SNOWLIGHT惡意軟體
與中國有關的威脅行為者 UNC5174(也稱為 Uteus)發起了一場新的網路攻擊活動,涉及 SNOWLIGHT 惡意軟體的修改版本和名為 VShell 的新型開源遠端存取木馬 (RAT)。此操作針對 Linux 系統並採用先進技術來逃避偵測和歸因。
目錄
融入:開源工具作為掩護
威脅行為者越來越依賴開源工具來降低成本並掩蓋他們的活動。在這種情況下,UNC5174 使用此類工具來模仿低階、非國家支持的駭客,使得防禦者更難以將該活動追溯到民族國家。這種策略使得 UNC5174 自從一年多前最後一次與中國政府相關行動有聯繫以來,能夠秘密運作。
熟悉的武器庫:SNOWLIGHT 及其作用
先前,UNC5174 利用 Connectwise ScreenConnect 和 F5 BIG-IP 軟體中的漏洞部署了基於 C 語言的 ELF 下載器 SNOWLIGHT。該工具用於從連結到 SUPERSHELL(一個公開可用的 C2 框架)的基礎設施中檢索基於 Golang 的隧道工具 GOHEAVY。
工具集擴展:GOREVERSE 和新的攻擊向量
該組織的工具包還包括 GOREVERSE,這是一個透過安全外殼 (SSH) 進行通訊的Golang反向外殼。法國國家資訊系統安全局 (ANSSI) 最近觀察到針對 Ivanti 雲端服務設備 (CSA) 漏洞的攻擊使用了類似的策略,包括 CVE-2024-8963、CVE-2024-9380 和 CVE-2024-8190。
跨平台威脅:SNOWLIGHT 和 VShell 瞄準 macOS
SNOWLIGHT 和 VShell 都能夠感染 Apple macOS 系統。 2024 年 10 月,VShell 被偽裝成一個假的 Cloudflare 身份驗證器應用程序,這表明攻擊基礎設施更廣泛、更靈活。這種跨平台能力增加了 UNC5174 帶來的整體威脅。
看不見的入口點:攻擊鍊和有效載荷部署
在 2025 年 1 月觀察到的一次攻擊中,SNOWLIGHT 被用作投放器來傳播無檔案記憶體 RAT VShell。初始存取方法仍然未知,但一旦進入系統,惡意腳本(download_backd.sh)就會用於部署兩個關鍵二進位檔案:dnsloger(SNOWLIGHT)和system_worker(Sliver)。這些工具有助於建立持久性並啟動與 C2 伺服器的通訊。
隱身與控制:VShell 的最後階段
入侵的最後階段涉及透過自訂請求將 VShell 下載到 C2 伺服器。作為一種遠端存取木馬,VShell 賦予攻擊者執行任意命令和傳輸檔案的能力。它的無文件特性以及使用 WebSockets 進行 C2 通訊的特性使其成為攻擊者武器庫中特別隱蔽和危險的工具。
結論:一種複雜且具有規避性的威脅
UNC5174 結合了開源工具、複雜的交付方法以及 SNOWLIGHT 和 VShell 等隱蔽有效載荷,繼續構成重大風險。他們能夠在利用公共工具和跨平台漏洞的同時保持不被發現,這凸顯了提高警覺和更新防禦策略的必要性。
