UNC5174 implementerer SNOWLIGHT-malware i Linux- og macOS-angreb

En trusselgruppe menes at have bånd til Kinas statsstøttede cyberoperationer, identificeret som UNC5174, har lanceret en snigende og teknisk avanceret cyberkampagne rettet mod Linux og MacOS miljøer.

Ifølge ny forskning udgivet af Sysdig, gruppen bruger en revideret form af SNOWLIGHT malware i kombination med et open source fjernadgangsværktøj ved navn VShell.

Open Source-våben i moderne spionage

Sikkerhedsanalytikere hos Sysdig bemærkede, at UNC5174 strategisk implementerer open source-værktøjer for at skjule sine operationer og reducere driftsomkostninger. Ved at efterligne adfærden hos uafhængige hackere eller cyberkriminelle på lavere niveau, gruppen øger vanskeligheden ved at tildele direkte tilskrivning.

Denne tilgang giver dem mulighed for at operere inden for en bredere, mere støjende økosystem, gør dem sværere at identificere og spore. Rapporten påpeger også, at UNC5174 ikke havde været offentligt aktiv i over et år, før denne kampagne genopstod.

Attack Flow og Malware-implementering

Kampagnen begynder med udførelsen af et script kaldet download_backd.sh. Dette script installerer to nøglekomponenter: den ene er forbundet med en modificeret SNOLYS-variant (dnsloger), og den anden er relateret til Sliver post-udnyttelsesværktøjssættet (systemarbejder). Disse elementer danner grundlaget for vedvarende adgang og kommunikation med en fjernbetjeningsserver.

SNOWLIGHT starter derefter leveringen af VShell, en trojaner med hukommelse, ved at anmode om det fra angriberens infrastruktur. Nyttelasten skrives aldrig til disken, gør det muligt at omgå mange traditionelle detektionsmekanismer. Når aktiv, VShell giver angribere mulighed for at køre systemkommandoer, overføre filer, og opretholde langsigtet adgang gennem hemmelige kommunikationskanaler såsom WebSockets.

Trussel på tværs af platforme: macOS også målrettet

Selvom operationen primært er rettet mod Linux-miljøer, beviser tyder på, at malware-pakken også er det i stand til at kompromittere macOS-systemer. Med andre ord, dette ser ud til at være en malware på tværs af platforme operation.

Et eksempel inkluderer en version af VShell, der var forklædt som en Cloudflare-mærket autentificeringsapplikation. Denne ondsindede build blev uploadet til VirusTotal fra Kina sent 2024, angiver kampagnens bredere målretningsstrategi og sociale ingeniørkomponenter.

UNC5174, også omtalt i nogle rapporter som Uteus eller Uetus, har en historie om udnytter udbredte softwaresårbarheder. Tidligere kampagner dokumenteret af Mandiant, et Google-ejet cybersikkerhedsfirma, involveret målretningsfejl i Connectwise ScreenConnect og F5 BIG-IP. Disse operationer brugte også SNOWLIGHT til at hente yderligere malware såsom GOHEAVY, et Golang-baseret tunnelværktøj, og GOREVERSE, et SSH-baseret reverse shell-værktøj.

Frankrigs nationale cybersikkerhedsagentur ANSSI har fremhævet et lignende mønster i ikke-relaterede angreb, der udnytter sårbarheder i Ivantis Cloud Service Appliance. Sårbarheder som f.eks CVE-2024-8963, CVE-2024-9380, og CVE-2024-8190 blev angiveligt brugt i forbindelse med indtrængningstaktikker, der kan sammenlignes med dem, der ses i UNC5174-operationer. ANSSI bemærkede også den hyppige brug af offentligt tilgængelige hackingværktøjer, inklusive rootkits, som et nøgletræk ved disse kampagner.

Flere aktiviteter af kinesiske hackere opdaget i naturen

Team T5, en Taiwan-baseret cybersikkerhedsforskningsvirksomhed, uafhængigt afsløret aktivitet, der ligner UNC5174's metoder. Ifølge deres resultater, angribere udnyttede Ivanti-sårbarheder at distribuere en ny stamme af malware kaldet SPAWNCHIMERA. Disse hændelser påvirkede mål på tværs af næsten 20 lande, inklusive USA, Storbritannien, Japan, Singapore, og Holland, fremhæve det brede internationale fodaftryk af disse cyberoperationer.

Denne kampagne finder sted, mens spændingen mellem Kina og USA fortsætter med at udfolde sig. I februar 2025, Kinesiske myndigheder anklagede USA. National Security Agency (NSA) om at udføre massecyberindtrængen under de asiatiske vinterlege. Ifølge Kinas Nationale Computer Virus Emergency Response Center (CVERC), løbet 170,000 angreb blev tilskrevet USA. i løbet af et 20-dages vindue, med yderligere indtrængen sporet til andre nationer inklusive Tyskland, Syd Korea, og Singapore.

Kinesiske embedsmænd udtrykte kraftig fordømmelse, hævder, at angrebene truede vigtige infrastruktursektorer såsom finans, forsvar, og offentlig kommunikation. Udenrigsministeriet advarede om, at indtrængen også risikerede at kompromittere kinesiske borgeres personlige data og de nationale systemers integritet.

afgørende Tanker

Sysdigs forskere understreger, at denne sag understreger, hvordan avancerede trusselsaktører i stigende grad udnytter open source-værktøjer til at maskere deres tilhørsforhold. Værktøjer som VShell og SNOWLIGHT er frit tilgængelige og udbredte, gør det muligt for angribere at udføre sofistikerede kampagner under dække af almindelig cyberkriminel aktivitet. Resultatet er en meget undvigende trussel, der blander stealth, fleksibilitet, og plausibel benægtelse.