Oprogramowanie złośliwe SNOWLIGHT
Powiązany z Chinami aktor zagrożeń UNC5174, znany również jako Uteus (lub Uetus), rozpoczął nową kampanię cybernetyczną obejmującą zmodyfikowaną wersję złośliwego oprogramowania SNOWLIGHT i nowego trojana zdalnego dostępu (RAT) o otwartym kodzie źródłowym o nazwie VShell. Ta operacja ma na celu systemy Linux i wykorzystuje zaawansowane techniki, aby uniknąć wykrycia i przypisania.
Spis treści
Wtapianie się: narzędzia Open Source jako przykrywka
Aktorzy zagrożeń coraz częściej polegają na narzędziach open source, aby obniżyć koszty i zamaskować swoje działania. W tym przypadku UNC5174 używa takich narzędzi, aby przypominać hakerów niższego szczebla, niesponsorowanych przez państwo, co utrudnia obrońcom wyśledzenie kampanii do państwa narodowego. Ta taktyka pozwoliła UNC5174 działać dyskretnie od czasu ostatniego znanego związku z operacjami powiązanymi z chińskim rządem ponad rok temu.
Znajomy arsenał: SNOWLIGHT i jego rola
Wcześniej UNC5174 wykorzystał luki w zabezpieczeniach oprogramowania Connectwise ScreenConnect i F5 BIG-IP, aby wdrożyć SNOWLIGHT, program do pobierania ELF oparty na języku C. To narzędzie zostało użyte do pobrania GOHEAVY, narzędzia do tunelowania opartego na języku Golang, z infrastruktury połączonej z SUPERSHELL — publicznie dostępnym frameworkiem C2.
Rozszerzenie zestawu narzędzi: GOREVERSE i nowe wektory ataku
Zestaw narzędzi grupy obejmuje również GOREVERSE, odwrotną powłokę Golang , która komunikuje się za pośrednictwem Secure Shell (SSH). Francuska Narodowa Agencja Bezpieczeństwa Systemów Informacyjnych (ANSSI) niedawno zaobserwowała podobne taktyki stosowane w atakach na luki w zabezpieczeniach Ivanti Cloud Service Appliance (CSA), w tym CVE-2024-8963, CVE-2024-9380 i CVE-2024-8190.
Zagrożenia międzyplatformowe: SNOWLIGHT i VShell atakują system macOS
Zarówno SNOWLIGHT, jak i VShell są w stanie zainfekować systemy Apple macOS. W październiku 2024 r. VShell został zamaskowany jako fałszywa aplikacja uwierzytelniająca Cloudflare, co sugeruje szerszą i bardziej elastyczną infrastrukturę ataku. Ta zdolność międzyplatformowa zwiększa ogólne zagrożenie stwarzane przez UNC5174.
Niewidoczne punkty wejścia: łańcuch ataków i wdrażanie ładunku
W ataku zaobserwowanym w styczniu 2025 r. SNOWLIGHT został użyty jako dropper do dostarczania VShell, bezplikowego RAT w pamięci. Początkowa metoda dostępu pozostaje nieznana, ale po wejściu do systemu złośliwy skrypt (download_backd.sh) jest używany do wdrażania dwóch kluczowych plików binarnych: dnsloger (SNOWLIGHT) i system_worker (Sliver). Te narzędzia pomagają ustanowić trwałość i zainicjować komunikację z serwerem C2.
Ukrycie i kontrola: ostatni etap z VShell
Ostatni etap włamania obejmuje pobranie VShell za pośrednictwem niestandardowego żądania do serwera C2. Jako trojan zdalnego dostępu, VShell przyznaje atakującym możliwość wykonywania dowolnych poleceń i przesyłania plików. Jego bezplikowa natura i wykorzystanie WebSockets do komunikacji C2 sprawiają, że jest to szczególnie ukryte i niebezpieczne narzędzie w arsenale atakującego.
Wnioski: Wyrafinowane i nieuchwytne zagrożenie
UNC5174 nadal stwarza znaczne ryzyko ze względu na połączenie narzędzi open source, zaawansowanych metod dostarczania i ukrytych ładunków, takich jak SNOWLIGHT i VShell. Ich zdolność do pozostawania niewykrytym przy jednoczesnym wykorzystywaniu publicznych narzędzi i eksploatacji luk międzyplatformowych podkreśla potrzebę zwiększonej czujności i zaktualizowanych strategii obronnych.
