Вредоносное ПО SNOWLIGHT
Связанный с Китаем злоумышленник UNC5174, также известный как Uteus (или Uetus), запустил новую киберкампанию с использованием модифицированной версии вредоносного ПО SNOWLIGHT и нового трояна с открытым исходным кодом Remote Access Trojan (RAT) под названием VShell. Эта операция нацелена на системы Linux и использует передовые методы для избежания обнаружения и атрибуции.
Оглавление
Смешивание: инструменты с открытым исходным кодом как прикрытие
Злоумышленники все чаще полагаются на инструменты с открытым исходным кодом, чтобы сократить расходы и скрыть свою деятельность. В этом случае UNC5174 использует такие инструменты, чтобы имитировать низкоуровневых, не спонсируемых государством хакеров, что затрудняет для защитников отслеживание кампании до национального государства. Эта тактика позволила UNC5174 действовать скрытно с момента его последней известной связи с операциями, связанными с китайским правительством, более года назад.
Знакомый арсенал: SNOWLIGHT и его роль
Ранее UNC5174 использовал уязвимости в Connectwise ScreenConnect и программном обеспечении F5 BIG-IP для развертывания SNOWLIGHT, загрузчика ELF на основе C. Этот инструмент использовался для извлечения GOHEAVY, инструмента туннелирования на основе Golang, из инфраструктуры, связанной с SUPERSHELL — общедоступной инфраструктурой C2.
Расширение набора инструментов: GOREVERSE и новые векторы атак
Инструментарий группы также включает GOREVERSE, обратную оболочку Golang , которая взаимодействует через Secure Shell (SSH). Французское национальное агентство по безопасности информационных систем (ANSSI) недавно обнаружило похожую тактику, используемую в атаках на уязвимости Ivanti Cloud Service Appliance (CSA), включая CVE-2024-8963, CVE-2024-9380 и CVE-2024-8190.
Кроссплатформенные угрозы: SNOWLIGHT и VShell нацелены на macOS
И SNOWLIGHT, и VShell способны заражать системы Apple macOS. В октябре 2024 года VShell был замаскирован под поддельное приложение-аутентификатор Cloudflare, что предполагает более широкую и гибкую инфраструктуру атак. Эта кроссплатформенная возможность увеличивает общую угрозу, исходящую от UNC5174.
Невидимые точки входа: цепочка атак и развертывание полезной нагрузки
В атаке, наблюдавшейся в январе 2025 года, SNOWLIGHT использовался в качестве дроппера для доставки VShell, безфайлового RAT в памяти. Первоначальный метод доступа остается неизвестным, но, попав в систему, вредоносный скрипт (download_backd.sh) используется для развертывания двух ключевых двоичных файлов: dnsloger (SNOWLIGHT) и system_worker (Sliver). Эти инструменты помогают установить постоянство и инициировать связь с сервером C2.
Скрытность и контроль: финальный этап с VShell
На последнем этапе вторжения VShell загружается через специальный запрос на сервер C2. Как троян удаленного доступа, VShell предоставляет злоумышленникам возможность выполнять произвольные команды и передавать файлы. Его безфайловая природа и использование WebSockets для коммуникаций C2 делают его особенно скрытным и опасным инструментом в арсенале злоумышленника.
Заключение: Изощренная и уклончивая угроза
UNC5174 продолжает представлять значительный риск из-за своей комбинации инструментов с открытым исходным кодом, сложных методов доставки и скрытых полезных нагрузок, таких как SNOWLIGHT и VShell. Их способность оставаться незамеченными, используя общедоступные инструменты и эксплуатируя кроссплатформенные уязвимости, подчеркивает необходимость повышенной бдительности и обновленных оборонительных стратегий.
