Perisian Hasad SNOWLIGHT
Pelakon ancaman berkaitan China UNC5174, juga dikenali sebagai Uteus (atau Uetus), telah melancarkan kempen siber baharu yang melibatkan versi perisian hasad SNOWLIGHT yang diubah suai dan Trojan Akses Jauh (RAT) sumber terbuka baharu bernama VShell. Operasi ini menyasarkan sistem Linux dan menggunakan teknik lanjutan untuk mengelakkan pengesanan dan atribusi.
Isi kandungan
Campuran Dalam: Alat Sumber Terbuka sebagai Penutup
Aktor ancaman semakin bergantung pada alat sumber terbuka untuk mengurangkan kos dan menutup aktiviti mereka. Dalam kes ini, UNC5174 menggunakan alat sedemikian untuk menyerupai penggodam peringkat rendah, bukan tajaan negara, menjadikannya lebih sukar bagi pembela untuk mengesan kempen kembali ke negara bangsa. Taktik ini telah membenarkan UNC5174 beroperasi secara diam-diam sejak persatuan terakhirnya yang diketahui dengan operasi berkaitan kerajaan China sejak setahun lalu.
Arsenal Familier: SNOWLIGHT dan Peranannya
Sebelum ini, UNC5174 mengeksploitasi kelemahan dalam Connectwise ScreenConnect dan perisian F5 BIG-IP untuk menggunakan SNOWLIGHT, pemuat turun ELF berasaskan C. Alat ini digunakan untuk mendapatkan semula GOHEAVY, alat terowong berasaskan Golang, daripada infrastruktur yang dipautkan ke SUPERSHELL—rangka kerja C2 yang tersedia untuk umum.
Pengembangan Toolset: GOREVERSE dan Vektor Serangan Baharu
Kit alat kumpulan itu juga termasuk GOREVERSE, cangkerang terbalik Golang yang berkomunikasi melalui Shell Selamat (SSH). Agensi Kebangsaan Perancis untuk Keselamatan Sistem Maklumat (ANSSI) baru-baru ini memerhatikan taktik serupa yang digunakan dalam serangan terhadap kelemahan Perkakas Perkhidmatan Awan Ivanti (CSA), termasuk CVE-2024-8963, CVE-2024-9380 dan CVE-2024-8190.
Ancaman Cross-Platform: SNOWLIGHT dan VShell Target macOS
SNOWLIGHT dan VShell mampu menjangkiti sistem macOS Apple. Pada Oktober 2024, VShell telah menyamar sebagai apl pengesah Cloudflare palsu, mencadangkan infrastruktur serangan yang lebih luas dan lebih fleksibel. Keupayaan merentas platform ini meningkatkan keseluruhan ancaman yang ditimbulkan oleh UNC5174.
Mata Kemasukan Ghaib: Rantaian Serangan dan Penyerahan Muatan
Dalam serangan yang diperhatikan pada Januari 2025, SNOWLIGHT digunakan sebagai penitis untuk menghantar VShell, RAT dalam ingatan tanpa fail. Kaedah akses awal masih tidak diketahui, tetapi apabila berada di dalam sistem, skrip hasad (download_backd.sh) digunakan untuk menggunakan dua binari utama: dnsloger (SNOWLIGHT) dan system_worker (Sliver). Alat ini membantu mewujudkan kegigihan dan memulakan komunikasi dengan pelayan C2.
Stealth dan Kawalan: Peringkat Akhir dengan VShell
Peringkat akhir pencerobohan melibatkan VShell dimuat turun melalui permintaan tersuai ke pelayan C2. Sebagai Trojan akses jauh, VShell memberikan penyerang keupayaan untuk melaksanakan arahan sewenang-wenangnya dan memindahkan fail. Sifatnya tanpa fail dan penggunaan WebSockets untuk komunikasi C2 menjadikannya alat yang sangat tersembunyi dan berbahaya dalam senjata penyerang.
Kesimpulan: Ancaman Canggih dan Mengelak
UNC5174 terus menimbulkan risiko yang ketara dengan gabungan alatan sumber terbuka, kaedah penghantaran yang canggih dan muatan senyap seperti SNOWLIGHT dan VShell. Keupayaan mereka untuk kekal tidak dapat dikesan sambil memanfaatkan alatan awam dan mengeksploitasi kelemahan merentas platform menekankan keperluan untuk meningkatkan kewaspadaan dan strategi pertahanan yang dikemas kini.
