Malware SNOWLIGHT
L'autore di minacce informatiche UNC5174, legato alla Cina e noto anche come Uteus (o Uetus), ha lanciato una nuova campagna informatica che coinvolge una versione modificata del malware SNOWLIGHT e un nuovo Trojan di Accesso Remoto (RAT) open source denominato VShell. Questa operazione prende di mira i sistemi Linux e impiega tecniche avanzate per eludere il rilevamento e l'attribuzione.
Sommario
Integrazione: strumenti open source come copertura
Gli autori delle minacce si affidano sempre più a strumenti open source per ridurre i costi e mascherare le proprie attività. In questo caso, UNC5174 utilizza tali strumenti per imitare hacker di basso livello non sponsorizzati da alcuno stato, rendendo più difficile per i difensori ricondurre la campagna a uno stato nazionale. Questa tattica ha permesso a UNC5174 di operare con discrezione fin dalla sua ultima associazione nota con operazioni legate al governo cinese, avvenuta oltre un anno fa.
Un arsenale familiare: SNOWLIGHT e il suo ruolo
In precedenza, UNC5174 sfruttava le vulnerabilità di Connectwise ScreenConnect e del software F5 BIG-IP per implementare SNOWLIGHT, un downloader ELF basato su C. Questo strumento è stato utilizzato per recuperare GOHEAVY, uno strumento di tunneling basato su Golang, dall'infrastruttura collegata a SUPERSHELL, un framework C2 disponibile al pubblico.
Espansione del set di strumenti: GOREVERSE e nuovi vettori di attacco
Il toolkit del gruppo include anche GOREVERSE, una reverse shell di Golang che comunica tramite Secure Shell (SSH). L'Agenzia Nazionale Francese per la Sicurezza dei Sistemi Informativi (ANSSI) ha recentemente osservato tattiche simili utilizzate negli attacchi alle vulnerabilità di Ivanti Cloud Service Appliance (CSA), tra cui CVE-2024-8963, CVE-2024-9380 e CVE-2024-8190.
Minacce multipiattaforma: SNOWLIGHT e VShell prendono di mira macOS
Sia SNOWLIGHT che VShell sono in grado di infettare i sistemi Apple macOS. Nell'ottobre 2024, VShell è stata camuffata da una falsa app di autenticazione di Cloudflare, suggerendo un'infrastruttura di attacco più ampia e flessibile. Questa capacità multipiattaforma aumenta la minaccia complessiva rappresentata da UNC5174.
Punti di ingresso invisibili: catena di attacco e distribuzione del carico utile
In un attacco osservato nel gennaio 2025, SNOWLIGHT è stato utilizzato come dropper per distribuire VShell, un RAT in memoria senza file. Il metodo di accesso iniziale rimane sconosciuto, ma una volta all'interno del sistema, uno script dannoso (download_backd.sh) viene utilizzato per distribuire due file binari chiave: dnsloger (SNOWLIGHT) e system_worker (Sliver). Questi strumenti aiutano a stabilire la persistenza e ad avviare la comunicazione con un server C2.
Stealth e controllo: la fase finale con VShell
La fase finale dell'intrusione prevede il download di VShell tramite una richiesta personalizzata al server C2. Essendo un trojan di accesso remoto, VShell consente agli aggressori di eseguire comandi arbitrari e trasferire file. La sua natura fileless e l'utilizzo di WebSocket per le comunicazioni C2 lo rendono uno strumento particolarmente furtivo e pericoloso nell'arsenale degli aggressori.
Conclusione: una minaccia sofisticata ed evasiva
UNC5174 continua a rappresentare un rischio significativo a causa della sua combinazione di strumenti open source, metodi di distribuzione sofisticati e payload stealth come SNOWLIGHT e VShell. La loro capacità di rimanere inosservati sfruttando al contempo strumenti pubblici e vulnerabilità multipiattaforma sottolinea la necessità di una maggiore vigilanza e di strategie difensive aggiornate.
