SNOWLIGHT Malware
Actorul de amenințări legat de China UNC5174, cunoscut și sub numele de Uteus (sau Uetus), a lansat o nouă campanie cibernetică care implică o versiune modificată a malware-ului SNOWLIGHT și un nou troian de acces la distanță (RAT) open-source numit VShell. Această operațiune vizează sistemele Linux și folosește tehnici avansate pentru a evita detectarea și atribuirea.
Cuprins
Blending In: Open Source Tools ca acoperire
Actorii amenințărilor se bazează din ce în ce mai mult pe instrumente open-source pentru a reduce costurile și a-și masca activitățile. În acest caz, UNC5174 folosește astfel de instrumente pentru a semăna cu hackerii de nivel inferior, nesponsorizați de stat, ceea ce face mai dificil pentru apărători să urmărească campania până la un stat național. Această tactică a permis UNC5174 să funcționeze discret de la ultima sa asociere cunoscută cu operațiunile legate de guvernul chinez în urmă cu peste un an.
Un arsenal familiar: SNOWLIGHT și rolul său
Anterior, UNC5174 a exploatat vulnerabilitățile din Connectwise ScreenConnect și software-ul F5 BIG-IP pentru a implementa SNOWLIGHT, un program de descărcare ELF bazat pe C. Acest instrument a fost folosit pentru a prelua GOHEAVY, un instrument de tunelare bazat pe Golang, din infrastructura conectată la SUPERSHELL – un cadru C2 disponibil public.
Extindere set de instrumente: GOREVERSE și noi vectori de atac
Setul de instrumente al grupului include și GOREVERSE, un shell invers Golang care comunică prin Secure Shell (SSH). Agenția Națională Franceză pentru Securitatea Sistemelor Informaționale (ANSSI) a observat recent tactici similare utilizate în atacurile asupra vulnerabilităților Ivanti Cloud Service Appliance (CSA), inclusiv CVE-2024-8963, CVE-2024-9380 și CVE-2024-8190.
Amenințări pe mai multe platforme: SNOWLIGHT și VShell Target macOS
Atât SNOWLIGHT, cât și VShell sunt capabili să infecteze sistemele Apple macOS. În octombrie 2024, VShell a fost deghizat ca o aplicație de autentificare Cloudflare falsă, sugerând o infrastructură de atac mai largă și mai flexibilă. Această capacitate multiplatformă crește amenințarea generală reprezentată de UNC5174.
Puncte de intrare nevăzute: lanțul de atac și desfășurarea sarcinii utile
Într-un atac observat în ianuarie 2025, SNOWLIGHT a fost folosit ca picurator pentru a livra VShell, un RAT în memorie fără fișiere. Metoda de acces inițial rămâne necunoscută, dar odată în interiorul sistemului, un script rău intenționat (download_backd.sh) este utilizat pentru a implementa două chei binare: dnsloger (SNOWLIGHT) și system_worker (Sliver). Aceste instrumente ajută la stabilirea persistenței și la inițierea comunicării cu un server C2.
Stealth și control: etapa finală cu VShell
Etapa finală a intruziunii implică descărcarea VShell printr-o solicitare personalizată către serverul C2. Ca troian de acces la distanță, VShell oferă atacatorilor posibilitatea de a executa comenzi arbitrare și de a transfera fișiere. Natura sa fără fișiere și utilizarea WebSockets pentru comunicațiile C2 îl fac un instrument deosebit de furtiv și periculos în arsenalul atacatorului.
Concluzie: o amenințare sofisticată și evazivă
UNC5174 continuă să prezinte un risc semnificativ prin combinația sa de instrumente open-source, metode de livrare sofisticate și încărcături utile ascunse precum SNOWLIGHT și VShell. Capacitatea lor de a rămâne nedetectați în timp ce valorifică instrumentele publice și exploatează vulnerabilitățile multiplatforme subliniază nevoia de vigilență sporită și strategii defensive actualizate.
