SNOWLIGHT Skadlig programvara
Den Kina-länkade hotaktören UNC5174, även känd som Uteus (eller Uetus), har lanserat en ny cyberkampanj som involverar en modifierad version av SNOWLIGHT malware och en ny öppen källkod Remote Access Trojan (RAT) vid namn VShell. Denna operation riktar sig till Linux-system och använder avancerade tekniker för att undvika upptäckt och tillskrivning.
Innehållsförteckning
Blanda in: Verktyg med öppen källkod som omslag
Hotaktörer förlitar sig i allt högre grad på verktyg med öppen källkod för att minska kostnaderna och maskera sina aktiviteter. I det här fallet använder UNC5174 sådana verktyg för att likna lågnivå, icke-statssponsrade hackare, vilket gör det svårare för försvarare att spåra kampanjen tillbaka till en nationalstat. Denna taktik har gjort det möjligt för UNC5174 att fungera diskret sedan dess senaste kända koppling till kinesiska regeringsrelaterade operationer för över ett år sedan.
Ett bekant Arsenal: SNÖLJUS och dess roll
Tidigare har UNC5174 utnyttjat sårbarheter i Connectwise ScreenConnect och programvaran F5 BIG-IP för att distribuera SNOWLIGHT, en C-baserad ELF-nedladdare. Det här verktyget användes för att hämta GOHEAVY, ett Golang-baserat tunnelverktyg, från infrastruktur kopplad till SUPERSHELL – ett allmänt tillgängligt C2-ramverk.
Verktygssatsexpansion: GOREVERSE och nya attackvektorer
I gruppens verktygslåda ingår även GOREVERSE, ett Golang omvänt skal som kommunicerar via Secure Shell (SSH). Den franska nationella byrån för säkerhet av informationssystem (ANSSI) observerade nyligen liknande taktik som används vid attacker mot Ivanti Cloud Service Appliance (CSA) sårbarheter, inklusive CVE-2024-8963, CVE-2024-9380 och CVE-2024-8190.
Cross-Platform-hot: SNOWLIGHT och VShell Target macOS
Både SNOWLIGHT och VShell kan infektera Apple macOS-system. I oktober 2024 var VShell förklädd som en falsk Cloudflare-autentiseringsapp, vilket tyder på en bredare och mer flexibel attackinfrastruktur. Denna plattformsoberoende förmåga ökar det övergripande hotet från UNC5174.
Osynliga ingångspunkter: Attackkedja och utplacering av nyttolast
I en attack som observerades i januari 2025 användes SNOWLIGHT som en droppare för att leverera VShell, en fillös RAT i minnet. Den initiala åtkomstmetoden förblir okänd, men väl inne i systemet används ett skadligt skript (download_backd.sh) för att distribuera två nyckelbinärer: dnsloger (SNOWLIGHT) och system_worker (Sliver). Dessa verktyg hjälper till att etablera uthållighet och initiera kommunikation med en C2-server.
Stealth and Control: The Final Stage med VShell
Det sista steget av intrånget innebär att VShell laddas ner via en anpassad begäran till C2-servern. Som en trojan för fjärråtkomst ger VShell angripare möjligheten att utföra godtyckliga kommandon och överföra filer. Dess fillösa karaktär och användningen av WebSockets för C2-kommunikation gör det till ett särskilt smygande och farligt verktyg i angriparens arsenal.
Slutsats: Ett sofistikerat och undvikande hot
UNC5174 fortsätter att utgöra en betydande risk med sin kombination av verktyg med öppen källkod, sofistikerade leveransmetoder och smygande nyttolaster som SNOWLIGHT och VShell. Deras förmåga att förbli oupptäckt samtidigt som de utnyttjar offentliga verktyg och utnyttjar plattformsoberoende sårbarheter understryker behovet av ökad vaksamhet och uppdaterade defensiva strategier.
