SNOWLIGHT恶意软件
与中国相关的威胁行为者 UNC5174(又名 Uteus 或 Uetus)发起了一场新的网络攻击活动,其中涉及 SNOWLIGHT 恶意软件的修改版本以及名为 VShell 的新型开源远程访问木马 (RAT)。此次攻击活动以 Linux 系统为目标,并采用先进的技术来规避检测和追踪。
目录
融入:开源工具作为掩护
威胁行为者越来越依赖开源工具来降低成本并掩盖其活动。在本例中,UNC5174 使用此类工具伪装成低级、非国家支持的黑客,使防御者更难追踪其活动是否来自某个民族国家。这种策略使得 UNC5174 自一年多前最后一次与中国政府相关行动的已知关联以来,一直保持着谨慎的运作。
熟悉的武器库:SNOWLIGHT 及其作用
此前,UNC5174 利用 Connectwise ScreenConnect 和 F5 BIG-IP 软件中的漏洞部署了基于 C 语言的 ELF 下载器 SNOWLIGHT。该工具被用来从链接到 SUPERSHELL(一个公开的 C2 框架)的基础设施中检索基于 Golang 的隧道工具 GOHEAVY。
工具集扩展:GOREVERSE 和新的攻击向量
该组织的工具包还包括 GOREVERSE,这是一个通过安全外壳 (SSH) 进行通信的Golang反向外壳。法国国家信息系统安全局 (ANSSI) 最近观察到针对 Ivanti 云服务设备 (CSA) 漏洞的攻击使用了类似的策略,包括 CVE-2024-8963、CVE-2024-9380 和 CVE-2024-8190。
跨平台威胁:SNOWLIGHT 和 VShell 瞄准 macOS
SNOWLIGHT 和 VShell 均能感染 Apple macOS 系统。2024 年 10 月,VShell 被伪装成一款伪造的 Cloudflare 身份验证器应用,这表明其攻击基础架构更为广泛且灵活。这种跨平台能力进一步增强了 UNC5174 的整体威胁。
看不见的入口点:攻击链和有效载荷部署
在 2025 年 1 月观察到的一次攻击中,SNOWLIGHT 被用作植入器来传播 VShell(一种无文件内存中远程控制木马)。初始访问方法尚不清楚,但一旦进入系统,恶意脚本 (download_backd.sh) 就会被用来部署两个关键二进制文件:dnsloger(SNOWLIGHT)和 system_worker(Sliver)。这些工具有助于建立持久性并发起与 C2 服务器的通信。
隐身与控制:VShell 的最后阶段
入侵的最后阶段是通过自定义请求将 VShell 下载到 C2 服务器。作为远程访问木马,VShell 赋予攻击者执行任意命令和传输文件的能力。其无文件特性以及使用 WebSocket 进行 C2 通信的特性使其成为攻击者武器库中一种极其隐蔽且危险的工具。
结论:一种复杂且具有规避性的威胁
UNC5174 持续构成重大风险,其结合了开源工具、复杂的投递方法以及 SNOWLIGHT 和 VShell 等隐蔽载荷。它们能够利用公共工具并利用跨平台漏洞,同时保持隐蔽性,这凸显了提高警惕和更新防御策略的必要性。
