SNOWLIGHT Malware
Ang aktor ng pagbabanta na nauugnay sa China na UNC5174, na kilala rin bilang Uteus (o Uetus), ay naglunsad ng bagong cyber campaign na kinasasangkutan ng binagong bersyon ng SNOWLIGHT malware at isang bagong open-source na Remote Access Trojan (RAT) na pinangalanang VShell. Tina-target ng operasyong ito ang mga system ng Linux at gumagamit ng mga advanced na diskarte upang maiwasan ang pagtuklas at pagpapatungkol.
Talaan ng mga Nilalaman
Blending In: Open Source Tools bilang Cover
Ang mga aktor ng pagbabanta ay lalong umaasa sa mga open-source na tool upang mabawasan ang mga gastos at itago ang kanilang mga aktibidad. Sa kasong ito, ang UNC5174 ay gumagamit ng mga naturang tool upang maging katulad ng mga hacker na mababa ang antas, hindi inisponsor ng estado, na ginagawang mas mahirap para sa mga tagapagtanggol na subaybayan ang kampanya pabalik sa isang bansang estado. Ang taktika na ito ay nagbigay-daan sa UNC5174 na gumana nang maingat mula noong huli nitong kilalang pagkakaugnay sa mga operasyong nauugnay sa gobyerno ng China sa nakalipas na isang taon.
Isang Pamilyar na Arsenal: SNOWLIGHT at ang Papel Nito
Dati, pinagsamantalahan ng UNC5174 ang mga kahinaan sa Connectwise ScreenConnect at ang F5 BIG-IP software para i-deploy ang SNOWLIGHT, isang C-based na ELF downloader. Ginamit ang tool na ito para kunin ang GOHEAVY, isang Golang-based na tunneling tool, mula sa imprastraktura na naka-link sa SUPERSHELL—isang C2 framework na available sa publiko.
Pagpapalawak ng Toolset: GOREVERSE at Bagong Attack Vectors
Kasama rin sa toolkit ng grupo ang GOREVERSE, isang Golang reverse shell na nakikipag-ugnayan sa pamamagitan ng Secure Shell (SSH). Naobserbahan kamakailan ng French National Agency for the Security of Information Systems (ANSSI) ang mga katulad na taktika na ginagamit sa mga pag-atake sa mga kahinaan ng Ivanti Cloud Service Appliance (CSA), kabilang ang CVE-2024-8963, CVE-2024-9380, at CVE-2024-8190.
Mga Cross-Platform na Banta: SNOWLIGHT at VShell Target macOS
Parehong SNOWLIGHT at VShell ay may kakayahang makahawa sa mga Apple macOS system. Noong Oktubre 2024, itinago ang VShell bilang isang pekeng Cloudflare authenticator app, na nagmumungkahi ng mas malawak at mas nababagong imprastraktura ng pag-atake. Ang cross-platform na kakayahan na ito ay nagpapataas sa pangkalahatang banta na dulot ng UNC5174.
Mga Unseen Entry Points: Attack Chain at Payload Deployment
Sa isang pag-atake na naobserbahan noong Enero 2025, ginamit ang SNOWLIGHT bilang dropper para ihatid ang VShell, isang walang file na in-memory na RAT. Ang paunang paraan ng pag-access ay nananatiling hindi alam, ngunit sa sandaling nasa loob na ng system, isang malisyosong script (download_backd.sh) ang ginagamit upang mag-deploy ng dalawang pangunahing binary: dnsloger (SNOWLIGHT) at system_worker (Sliver). Nakakatulong ang mga tool na ito na magtatag ng pagpupursige at simulan ang komunikasyon sa isang C2 server.
Stealth and Control: Ang Huling Yugto kasama ang Vshell
Ang huling yugto ng panghihimasok ay nagsasangkot ng pag-download ng VShell sa pamamagitan ng isang pasadyang kahilingan sa C2 server. Bilang isang remote access Trojan, binibigyan ng VShell ang mga umaatake ng kakayahang magsagawa ng mga di-makatwirang utos at maglipat ng mga file. Ang pagiging walang file nito at paggamit ng WebSockets para sa mga komunikasyon sa C2 ay ginagawa itong isang partikular na palihim at mapanganib na tool sa arsenal ng umaatake.
Konklusyon: Isang Sopistikado at Umiiwas na Banta
Ang UNC5174 ay patuloy na nagdudulot ng malaking panganib sa kumbinasyon nito ng mga open-source na tool, sopistikadong paraan ng paghahatid, at palihim na mga payload tulad ng SNOWLIGHT at VShell. Ang kanilang kakayahang manatiling hindi natukoy habang ginagamit ang mga pampublikong tool at sinasamantala ang mga kahinaan sa cross-platform ay binibigyang-diin ang pangangailangan para sa mas mataas na pagbabantay at na-update na mga diskarte sa pagtatanggol.
