มัลแวร์ SNOWLIGHT

ผู้ก่ออาชญากรรมไซเบอร์ที่มีความเชื่อมโยงกับจีนอย่าง UNC5174 หรือที่รู้จักกันในชื่อ Uteus (หรือ Uetus) ได้เปิดตัวแคมเปญไซเบอร์ใหม่ที่เกี่ยวข้องกับมัลแวร์ SNOWLIGHT เวอร์ชันดัดแปลงและโทรจัน Remote Access (RAT) โอเพนซอร์สตัวใหม่ชื่อ VShell ปฏิบัติการนี้กำหนดเป้าหมายไปที่ระบบ Linux และใช้เทคนิคขั้นสูงในการหลบเลี่ยงการตรวจจับและการระบุแหล่งที่มา

การผสมผสาน: เครื่องมือโอเพ่นซอร์สเป็นเครื่องปกปิด

ผู้ก่อภัยคุกคามหันมาใช้เครื่องมือโอเพ่นซอร์สมากขึ้นเพื่อลดต้นทุนและปกปิดกิจกรรมของพวกเขา ในกรณีนี้ UNC5174 ใช้เครื่องมือดังกล่าวเพื่อเลียนแบบแฮกเกอร์ระดับล่างที่ไม่ได้รับการสนับสนุนจากรัฐ ทำให้ผู้ป้องกันติดตามแคมเปญกลับไปยังรัฐชาติได้ยากขึ้น กลวิธีนี้ทำให้ UNC5174 สามารถดำเนินการอย่างลับๆ ได้ตั้งแต่ครั้งสุดท้ายที่ทราบความเกี่ยวข้องกับปฏิบัติการที่เกี่ยวข้องกับรัฐบาลจีนเมื่อกว่าหนึ่งปีก่อน

คลังอาวุธที่คุ้นเคย: SNOWLIGHT และบทบาทของมัน

ก่อนหน้านี้ UNC5174 ได้ใช้ประโยชน์จากช่องโหว่ใน Connectwise ScreenConnect และซอฟต์แวร์ F5 BIG-IP เพื่อติดตั้ง SNOWLIGHT ซึ่งเป็นโปรแกรมดาวน์โหลด ELF ที่ใช้ C เครื่องมือนี้ใช้ในการดึง GOHEAVY ซึ่งเป็นเครื่องมือสร้างอุโมงค์ที่ใช้ Golang จากโครงสร้างพื้นฐานที่เชื่อมโยงกับ SUPERSHELL ซึ่งเป็นกรอบงาน C2 ที่เปิดให้ใช้งานสาธารณะ

การขยายชุดเครื่องมือ: GOREVERSE และเวกเตอร์การโจมตีใหม่

ชุดเครื่องมือของกลุ่มยังรวมถึง GOREVERSE ซึ่งเป็นเชลล์รีเวิร์ส ของ Golang ที่สื่อสารผ่าน Secure Shell (SSH) สำนักงานความปลอดภัยระบบสารสนเทศแห่งชาติของฝรั่งเศส (ANSSI) ได้สังเกตเห็นกลวิธีที่คล้ายคลึงกันที่ใช้ในการโจมตีช่องโหว่ Ivanti Cloud Service Appliance (CSA) เมื่อไม่นานมานี้ รวมถึง CVE-2024-8963, CVE-2024-9380 และ CVE-2024-8190

ภัยคุกคามข้ามแพลตฟอร์ม: SNOWLIGHT และ VShell กำหนดเป้าหมาย macOS

ทั้ง SNOWLIGHT และ VShell สามารถแพร่ระบาดไปยังระบบ macOS ของ Apple ได้ ในเดือนตุลาคม 2024 VShell ถูกปลอมแปลงเป็นแอปตรวจสอบความถูกต้องของ Cloudflare ปลอม ซึ่งบ่งชี้ถึงโครงสร้างพื้นฐานการโจมตีที่กว้างขึ้นและยืดหยุ่นมากขึ้น ความสามารถข้ามแพลตฟอร์มนี้เพิ่มภัยคุกคามโดยรวมที่เกิดจาก UNC5174

จุดเข้าที่มองไม่เห็น: ห่วงโซ่การโจมตีและการปรับใช้เพย์โหลด

ในการโจมตีที่สังเกตได้ในเดือนมกราคม 2025 SNOWLIGHT ถูกใช้เป็นดรอปเปอร์เพื่อส่งมอบ VShell ซึ่งเป็น RAT ในหน่วยความจำแบบไม่มีไฟล์ วิธีการเข้าถึงเริ่มต้นยังไม่เป็นที่ทราบแน่ชัด แต่เมื่อเข้าไปในระบบแล้ว สคริปต์ที่เป็นอันตราย (download_backd.sh) จะถูกใช้เพื่อปรับใช้ไบนารีคีย์สองชุด: dnsloger (SNOWLIGHT) และ system_worker (Sliver) เครื่องมือเหล่านี้ช่วยสร้างการคงอยู่และเริ่มการสื่อสารกับเซิร์ฟเวอร์ C2

การซ่อนตัวและการควบคุม: ขั้นตอนสุดท้ายด้วย VShell

ขั้นตอนสุดท้ายของการบุกรุกเกี่ยวข้องกับการดาวน์โหลด VShell ผ่านคำขอที่กำหนดเองไปยังเซิร์ฟเวอร์ C2 ในฐานะโทรจันการเข้าถึงระยะไกล VShell อนุญาตให้ผู้โจมตีสามารถดำเนินการคำสั่งตามอำเภอใจและถ่ายโอนไฟล์ ลักษณะที่ไม่มีไฟล์และการใช้ WebSockets สำหรับการสื่อสาร C2 ทำให้เป็นเครื่องมือที่ซ่อนเร้นและอันตรายอย่างยิ่งในคลังอาวุธของผู้โจมตี

บทสรุป: ภัยคุกคามที่ซับซ้อนและหลบเลี่ยง

UNC5174 ยังคงก่อให้เกิดความเสี่ยงอย่างมากด้วยการผสมผสานระหว่างเครื่องมือโอเพ่นซอร์ส วิธีการส่งมอบที่ซับซ้อน และเพย์โหลดที่ซ่อนเร้น เช่น SNOWLIGHT และ VShell ความสามารถในการไม่ถูกตรวจจับในขณะที่ใช้เครื่องมือสาธารณะและใช้ประโยชน์จากช่องโหว่ข้ามแพลตฟอร์ม เน้นย้ำถึงความจำเป็นในการเฝ้าระวังที่เพิ่มมากขึ้นและกลยุทธ์การป้องกันที่อัปเดต