SNOWLIGHT Kötü Amaçlı Yazılım
Çin bağlantılı tehdit aktörü UNC5174, Uteus (veya Uetus) olarak da bilinir, SNOWLIGHT kötü amaçlı yazılımının değiştirilmiş bir sürümünü ve VShell adlı yeni bir açık kaynaklı Uzaktan Erişim Truva Atı'nı (RAT) içeren yeni bir siber kampanya başlattı. Bu operasyon Linux sistemlerini hedef alıyor ve tespit ve atıflardan kaçınmak için gelişmiş teknikler kullanıyor.
İçindekiler
Karışma: Bir Örtü Olarak Açık Kaynaklı Araçlar
Tehdit aktörleri, maliyetleri düşürmek ve faaliyetlerini gizlemek için giderek daha fazla açık kaynaklı araçlara güveniyor. Bu durumda, UNC5174 bu tür araçları düşük seviyeli, devlet destekli olmayan bilgisayar korsanlarına benzemek için kullanıyor ve bu da savunucuların kampanyayı bir ulus devlete kadar izlemesini zorlaştırıyor. Bu taktik, UNC5174'ün bir yıldan uzun bir süre önce Çin hükümetiyle bağlantılı operasyonlarla bilinen son ilişkisinden bu yana gizlice faaliyet göstermesine olanak sağladı.
Tanıdık Bir Cephanelik: SNOWLIGHT ve Rolü
Daha önce, UNC5174, C tabanlı bir ELF indiricisi olan SNOWLIGHT'ı dağıtmak için Connectwise ScreenConnect ve F5 BIG-IP yazılımındaki güvenlik açıklarından yararlandı. Bu araç, SUPERSHELL'e (genel kullanıma açık bir C2 çerçevesi) bağlı altyapıdan Golang tabanlı bir tünelleme aracı olan GOHEAVY'yi almak için kullanıldı.
Araç Seti Genişlemesi: GOREVERSE ve Yeni Saldırı Vektörleri
Grubun araç takımı ayrıca Güvenli Kabuk (SSH) üzerinden iletişim kuran bir Golang ters kabuğu olan GOREVERSE'yi de içerir. Fransız Ulusal Bilgi Sistemleri Güvenliği Ajansı (ANSSI) yakın zamanda Ivanti Cloud Service Appliance (CSA) güvenlik açıklarına yönelik saldırılarda kullanılan benzer taktikleri gözlemledi; bunlara CVE-2024-8963, CVE-2024-9380 ve CVE-2024-8190 dahildir.
Platformlar Arası Tehditler: SNOWLIGHT ve VShell macOS’u Hedefliyor
Hem SNOWLIGHT hem de VShell, Apple macOS sistemlerini enfekte edebilir. Ekim 2024'te VShell, daha geniş ve daha esnek bir saldırı altyapısı öneren sahte bir Cloudflare kimlik doğrulama uygulaması olarak gizlendi. Bu platformlar arası yetenek, UNC5174'ün oluşturduğu genel tehdidi artırır.
Görünmeyen Giriş Noktaları: Saldırı Zinciri ve Yük Dağıtımı
Ocak 2025'te gözlemlenen bir saldırıda, SNOWLIGHT, dosyasız bellek içi RAT olan VShell'i teslim etmek için bir dropper olarak kullanıldı. İlk erişim yöntemi bilinmiyor ancak sistemin içine girdikten sonra, kötü amaçlı bir betik (download_backd.sh) iki önemli ikili dosyayı dağıtmak için kullanılır: dnsloger (SNOWLIGHT) ve system_worker (Sliver). Bu araçlar kalıcılık oluşturmaya ve bir C2 sunucusuyla iletişimi başlatmaya yardımcı olur.
Gizlilik ve Kontrol: VShell ile Son Aşama
Saldırının son aşaması, VShell'in C2 sunucusuna özel bir istek yoluyla indirilmesini içerir. Uzaktan erişim Truva Atı olarak VShell, saldırganlara keyfi komutlar yürütme ve dosya aktarma yeteneği verir. Dosyasız yapısı ve C2 iletişimleri için WebSockets kullanımı, onu saldırganın cephaneliğinde özellikle gizli ve tehlikeli bir araç haline getirir.
Sonuç: Karmaşık ve Kaçamak Bir Tehdit
UNC5174, açık kaynaklı araçlar, gelişmiş teslimat yöntemleri ve SNOWLIGHT ve VShell gibi gizli yüklerin birleşimiyle önemli bir risk oluşturmaya devam ediyor. Genel araçları kullanırken ve platformlar arası güvenlik açıklarından yararlanırken tespit edilememe yetenekleri, daha fazla dikkat ve güncellenmiş savunma stratejilerine olan ihtiyacı vurguluyor.
