SNOWLIGHT Zlonamerna programska oprema
S Kitajsko povezan akter grožnje UNC5174, znan tudi kot Uteus (ali Uetus), je začel novo kibernetsko kampanjo, ki vključuje spremenjeno različico zlonamerne programske opreme SNOWLIGHT in novega odprtokodnega trojanca za oddaljeni dostop (RAT) z imenom VShell. Ta operacija cilja na sisteme Linux in uporablja napredne tehnike za izogibanje odkrivanju in pripisovanju.
Kazalo
Blending In: odprtokodna orodja kot naslovnica
Akterji groženj se vedno bolj zanašajo na odprtokodna orodja za zmanjšanje stroškov in prikrivanje svojih dejavnosti. V tem primeru UNC5174 uporablja takšna orodja, da bi bil podoben nizkim hekerjem, ki jih ne sponzorira država, zaradi česar zagovorniki težje izsledijo kampanjo nazaj do nacionalne države. Ta taktika je UNC5174 omogočila diskretno delovanje od zadnje znane povezave z operacijami, povezanimi s kitajsko vlado, pred več kot enim letom.
Znani arzenal: SNEŽILKA in njena vloga
Prej je UNC5174 izkoriščal ranljivosti v Connectwise ScreenConnect in programski opremi F5 BIG-IP za uvajanje SNOWLIGHT, prenosnika ELF, ki temelji na C. To orodje je bilo uporabljeno za pridobivanje GOHEAVY, orodja za tuneliranje, ki temelji na Golangu, iz infrastrukture, povezane s SUPERSHELL – javno dostopnim ogrodjem C2.
Razširitev nabora orodij: GOREVERSE in novi vektorji napadov
Komplet orodij skupine vključuje tudi GOREVERSE, povratno lupino Golang , ki komunicira prek varne lupine (SSH). Francoska nacionalna agencija za varnost informacijskih sistemov (ANSSI) je nedavno opazila podobne taktike, uporabljene pri napadih na ranljivosti Ivanti Cloud Service Appliance (CSA), vključno s CVE-2024-8963, CVE-2024-9380 in CVE-2024-8190.
Grožnje med platformami: SNOWLIGHT in VShell Target macOS
Tako SNOWLIGHT kot VShell lahko okužita sisteme Apple macOS. Oktobra 2024 je bil VShell preoblečen v lažno aplikacijo za preverjanje pristnosti Cloudflare, kar nakazuje širšo in bolj prilagodljivo infrastrukturo napadov. Ta zmožnost med platformami povečuje splošno nevarnost, ki jo predstavlja UNC5174.
Nevidne vstopne točke: veriga napadov in razporeditev tovora
V napadu, opaženem januarja 2025, je bil SNOWLIGHT uporabljen kot kapalka za dostavo VShell, brezdatotečnega RAT-a v pomnilniku. Začetna metoda dostopa ostaja neznana, toda ko je v sistemu, se zlonamerni skript (download_backd.sh) uporabi za uvedbo dveh ključnih binarnih datotek: dnsloger (SNOWLIGHT) in system_worker (Sliver). Ta orodja pomagajo vzpostaviti obstojnost in sprožiti komunikacijo s strežnikom C2.
Prikritost in nadzor: zadnja faza z lupino VShell
Zadnja stopnja vdora vključuje prenos lupine VShell prek zahteve po meri na strežnik C2. Kot trojanec z oddaljenim dostopom VShell napadalcem omogoča izvajanje poljubnih ukazov in prenos datotek. Zaradi svoje narave brez datotek in uporabe WebSockets za komunikacije C2 je še posebej prikrito in nevarno orodje v napadalčevem arzenalu.
Zaključek: prefinjena in izmikajoča se grožnja
UNC5174 še naprej predstavlja veliko tveganje s svojo kombinacijo odprtokodnih orodij, sofisticiranih načinov dostave in prikritih uporabnih obremenitev, kot sta SNOWLIGHT in VShell. Njihova sposobnost, da ostanejo neodkriti, medtem ko uporabljajo javna orodja in izkoriščajo ranljivosti med platformami, poudarja potrebo po povečani pazljivosti in posodobljenih obrambnih strategijah.
