SNOWLIGHT ļaunprātīga programmatūra
Ar Ķīnu saistītais draudu aktieris UNC5174, kas pazīstams arī kā Uteus (vai Uetus), ir uzsācis jaunu kiberkampaņu, kas ietver ļaunprogrammatūras SNOWLIGHT modificētu versiju un jaunu atvērtā koda attālās piekļuves Trojas zirgu (RAT) ar nosaukumu VShell. Šī darbība ir vērsta uz Linux sistēmām, un tajā tiek izmantotas uzlabotas metodes, lai izvairītos no atklāšanas un attiecināšanas.
Satura rādītājs
Sajaukšana: atvērtā pirmkoda rīki kā vāks
Lai samazinātu izmaksas un maskētu savas darbības, draudu dalībnieki arvien vairāk paļaujas uz atvērtā pirmkoda rīkiem. Šajā gadījumā UNC5174 izmanto šādus rīkus, lai līdzinātos zema līmeņa ne-valsts sponsorētiem hakeriem, tādējādi aizstāvjiem ir grūtāk izsekot kampaņai līdz nacionālajai valstij. Šī taktika ir ļāvusi UNC5174 darboties diskrēti kopš pēdējās zināmās saistības ar Ķīnas valdību saistītajām operācijām pirms vairāk nekā gada.
Pazīstams arsenāls: SNIEGA gaisma un tā loma
Iepriekš UNC5174 izmantoja Connectwise ScreenConnect un F5 BIG-IP programmatūras ievainojamības, lai izvietotu SNOWLIGHT — uz C balstītu ELF lejupielādētāju. Šis rīks tika izmantots, lai izgūtu uz Golang balstītu tuneļu rīku GOHEAVY no infrastruktūras, kas ir saistīta ar SUPERSHELL — publiski pieejamu C2 sistēmu.
Rīku kopas paplašināšana: GOREVERSE un jauni uzbrukuma vektori
Grupas rīku komplektā ietilpst arī GOREVERSE, Golang reversais apvalks, kas sazinās, izmantojot Secure Shell (SSH). Francijas Nacionālā informācijas sistēmu drošības aģentūra (ANSSI) nesen novēroja līdzīgu taktiku, ko izmanto uzbrukumos Ivanti Cloud Service Appliance (CSA) ievainojamībām, tostarp CVE-2024-8963, CVE-2024-9380 un CVE-2024-8190.
Vairāku platformu apdraudējumi: SNOWLIGHT un VShell Target macOS
Gan SNOWLIGHT, gan VShell spēj inficēt Apple MacOS sistēmas. 2024. gada oktobrī VShell tika slēpta kā viltota Cloudflare autentifikācijas lietotne, kas liecina par plašāku un elastīgāku uzbrukuma infrastruktūru. Šī starpplatformu iespēja palielina vispārējos draudus, ko rada UNC5174.
Neredzēti ieejas punkti: uzbrukuma ķēde un kravas izvietošana
Uzbrukumā, kas tika novērots 2025. gada janvārī, SNOWLIGHT tika izmantots kā pilinātājs, lai piegādātu VShell — bezdatnes atmiņas RAT. Sākotnējā piekļuves metode joprojām nav zināma, taču, nonākot sistēmā, tiek izmantots ļaunprātīgs skripts (download_backd.sh), lai izvietotu divus galvenos bināros failus: dnsloger (SNOWLIGHT) un system_worker (Sliver). Šie rīki palīdz nodrošināt noturību un uzsākt saziņu ar C2 serveri.
Maskēšanās un kontrole: pēdējais posms ar VShell
Pēdējais ielaušanās posms ietver VShell lejupielādi, izmantojot pielāgotu pieprasījumu C2 serverim. Kā attālās piekļuves Trojas zirgs VShell nodrošina uzbrucējiem iespēju izpildīt patvaļīgas komandas un pārsūtīt failus. Tā bezfailu raksturs un WebSockets izmantošana C2 sakariem padara to par īpaši slepenu un bīstamu rīku uzbrucēja arsenālā.
Secinājums: izsmalcināts un izvairīgs drauds
UNC5174 joprojām rada ievērojamu risku, apvienojot atvērtā pirmkoda rīkus, sarežģītas piegādes metodes un slepenas kravas, piemēram, SNOWLIGHT un VShell. Viņu spēja palikt neatklātiem, vienlaikus izmantojot publiskos rīkus un starpplatformu ievainojamības, uzsver nepieciešamību pēc pastiprinātas modrības un atjauninātām aizsardzības stratēģijām.
