SNOWLIGHT Malware
Aktori i kërcënimit i lidhur me Kinën UNC5174, i njohur gjithashtu si Uteus (ose Uetus), ka nisur një fushatë të re kibernetike që përfshin një version të modifikuar të malware SNOWLIGHT dhe një Trojan të ri me qasje në distancë (RAT) me burim të hapur të quajtur VShell. Ky operacion synon sistemet Linux dhe përdor teknika të avancuara për të shmangur zbulimin dhe atribuimin.
Tabela e Përmbajtjes
Përzierja: Mjetet me burim të hapur si kopertinë
Aktorët e kërcënimit po mbështeten gjithnjë e më shumë në mjetet me burim të hapur për të ulur kostot dhe për të maskuar aktivitetet e tyre. Në këtë rast, UNC5174 po përdor mjete të tilla për t'iu ngjasuar hakerëve të nivelit të ulët, jo të sponsorizuar nga shteti, duke e bërë më të vështirë për mbrojtësit që të gjurmojnë fushatën në një shtet-komb. Kjo taktikë e ka lejuar UNC5174 të operojë në mënyrë diskrete që prej lidhjes së fundit të njohur me operacionet e lidhura me qeverinë kineze mbi një vit më parë.
Një Arsenal i njohur: DRITA E DORËS dhe roli i saj
Më parë, UNC5174 ka shfrytëzuar dobësitë në Connectwise ScreenConnect dhe softuerin F5 BIG-IP për të vendosur SNOWLIGHT, një shkarkues ELF i bazuar në C. Ky mjet u përdor për të tërhequr GOHEAVY, një mjet tunelimi i bazuar në Golang, nga infrastruktura e lidhur me SUPERSHELL - një kuadër C2 i disponueshëm publikisht.
Zgjerimi i grupit të mjeteve: GOREVERSE dhe vektorët e rinj të sulmit
Paketa e veglave të grupit përfshin gjithashtu GOREVERSE, një predhë e kundërt Golang që komunikon nëpërmjet Secure Shell (SSH). Agjencia Kombëtare Franceze për Sigurinë e Sistemeve të Informacionit (ANSSI) kohët e fundit vëzhgoi taktika të ngjashme të përdorura në sulmet ndaj dobësive të Ivanti Cloud Service Appliance (CSA), duke përfshirë CVE-2024-8963, CVE-2024-9380 dhe CVE-2024-8190.
Kërcënimet ndër-platformë: SNOWLIGHT dhe VShell Target macOS
Të dy SNOWLIGHT dhe VShell janë të afta të infektojnë sistemet macOS të Apple. Në tetor 2024, VShell u maskua si një aplikacion i rremë autentifikues Cloudflare, duke sugjeruar një infrastrukturë sulmi më të gjerë dhe më fleksibël. Kjo aftësi ndër-platformë rrit kërcënimin e përgjithshëm të paraqitur nga UNC5174.
Pikat e hyrjes së padukshme: Zinxhiri i sulmit dhe vendosja e ngarkesës
Në një sulm të vëzhguar në janar 2025, SNOWLIGHT u përdor si pikatore për të dhënë VShell, një RAT pa skedarë në memorie. Metoda fillestare e hyrjes mbetet e panjohur, por sapo të hyjë në sistem, një skrip me qëllim të keq (download_backd.sh) përdoret për të vendosur dy binare kryesore: dnsloger (SNOWLIGHT) dhe system_worker (Sliver). Këto mjete ndihmojnë në vendosjen e qëndrueshmërisë dhe fillimin e komunikimit me një server C2.
Vjedhja dhe kontrolli: Faza e fundit me VShell
Faza e fundit e ndërhyrjes përfshin shkarkimin e VShell përmes një kërkese të personalizuar në serverin C2. Si një Trojan me qasje në distancë, VShell u jep sulmuesve mundësinë për të ekzekutuar komanda arbitrare dhe transferuar skedarë. Natyra e tij pa skedarë dhe përdorimi i WebSockets për komunikimet C2 e bëjnë atë një mjet veçanërisht të fshehtë dhe të rrezikshëm në arsenalin e sulmuesit.
Përfundim: Një kërcënim i sofistikuar dhe evaziv
UNC5174 vazhdon të përbëjë një rrezik të konsiderueshëm me kombinimin e veglave me burim të hapur, metodave të sofistikuara të shpërndarjes dhe ngarkesave të fshehta si SNOWLIGHT dhe VShell. Aftësia e tyre për të mbetur të pazbuluar ndërsa shfrytëzojnë mjetet publike dhe shfrytëzojnë dobësitë ndër-platformë nënvizon nevojën për vigjilencë të shtuar dhe strategji të përditësuara mbrojtëse.
