prikrili svoje aktivnosti. U ovom slučaju, UNC5174 koristi takve alate kako bi podsjećao na hakere niže razine, koje ne sponzorira država, što otežava braniteljima da prate kampanju natrag do nacionalne države. Ova je taktika omogućila UNC5174 da radi diskretno od posljednje poznate povezanosti s operacijama povezanim s kineskom vladom prije više od godinu dana.
Poznati arsenal: SNOWLIGHT i njegova uloga
Prethodno je UNC5174 iskorištavao ranjivosti u Connectwise ScreenConnectu i F5 BIG-IP softveru za implementaciju SNOWLIGHT-a, ELF preuzimača baziranog na C-u. Ovaj je alat korišten za dohvaćanje GOHEAVY-ja, alata za tuneliranje temeljenog na Golangu, iz infrastrukture povezane sa SUPERSHELL-om - javno dostupnim C2 okvirom.
Proširenje skupa alata: GOREVERSE i novi vektori napada
Skupina alata također uključuje GOREVERSE, Golang obrnutu ljusku koja komunicira putem Secure Shell (SSH). Francuska Nacionalna agencija za sigurnost informacijskih sustava (ANSSI) nedavno je primijetila slične taktike korištene u napadima na ranjivosti Ivanti Cloud Service Appliance (CSA), uključujući CVE-2024-8963, CVE-2024-9380 i CVE-2024-8190.
Prijetnje s više platformi: SNOWLIGHT i VShell Target macOS
I SNOWLIGHT i VShell mogu zaraziti Apple macOS sustave. U listopadu 2024. VShell je prerušen u lažnu aplikaciju za autentifikaciju Cloudflarea, što sugerira širu i fleksibilniju infrastrukturu napada. Ova mogućnost više platformi povećava ukupnu prijetnju koju predstavlja UNC5174.
Neviđene ulazne točke: lanac napada i raspoređivanje korisnog tereta
U napadu primijećenom u siječnju 2025., SNOWLIGHT je korišten kao kapaljka za isporuku VShell-a, RAT-a u memoriji bez datoteka. Početna metoda pristupa ostaje nepoznata, ali kada se uđe u sustav, koristi se zlonamjerna skripta (download_backd.sh) za implementaciju dvije ključne binarne datoteke: dnsloger (SNOWLIGHT) i system_worker (Sliver). Ovi alati pomažu uspostaviti postojanost i pokrenuti komunikaciju s C2 poslužiteljem.
Stealth i kontrola: Završna faza s VShell-om
Posljednja faza upada uključuje preuzimanje VShell-a putem prilagođenog zahtjeva na C2 poslužitelj. Kao trojanac s udaljenim pristupom, VShell napadačima daje mogućnost izvršavanja proizvoljnih naredbi i prijenosa datoteka. Njegova priroda bez datoteka i korištenje WebSockets za C2 komunikaciju čine ga posebno tajnim i opasnim alatom u arsenalu napadača.
Zaključak: Sofisticirana i izbjegavajuća prijetnja
UNC5174 i dalje predstavlja značajan rizik sa svojom kombinacijom alata otvorenog koda, sofisticiranih metoda isporuke i prikrivenih korisnih opterećenja kao što su SNOWLIGHT i VShell. Njihova sposobnost da ostanu neotkriveni dok koriste javne alate i iskorištavaju međuplatformske ranjivosti naglašava potrebu za pojačanim oprezom i ažuriranim obrambenim strategijama.
