SNOWLIGHT Skadelig programvare
Den Kina-tilknyttede trusselaktøren UNC5174, også kjent som Uteus (eller Uetus), har lansert en ny cyberkampanje som involverer en modifisert versjon av SNOWLIGHT malware og en ny åpen kildekode Remote Access Trojan (RAT) kalt VShell. Denne operasjonen retter seg mot Linux-systemer og bruker avanserte teknikker for å unngå oppdagelse og attribusjon.
Innholdsfortegnelse
Blanding inn: Åpen kildekode-verktøy som omslag
Trusselaktører er i økende grad avhengig av åpen kildekode-verktøy for å redusere kostnader og maskere aktivitetene deres. I dette tilfellet bruker UNC5174 slike verktøy for å ligne lavtliggende, ikke-statssponsede hackere, noe som gjør det vanskeligere for forsvarere å spore kampanjen tilbake til en nasjonalstat. Denne taktikken har gjort det mulig for UNC5174 å operere diskret siden den sist kjente tilknytningen til kinesiske myndigheter knyttet til operasjoner for over et år siden.
Et kjent Arsenal: SNØLYS og dets rolle
Tidligere har UNC5174 utnyttet sårbarheter i Connectwise ScreenConnect og F5 BIG-IP-programvaren for å distribuere SNOWLIGHT, en C-basert ELF-nedlaster. Dette verktøyet ble brukt til å hente GOHEAVY, et Golang-basert tunnelverktøy, fra infrastruktur knyttet til SUPERSHELL – et offentlig tilgjengelig C2-rammeverk.
Utvidelse av verktøysett: GOREVERSE og nye angrepsvektorer
Gruppens verktøysett inkluderer også GOREVERSE, et Golang omvendt skall som kommuniserer via Secure Shell (SSH). Det franske nasjonale byrået for sikkerhet for informasjonssystemer (ANSSI) observerte nylig lignende taktikker brukt i angrep på Ivanti Cloud Service Appliance (CSA) sårbarheter, inkludert CVE-2024-8963, CVE-2024-9380 og CVE-2024-8190.
Trusler på tvers av plattformer: SNOWLIGHT og VShell Target macOS
Både SNOWLIGHT og VShell er i stand til å infisere Apple macOS-systemer. I oktober 2024 ble VShell forkledd som en falsk Cloudflare-autentiseringsapp, noe som antydet en bredere og mer fleksibel angrepsinfrastruktur. Denne evnen på tvers av plattformer øker den generelle trusselen fra UNC5174.
Usynlige inngangspunkter: Angrepskjede og utplassering av nyttelast
I et angrep observert i januar 2025, ble SNOWLIGHT brukt som en dropper for å levere VShell, en filløs RAT i minnet. Den første tilgangsmetoden forblir ukjent, men en gang inne i systemet brukes et ondsinnet skript (download_backd.sh) for å distribuere to nøkkelbinærfiler: dnsloger (SNOWLIGHT) og system_worker (Sliver). Disse verktøyene hjelper til med å etablere utholdenhet og starte kommunikasjon med en C2-server.
Stealth and Control: The Final Stage med VShell
Det siste stadiet av inntrengingen innebærer at VShell lastes ned via en tilpasset forespørsel til C2-serveren. Som en ekstern trojaner gir VShell angripere muligheten til å utføre vilkårlige kommandoer og overføre filer. Dens filløse natur og bruk av WebSockets for C2-kommunikasjon gjør den til et spesielt snikende og farlig verktøy i angriperens arsenal.
Konklusjon: En sofistikert og unnvikende trussel
UNC5174 fortsetter å utgjøre en betydelig risiko med sin kombinasjon av åpen kildekode-verktøy, sofistikerte leveringsmetoder og snikende nyttelaster som SNOWLIGHT og VShell. Deres evne til å forbli uoppdaget mens de utnytter offentlige verktøy og utnytter sårbarheter på tvers av plattformer, understreker behovet for økt årvåkenhet og oppdaterte defensive strategier.
