SNOWLIGHT Malware
Актер претњи повезан са Кином УНЦ5174, такође познат као Утеус (или Уетус), покренуо је нову сајбер кампању која укључује модификовану верзију малвера СНОВЛИГХТ и нови тројанац отвореног кода за даљински приступ (РАТ) под називом ВСхелл. Ова операција циља на Линук системе и користи напредне технике за избегавање откривања и приписивања.
Преглед садржаја
Уклапање у: Алатке отвореног кода као омот
Актери претњи се све више ослањају на алате отвореног кода како би смањили трошкове и прикрили своје активности. У овом случају, УНЦ5174 користи такве алате да би личио на хакере нижег нивоа, који нису спонзорисани од стране државе, што отежава браниоцима да прате кампању до националне државе. Ова тактика је омогућила УНЦ5174 да ради дискретно од његовог последњег познатог повезивања са операцијама повезаних са кинеском владом пре више од годину дана.
Познати арсенал: СНЕЖНА СВЕТЛОСТ и њена улога
Раније је УНЦ5174 користио рањивости у Цоннецтвисе СцреенЦоннецт-у и софтверу Ф5 БИГ-ИП да би применио СНОВЛИГХТ, ЕЛФ програм за преузимање на бази Ц. Овај алат је коришћен за преузимање ГОХЕАВИ-а, алата за тунелирање заснованог на Голангу, из инфраструктуре повезане са СУПЕРСХЕЛЛ-ом — јавно доступним Ц2 оквиром.
Проширење скупа алата: ГОРЕВЕРСЕ и нови вектори напада
Скуп алата групе такође укључује ГОРЕВЕРСЕ, Голанг обрнуту шкољку која комуницира преко Сецуре Схелл (ССХ). Француска Национална агенција за безбедност информационих система (АНССИ) је недавно приметила сличне тактике које се користе у нападима на рањивости Иванти Цлоуд Сервице Апплианце (ЦСА), укључујући ЦВЕ-2024-8963, ЦВЕ-2024-9380 и ЦВЕ-2024-8190.
Претње на више платформи: СНОВЛИГХТ и ВСхелл Таргет мацОС
И СНОВЛИГХТ и ВСхелл су способни да заразе Аппле мацОС системе. У октобру 2024. ВСхелл је прерушен у лажну Цлоудфларе апликацију за аутентификацију, што сугерише ширу и флексибилнију инфраструктуру напада. Ова вишеплатформска способност повећава укупну претњу коју представља УНЦ5174.
Невиђене улазне тачке: ланац напада и распоређивање корисног оптерећења
У нападу који је примећен у јануару 2025. године, СНОВЛИГХТ је коришћен као капаљка за испоруку ВСхелл-а, РАТ-а без датотека у меморији. Почетни метод приступа остаје непознат, али једном у систему, злонамерна скрипта (довнлоад_бацкд.сх) се користи за примену две кључне бинарне датотеке: днслогер (СНОВЛИГХТ) и систем_воркер (Сливер). Ови алати помажу у успостављању постојаности и иницирању комуникације са Ц2 сервером.
Стеалтх анд Цонтрол: Завршна фаза са ВСхелл-ом
Последња фаза упада укључује ВСхелл који се преузима преко прилагођеног захтева на Ц2 сервер. Као тројанац са удаљеним приступом, ВСхелл даје нападачима могућност да извршавају произвољне команде и преносе датотеке. Његова природа без датотека и употреба ВебСоцкетс-а за Ц2 комуникацију чине га посебно прикривеним и опасним алатом у арсеналу нападача.
Закључак: Софистицирана претња која се избегава
УНЦ5174 наставља да представља значајан ризик са својом комбинацијом алата отвореног кода, софистицираних метода испоруке и скривених корисних оптерећења као што су СНОВЛИГХТ и ВСхелл. Њихова способност да остану неоткривени док користе јавне алате и искоришћавају рањивости на више платформи наглашавају потребу за повећаном будношћу и ажурираним одбрамбеним стратегијама.
