SNOWLIGHT Malvér
Hrozbový aktér UNC5174 spojený s Čínou, tiež známy ako Uteus (alebo Uetus), spustil novú kybernetickú kampaň zahŕňajúcu upravenú verziu malvéru SNOWLIGHT a nový open source trójsky kôň (RAT) s názvom VShell. Táto operácia sa zameriava na systémy Linux a využíva pokročilé techniky na obchádzanie detekcie a pripisovania.
Obsah
Blending In: Open Source Tools ako obal
Aktéri hrozieb sa pri znižovaní nákladov a maskovaní svojich aktivít čoraz viac spoliehajú na open-source nástroje. V tomto prípade UNC5174 používa také nástroje, aby sa podobali hackerom nízkej úrovne, nesponzorovaným štátom, čo sťažuje obrancom vystopovať kampaň späť k národnému štátu. Táto taktika umožnila UNC5174 pracovať diskrétne od jeho posledného známeho spojenia s operáciami spojenými s čínskou vládou pred viac ako rokom.
Známy arzenál: SNEŽIE a jeho úloha
Predtým UNC5174 využíval zraniteľné miesta v Connectwise ScreenConnect a softvéri F5 BIG-IP na nasadenie SNOWLIGHT, sťahovača ELF založeného na C. Tento nástroj bol použitý na získanie GOHEAVY, nástroja na tunelovanie založeného na Golang, z infraštruktúry prepojenej so SUPERSHELL – verejne dostupným rámcom C2.
Rozšírenie sady nástrojov: GOREVERSE a New Attack Vectors
Sada nástrojov skupiny obsahuje aj GOREVERSE, reverzný shell Golang , ktorý komunikuje cez Secure Shell (SSH). Francúzska národná agentúra pre bezpečnosť informačných systémov (ANSSI) nedávno spozorovala podobnú taktiku používanú pri útokoch na zraniteľné miesta zariadenia Ivanti Cloud Service Appliance (CSA), vrátane CVE-2024-8963, CVE-2024-9380 a CVE-2024-8190.
Medziplatformové hrozby: SNOWLIGHT a VShell Target macOS
SNOWLIGHT aj VShell sú schopné infikovať systémy Apple macOS. V októbri 2024 bol VShell zamaskovaný ako falošná overovacia aplikácia Cloudflare, čo naznačuje širšiu a flexibilnejšiu infraštruktúru útokov. Táto multiplatformová schopnosť zvyšuje celkovú hrozbu, ktorú predstavuje UNC5174.
Neviditeľné vstupné body: Útočná reťaz a nasadenie užitočného zaťaženia
Pri útoku pozorovanom v januári 2025 bol SNOWLIGHT použitý ako kvapkadlo na doručenie VShell, bezsúborového RAT v pamäti. Počiatočná metóda prístupu zostáva neznáma, ale keď sa dostanete do systému, škodlivý skript (download_backd.sh) sa použije na nasadenie dvoch kľúčových binárnych súborov: dnsloger (SNOWLIGHT) a system_worker (Sliver). Tieto nástroje pomáhajú vytvoriť stálosť a iniciovať komunikáciu so serverom C2.
Stealth and Control: Final Stage with VShell
Posledná fáza prieniku zahŕňa stiahnutie VShell prostredníctvom vlastnej požiadavky na server C2. Ako trójsky kôň so vzdialeným prístupom poskytuje VShell útočníkom možnosť vykonávať ľubovoľné príkazy a prenášať súbory. Jeho bezsúborová povaha a používanie WebSockets pre komunikáciu C2 z neho robia obzvlášť tajný a nebezpečný nástroj v arzenáli útočníka.
Záver: Sofistikovaná a vyhýbavá hrozba
UNC5174 naďalej predstavuje značné riziko vďaka kombinácii nástrojov s otvoreným zdrojovým kódom, sofistikovaných metód doručovania a tajných užitočných zaťažení, ako sú SNOWLIGHT a VShell. Ich schopnosť zostať neodhalená pri využívaní verejných nástrojov a využívaní medziplatformových zraniteľností podčiarkuje potrebu zvýšenej ostražitosti a aktualizovaných obranných stratégií.
