Phần mềm độc hại SNOWLIGHT
Tác nhân đe dọa có liên quan đến Trung Quốc UNC5174, còn được gọi là Uteus (hoặc Uetus), đã phát động một chiến dịch mạng mới liên quan đến phiên bản sửa đổi của phần mềm độc hại SNOWLIGHT và Trojan truy cập từ xa (RAT) nguồn mở mới có tên là VShell. Hoạt động này nhắm vào các hệ thống Linux và sử dụng các kỹ thuật tiên tiến để tránh bị phát hiện và quy kết.
Mục lục
Pha trộn: Công cụ nguồn mở như một vỏ bọc
Các tác nhân đe dọa ngày càng dựa vào các công cụ nguồn mở để giảm chi phí và che giấu hoạt động của chúng. Trong trường hợp này, UNC5174 đang sử dụng các công cụ như vậy để giống với tin tặc cấp thấp, không được nhà nước tài trợ, khiến những người bảo vệ khó có thể truy tìm chiến dịch trở lại một quốc gia-nhà nước. Chiến thuật này đã cho phép UNC5174 hoạt động một cách kín đáo kể từ lần liên kết cuối cùng được biết đến với các hoạt động liên quan đến chính phủ Trung Quốc cách đây hơn một năm.
Một kho vũ khí quen thuộc: SNOWLIGHT và vai trò của nó
Trước đây, UNC5174 đã khai thác lỗ hổng trong Connectwise ScreenConnect và phần mềm F5 BIG-IP để triển khai SNOWLIGHT, một trình tải xuống ELF dựa trên C. Công cụ này được sử dụng để truy xuất GOHEAVY, một công cụ đường hầm dựa trên Golang, từ cơ sở hạ tầng được liên kết với SUPERSHELL—một khuôn khổ C2 có sẵn công khai.
Mở rộng bộ công cụ: GOREVERSE và các vectơ tấn công mới
Bộ công cụ của nhóm cũng bao gồm GOREVERSE, một Golang reverse shell giao tiếp qua Secure Shell (SSH). Cơ quan quốc gia về an ninh hệ thống thông tin của Pháp (ANSSI) gần đây đã quan sát thấy các chiến thuật tương tự được sử dụng trong các cuộc tấn công vào lỗ hổng của Ivanti Cloud Service Appliance (CSA), bao gồm CVE-2024-8963, CVE-2024-9380 và CVE-2024-8190.
Mối đe dọa đa nền tảng: SNOWLIGHT và VShell nhắm vào macOS
Cả SNOWLIGHT và VShell đều có khả năng lây nhiễm hệ thống Apple macOS. Vào tháng 10 năm 2024, VShell đã được ngụy trang thành ứng dụng xác thực Cloudflare giả mạo, cho thấy cơ sở hạ tầng tấn công rộng hơn và linh hoạt hơn. Khả năng đa nền tảng này làm tăng mối đe dọa chung do UNC5174 gây ra.
Điểm vào vô hình: Chuỗi tấn công và triển khai tải trọng
Trong một cuộc tấn công được quan sát vào tháng 1 năm 2025, SNOWLIGHT đã được sử dụng như một dropper để phân phối VShell, một RAT trong bộ nhớ không có tệp. Phương pháp truy cập ban đầu vẫn chưa được biết, nhưng một khi đã vào bên trong hệ thống, một tập lệnh độc hại (download_backd.sh) được sử dụng để triển khai hai tệp nhị phân chính: dnsloger (SNOWLIGHT) và system_worker (Sliver). Các công cụ này giúp thiết lập tính bền bỉ và bắt đầu giao tiếp với máy chủ C2.
Tàng hình và Kiểm soát: Giai đoạn cuối cùng với VShell
Giai đoạn cuối cùng của quá trình xâm nhập liên quan đến việc VShell được tải xuống thông qua một yêu cầu tùy chỉnh đến máy chủ C2. Là một Trojan truy cập từ xa, VShell cấp cho kẻ tấn công khả năng thực thi các lệnh tùy ý và chuyển tệp. Bản chất không có tệp và việc sử dụng WebSockets cho giao tiếp C2 khiến nó trở thành một công cụ đặc biệt bí mật và nguy hiểm trong kho vũ khí của kẻ tấn công.
Kết luận: Một mối đe dọa tinh vi và khó lường
UNC5174 tiếp tục gây ra rủi ro đáng kể với sự kết hợp của các công cụ nguồn mở, phương pháp phân phối tinh vi và các tải trọng ẩn như SNOWLIGHT và VShell. Khả năng không bị phát hiện trong khi tận dụng các công cụ công khai và khai thác các lỗ hổng đa nền tảng của chúng nhấn mạnh nhu cầu cảnh giác cao hơn và các chiến lược phòng thủ được cập nhật.
