Eine Bedrohungsgruppe, die vermutlich Verbindungen zu Chinas staatlich geförderten Cyber-Operationen hat, erkannt als UNC5174, hat eine heimliche und technisch fortschrittliche Cyber-Kampagne gestartet, die darauf abzielt, Linux und Mac OS Umgebungen.
Laut neuer Forschung veröffentlicht von Sysdig, Die Gruppe verwendet eine überarbeitete Form der SNOWLIGHT-Malware in Kombination mit einem Open-Source-Remote-Access-Tool namens VShell.
Open-Source-Waffen in der modernen Spionage
Sicherheitsanalysten bei Sysdig stellten fest, dass UNC5174 Open-Source-Dienstprogramme strategisch einsetzt, um seine Operationen zu verbergen und den Betriebsaufwand zu reduzieren. Durch Nachahmung des Verhaltens unabhängiger Hacker oder Cyberkrimineller niedrigerer Ebene, Die Gruppe erhöht die Schwierigkeit der direkten Zuordnung.
Dieser Ansatz ermöglicht es ihnen, in einem breiteren, lauteres Ökosystem, wodurch sie schwieriger zu identifizieren und zu verfolgen sind. Der Bericht weist auch darauf hin, dass UNC5174 über ein Jahr lang nicht öffentlich aktiv war, bevor diese Kampagne wieder auftauchte..
Angriffsverlauf und Malware-Bereitstellung
Die Kampagne beginnt mit der Ausführung eines Skripts, das als download_backd.sh. Dieses Skript installiert zwei Schlüsselkomponenten: einer davon ist mit einer modifizierten SNOWLIGHT-Variante verbunden (DNS-Logger), und die andere bezieht sich auf das Sliver Post-Exploitation-Toolkit (system_worker). Diese Elemente bilden die Grundlage für dauerhaften Zugriff und Kommunikation mit einem Remote-Control-Server.
SNOWLIGHT initiiert dann die Bereitstellung von VShell, ein speicherresidenter Trojaner, indem es von der Infrastruktur des Angreifers angefordert wird. Die Nutzlast wird nie auf die Festplatte geschrieben, Dadurch werden viele herkömmliche Erkennungsmechanismen umgangen. Sobald aktiv, VShell ermöglicht Angreifern das Ausführen von Systembefehlen, Dateien übertragen, und den langfristigen Zugriff über verdeckte Kommunikationskanäle wie WebSockets aufrechterhalten.
Plattformübergreifende Bedrohung: Auch macOS im Visier
Obwohl die Operation in erster Linie auf Linux-Umgebungen abzielt, Beweise deuten darauf hin, dass die Malware-Suite auch in der Lage, macOS-Systeme zu kompromittieren. Mit anderen Worten, Dies scheint ein plattformübergreifende Malware Betrieb.
Ein Beispiel hierfür ist eine Version von VShell, die als Authentifizierungsanwendung der Marke Cloudflare getarnt war.. Dieser bösartige Build wurde Ende 2014 aus China auf VirusTotal hochgeladen. 2024, Hinweise auf die umfassendere Targeting-Strategie und Social-Engineering-Komponenten der Kampagne.
UNC5174, in einigen Berichten auch als Uteus oder Uetus bezeichnet, hat eine Geschichte von Ausnutzung weit verbreiteter Software-Schwachstellen. Von Mandiant dokumentierte vergangene Kampagnen, ein Google-eigenes Cybersicherheitsunternehmen, Betraf Schwachstellen in Connectwise ScreenConnect und F5 BIG-IP. Diese Operationen nutzten auch SNOWLIGHT, um zusätzliche Malware wie GOHEAVY abzurufen, ein auf Golang basierendes Tunneling-Tool, und GOREVERSE, ein SSH-basiertes Reverse-Shell-Dienstprogramm.
Die französische nationale Cybersicherheitsbehörde ANSSI hat ein ähnliches Muster bei unabhängigen Angriffen festgestellt, bei denen Schwachstellen in Ivantis Cloud Service Appliance ausgenutzt werden.. Schwachstellen wie CVE-2024-8963, CVE-2024-9380, und CVE-2024-8190 wurden Berichten zufolge in Verbindung mit Einbruchstaktiken eingesetzt, die mit denen bei UNC5174-Operationen vergleichbar sind. ANSSI stellte auch die häufige Verwendung öffentlich verfügbarer Hacking-Tools fest, einschließlich Rootkits, als Schlüsselmerkmal dieser Kampagnen.
Weitere Aktivitäten chinesischer Hacker in freier Wildbahn entdeckt
TeamT5, ein in Taiwan ansässiges Cybersicherheitsforschungsunternehmen, unabhängig offengelegte Aktivitäten, die den Methoden von UNC5174 ähneln. Nach ihren Erkenntnissen, Angreifer ausgenutzte Ivanti-Schwachstellen zur Verbreitung einer neuen Art von Schadsoftware namens SPAWNCHIMERA. Diese Vorfälle betrafen Ziele in fast 20 Ländern, einschließlich der USA, Vereinigtes Königreich, Japan, Singapur, und die Niederlande, Hervorhebung der breiten internationalen Reichweite dieser Cyber-Operationen.
Diese Kampagne findet statt, während sich die Spannungen zwischen China und den Vereinigten Staaten weiter entwickeln. Im Februar 2025, Die chinesischen Behörden beschuldigten die USA. National Security Agency (NSA) der Durchführung von Massen-Cyberangriffen während der Asiatischen Winterspiele. Laut Chinas National Computer Virus Emergency Response Center (CVERC), über 170,000 Angriffe wurden den USA zugeschrieben. innerhalb eines 20-tägigen Zeitfensters, mit weiteren Einfällen, die auf andere Nationen, darunter Deutschland, zurückgeführt werden, Südkorea, und Singapur.
Chinesische Beamte verurteilten die, behauptet, die Angriffe gefährdeten wichtige Infrastruktursektoren wie das Finanzwesen, Verteidigung, und öffentliche Kommunikation. Das Außenministerium warnte, dass die Einbrüche auch die persönlichen Daten chinesischer Bürger und die Integrität nationaler Systeme gefährden könnten..
schlüssige Gedanken
Die Forscher von Sysdig betonen, dass dieser Fall unterstreicht, wie fortschrittliche Bedrohungsakteure zunehmend Open-Source-Tools ausnutzen, um ihre Zugehörigkeit zu verschleiern. Tools wie VShell und SNOWLIGHT sind kostenlos verfügbar und weit verbreitet, Angreifer können unter dem Deckmantel gewöhnlicher Cyberkriminalität ausgeklügelte Kampagnen durchführen. Das Ergebnis ist eine äußerst schwer zu erratende Bedrohung, die Tarnung und, Flexibilität, und glaubhafte Abstreitbarkeit.
Milena Dimitrova
Ein begeisterter Autor und Content Manager, der seit Projektbeginn bei SensorsTechForum ist. Ein Profi mit 10+ jahrelange Erfahrung in der Erstellung ansprechender Inhalte. Konzentriert sich auf die Privatsphäre der Nutzer und Malware-Entwicklung, sie die feste Überzeugung, in einer Welt, in der Cybersicherheit eine zentrale Rolle spielt. Wenn der gesunde Menschenverstand macht keinen Sinn, sie wird es sich Notizen zu machen. Diese Noten drehen können später in Artikel! Folgen Sie Milena @Milenyim
Folge mir: