SNOWLIGHT Malware
A Kínához köthető fenyegetések szereplője, az UNC5174, más néven Uteus (vagy Uetus), új kiberkampányt indított a SNOWLIGHT malware módosított változatával és egy új nyílt forráskódú Remote Access Trojan (RAT) nevű VShell-vel. Ez a művelet Linux rendszereket céloz meg, és fejlett technikákat alkalmaz az észlelés és a hozzárendelés elkerülésére.
Tartalomjegyzék
Blending In: Nyílt forráskódú eszközök borítóként
A fenyegetés szereplői egyre inkább támaszkodnak nyílt forráskódú eszközökre a költségek csökkentése és tevékenységeik elfedése érdekében. Ebben az esetben az UNC5174 olyan eszközöket használ, amelyek alacsony szintű, nem államilag támogatott hackerekre emlékeztetnek, megnehezítve a védők számára a kampány nemzetállamokra való visszavezetését. Ez a taktika lehetővé tette az UNC5174 diszkrét működését, mióta utoljára ismerték a kínai kormányhoz kapcsolódó műveletekkel, több mint egy évvel ezelőtt.
Ismerős Arzenál: HÓFÉNY és szerepe
Korábban az UNC5174 kihasználta a Connectwise ScreenConnect és az F5 BIG-IP szoftver sebezhetőségeit a SNOWLIGHT, egy C-alapú ELF letöltő telepítéséhez. Ezzel az eszközzel a GOHEAVY-t, egy Golang-alapú alagútépítő eszközt kérték le a SUPERSHELL-hez – egy nyilvánosan elérhető C2 keretrendszerhez – kapcsolódó infrastruktúrából.
Eszközkészlet-bővítés: GOREVERSE és új támadási vektorok
A csoport eszköztárában megtalálható a GOREVERSE is, egy Golang fordított shell, amely Secure Shell-en (SSH) keresztül kommunikál. A francia Nemzeti Információs Rendszerek Biztonsági Ügynöksége (ANSSI) a közelmúltban hasonló taktikákat figyelt meg az Ivanti Cloud Service Appliance (CSA) sebezhetőségei elleni támadásoknál, beleértve a CVE-2024-8963, CVE-2024-9380 és CVE-2024-8190 jeleket.
Platformok közötti fenyegetések: SNOWLIGHT és VShell Target macOS
A SNOWLIGHT és a VShell is képes megfertőzni az Apple macOS rendszereket. 2024 októberében a VShell-t hamis Cloudflare hitelesítő alkalmazásnak álcázták, ami szélesebb és rugalmasabb támadási infrastruktúrát sugall. Ez a többplatformos képesség növeli az UNC5174 által jelentett általános fenyegetést.
Láthatatlan belépési pontok: támadási lánc és hasznos teher telepítése
Egy 2025 januárjában megfigyelt támadás során a SNOWLIGHT-ot cseppentőként használták a VShell, egy fájl nélküli memória RAT szállítására. A kezdeti hozzáférési mód ismeretlen, de a rendszeren belül egy rosszindulatú szkript (download_backd.sh) két kulcsfontosságú bináris állomány telepítésére szolgál: dnsloger (SNOWLIGHT) és system_worker (Sliver). Ezek az eszközök segítenek fenntartani a rendszert, és kommunikációt kezdeményeznek egy C2 szerverrel.
Stealth and Control: Az utolsó szakasz a VShell-lel
A behatolás utolsó szakaszában a VShell letöltése egyéni kéréssel történik a C2 szerverre. Távoli hozzáférésű trójaiként a VShell lehetőséget ad a támadóknak tetszőleges parancsok végrehajtására és fájlok átvitelére. Fájlmentessége és a WebSockets C2 kommunikációhoz való használata különösen rejtett és veszélyes eszközzé teszi a támadók fegyvertárában.
Következtetés: kifinomult és kitérő fenyegetés
Az UNC5174 továbbra is jelentős kockázatot jelent a nyílt forráskódú eszközök, a kifinomult kézbesítési módszerek és a rejtett rakományok, például a SNOWLIGHT és a VShell kombinációjával. Az a képességük, hogy észrevétlenek maradjanak, miközben kihasználják a nyilvános eszközöket és kihasználják a platformok közötti sebezhetőséget, rámutat arra, hogy fokozott éberségre és frissített védekezési stratégiákra van szükség.
