SNOWLIGHT-malware
De aan China gelinkte cyberactor UNC5174, ook bekend als Uteus (of Uetus), heeft een nieuwe cybercampagne gelanceerd met een aangepaste versie van de SNOWLIGHT-malware en een nieuwe open-source Remote Access Trojan (RAT) genaamd VShell. Deze operatie is gericht op Linux-systemen en maakt gebruik van geavanceerde technieken om detectie en attributie te omzeilen.
Inhoudsopgave
In de mix: open source-tools als dekmantel
Criminelen vertrouwen steeds vaker op opensourcetools om kosten te besparen en hun activiteiten te maskeren. In dit geval gebruikt UNC5174 dergelijke tools om zich voor te doen als hackers van een laag niveau, die niet door de staat worden gesponsord. Dit maakt het voor verdedigers moeilijker om de campagne te herleiden tot een natiestaat. Deze tactiek heeft UNC5174 in staat gesteld om discreet te opereren sinds de laatste bekende betrokkenheid bij operaties met Chinese overheidslinks, meer dan een jaar geleden.
Een bekend arsenaal: SNOWLIGHT en zijn rol
Eerder maakte UNC5174 misbruik van kwetsbaarheden in Connectwise ScreenConnect en de F5 BIG-IP-software om SNOWLIGHT, een C-gebaseerde ELF-downloader, te implementeren. Deze tool werd gebruikt om GOHEAVY, een Golang-gebaseerde tunnelingtool, op te halen uit infrastructuur die gekoppeld is aan SUPERSHELL, een openbaar beschikbaar C2-framework.
Uitbreiding van de toolset: GOREVERSE en nieuwe aanvalsvectoren
De toolkit van de groep omvat ook GOREVERSE, een Golang reverse shell die communiceert via Secure Shell (SSH). Het Franse agentschap voor de beveiliging van informatiesystemen (ANSSI) heeft onlangs vergelijkbare tactieken waargenomen bij aanvallen op kwetsbaarheden in Ivanti Cloud Service Appliance (CSA), waaronder CVE-2024-8963, CVE-2024-9380 en CVE-2024-8190.
Cross-platform bedreigingen: SNOWLIGHT en VShell richten zich op macOS
Zowel SNOWLIGHT als VShell kunnen Apple macOS-systemen infecteren. In oktober 2024 werd VShell vermomd als een nep-Cloudflare-authenticatie-app, wat duidde op een bredere en flexibelere aanvalsinfrastructuur. Deze platformonafhankelijke functionaliteit vergroot de algehele dreiging van UNC5174.
Ongeziene toegangspunten: aanvalsketen en inzet van payloads
Bij een aanval die in januari 2025 werd waargenomen, werd SNOWLIGHT gebruikt als dropper om VShell, een fileless in-memory RAT, te leveren. De initiële toegangsmethode blijft onbekend, maar eenmaal binnen het systeem wordt een kwaadaardig script (download_backd.sh) gebruikt om twee belangrijke binaire bestanden te implementeren: dnsloger (SNOWLIGHT) en system_worker (Sliver). Deze tools helpen bij het instellen van persistentie en initiëren van communicatie met een C2-server.
Stealth en controle: de laatste fase met VShell
De laatste fase van de inbraak bestaat uit het downloaden van VShell via een aangepaste aanvraag naar de C2-server. Als trojan voor externe toegang geeft VShell aanvallers de mogelijkheid om willekeurige opdrachten uit te voeren en bestanden over te dragen. De bestandsloze aard en het gebruik van WebSockets voor C2-communicatie maken het een bijzonder onopvallende en gevaarlijke tool in het arsenaal van aanvallers.
Conclusie: een geavanceerde en ontwijkende dreiging
UNC5174 blijft een aanzienlijk risico vormen door de combinatie van open-sourcetools, geavanceerde distributiemethoden en stealth payloads zoals SNOWLIGHT en VShell. Hun vermogen om onopgemerkt te blijven terwijl ze gebruikmaken van openbare tools en platformonafhankelijke kwetsbaarheden uitbuiten, onderstreept de noodzaak van verhoogde waakzaamheid en bijgewerkte verdedigingsstrategieën.
