SNOWLIGHT kenkėjiška programa
Su Kinija susijęs grėsmių veikėjas UNC5174, dar žinomas kaip Uteus (arba Uetus), pradėjo naują kibernetinę kampaniją, apimančią modifikuotą SNOWLIGHT kenkėjiškos programos versiją ir naują atvirojo kodo nuotolinės prieigos Trojos arklys (RAT), pavadintą VShell. Ši operacija skirta Linux sistemoms ir naudoja pažangias technologijas, kad būtų išvengta aptikimo ir priskyrimo.
Turinys
Sumaišymas: atvirojo kodo įrankiai kaip viršelis
Grėsmių dalyviai vis labiau pasikliauja atvirojo kodo įrankiais, kad sumažintų išlaidas ir užmaskuotų savo veiklą. Šiuo atveju UNC5174 naudoja tokius įrankius, kad būtų panašus į žemo lygio, ne valstybės remiamus įsilaužėlius, todėl gynėjams bus sunkiau atsekti kampaniją iki nacionalinės valstybės. Ši taktika leido UNC5174 veikti diskretiškai nuo paskutinio žinomo ryšio su Kinijos vyriausybe susijusiomis operacijomis daugiau nei prieš metus.
Pažįstamas arsenalas: SNIEGO šviesa ir jos vaidmuo
Anksčiau UNC5174 išnaudojo Connectwise ScreenConnect ir F5 BIG-IP programinės įrangos spragas, kad įdiegtų SNOWLIGHT, C pagrindu sukurtą ELF atsisiuntimo programą. Šis įrankis buvo naudojamas norint gauti GOHEAVY, Golango pagrindu sukurtą tuneliavimo įrankį, iš infrastruktūros, susietos su SUPERSHELL – viešai prieinama C2 sistema.
Įrankių rinkinio išplėtimas: GOREVERSE ir nauji atakos vektoriai
Grupės įrankių rinkinyje taip pat yra GOREVERSE, atvirkštinis „Golang“ apvalkalas, kuris palaiko ryšį per „Secure Shell“ (SSH). Prancūzijos nacionalinė informacinių sistemų saugumo agentūra (ANSSI) neseniai pastebėjo panašią taktiką, naudojamą atakuojant Ivanti Cloud Service Appliance (CSA) spragas, įskaitant CVE-2024-8963, CVE-2024-9380 ir CVE-2024-8190.
Grėsmės kelioms platformoms: SNOWLIGHT ir VShell Target macOS
Tiek SNOWLIGHT, tiek VShell gali užkrėsti Apple MacOS sistemas. 2024 m. spalio mėn. VShell buvo užmaskuota kaip netikra Cloudflare autentifikavimo programa, siūlanti platesnę ir lankstesnę atakų infrastruktūrą. Ši kelių platformų galimybė padidina bendrą UNC5174 keliamą grėsmę.
Nematyti įėjimo taškai: atakos grandinė ir naudingos apkrovos išdėstymas
Per 2025 m. sausio mėn. pastebėtą ataką SNOWLIGHT buvo naudojamas kaip lašintuvas, skirtas pristatyti VShell, be failų atmintyje esančią RAT. Pradinis prieigos metodas lieka nežinomas, tačiau patekus į sistemą, kenkėjiškas scenarijus (download_backd.sh) naudojamas dviem pagrindiniams dvejetainiams failams įdiegti: dnsloger (SNOWLIGHT) ir system_worker (Sliver). Šie įrankiai padeda užtikrinti pastovumą ir inicijuoti ryšį su C2 serveriu.
Stealth and Control: paskutinis etapas su VShell
Paskutiniame įsibrovimo etape „VShell“ atsisiunčiama į C2 serverį naudojant pasirinktinę užklausą. Kaip nuotolinės prieigos Trojos arklys, VShell suteikia užpuolikams galimybę vykdyti savavališkas komandas ir perkelti failus. Be failų ir „WebSockets“ naudojimas C2 ryšiui paverčia jį ypač slaptu ir pavojingu įrankiu užpuoliko arsenale.
Išvada: sudėtinga ir neišvengiama grėsmė
UNC5174 ir toliau kelia didelę riziką dėl atvirojo kodo įrankių, sudėtingų pristatymo metodų ir slaptų krovinių, pvz., SNOWLIGHT ir VShell, derinio. Jų gebėjimas likti nepastebėtiems naudojant viešąsias priemones ir išnaudojant kelių platformų pažeidžiamumą pabrėžia, kad reikia didesnio budrumo ir atnaujintų gynybos strategijų.
