Шкідливе програмне забезпечення SNOWLIGHT
Пов’язаний з Китаєм загрозливий актор UNC5174, також відомий як Uteus (або Uetus), запустив нову кіберкампанію за участю модифікованої версії шкідливого ПЗ SNOWLIGHT і нового трояна віддаленого доступу (RAT) з відкритим кодом під назвою VShell. Ця операція націлена на системи Linux і використовує передові методи для уникнення виявлення та атрибуції.
Зміст
Blending In: інструменти з відкритим вихідним кодом як обкладинка
Зловмисники все більше покладаються на інструменти з відкритим кодом, щоб зменшити витрати та приховати свою діяльність. У цьому випадку UNC5174 використовує такі інструменти, щоб нагадувати хакерів низького рівня, які не спонсоруються державою, що ускладнює для захисників відстеження кампанії до національної держави. Ця тактика дозволила UNC5174 діяти непомітно з моменту його останнього відомого зв’язку з операціями, пов’язаними з китайським урядом, понад рік тому.
Знайомий арсенал: SNOWLIGHT і його роль
Раніше UNC5174 використовував уразливості в Connectwise ScreenConnect і програмному забезпеченні F5 BIG-IP для розгортання SNOWLIGHT, завантажувача ELF на основі C. Цей інструмент використовувався для отримання GOHEAVY, інструменту тунелювання на основі Golang, з інфраструктури, пов’язаної з SUPERSHELL — загальнодоступним фреймворком C2.
Розширення набору інструментів: GOREVERSE та нові вектори атак
Набір інструментів групи також включає GOREVERSE, зворотну оболонку Golang , яка спілкується через Secure Shell (SSH). Французьке національне агентство з безпеки інформаційних систем (ANSSI) нещодавно помітило подібну тактику, використану в атаках на вразливості Ivanti Cloud Service Appliance (CSA), включаючи CVE-2024-8963, CVE-2024-9380 і CVE-2024-8190.
Міжплатформні загрози: SNOWLIGHT і VShell Target macOS
І SNOWLIGHT, і VShell здатні заражати системи Apple macOS. У жовтні 2024 року VShell був замаскований під підроблений додаток-автентифікатор Cloudflare, що передбачає ширшу та гнучкішу інфраструктуру атак. Ця крос-платформна можливість збільшує загальну загрозу, яку створює UNC5174.
Невидимі точки входу: ланцюг атак і розгортання корисного навантаження
Під час атаки, яка спостерігалася в січні 2025 року, SNOWLIGHT використовувався як дроппер для доставки VShell, безфайлового RAT у пам’яті. Спосіб початкового доступу залишається невідомим, але, потрапляючи в систему, шкідливий сценарій (download_backd.sh) використовується для розгортання двох ключових бінарних файлів: dnsloger (SNOWLIGHT) і system_worker (Sliver). Ці інструменти допомагають встановити постійність і ініціювати зв’язок із сервером C2.
Стелс і контроль: останній етап із VShell
Останнім етапом вторгнення є завантаження VShell через спеціальний запит на сервер C2. Будучи трояном для віддаленого доступу, VShell надає зловмисникам можливість виконувати довільні команди та передавати файли. Його безфайлова природа та використання WebSockets для зв’язку C2 роблять його особливо прихованим і небезпечним інструментом в арсеналі зловмисників.
Висновок: витончена загроза, яка може уникати
UNC5174 продовжує становити значний ризик через поєднання інструментів з відкритим кодом, складних методів доставки та прихованих корисних навантажень, таких як SNOWLIGHT і VShell. Їх здатність залишатися непоміченими, використовуючи загальнодоступні інструменти та вразливі місця між платформами, підкреслює потребу в підвищеній пильності та оновлених захисних стратегіях.
