SNOWLIGHT-Malware
Der mit China verbundene Bedrohungsakteur UNC5174, auch bekannt als Uteus (oder Uetus), hat eine neue Cyber-Kampagne gestartet, die eine modifizierte Version der SNOWLIGHT-Malware und einen neuen Open-Source-Remote-Access-Trojaner (RAT) namens VShell umfasst. Diese Operation zielt auf Linux-Systeme ab und nutzt fortschrittliche Techniken, um Erkennung und Zuordnung zu entgehen.
Inhaltsverzeichnis
Untertauchen: Open-Source-Tools als Tarnung
Bedrohungsakteure setzen zunehmend auf Open-Source-Tools, um Kosten zu sparen und ihre Aktivitäten zu verschleiern. In diesem Fall nutzt UNC5174 solche Tools, um als Hacker auf niedrigerer Ebene und ohne staatliche Unterstützung zu agieren. Dadurch wird es für Verteidiger schwieriger, die Kampagne auf einen Nationalstaat zurückzuführen. Diese Taktik ermöglichte es UNC5174, seit seiner letzten bekannten Verbindung mit Operationen mit Verbindungen zur chinesischen Regierung vor über einem Jahr diskret zu agieren.
Ein bekanntes Arsenal: SNOWLIGHT und seine Rolle
Zuvor nutzte UNC5174 Schwachstellen in Connectwise ScreenConnect und der F5 BIG-IP-Software aus, um SNOWLIGHT, einen C-basierten ELF-Downloader, einzusetzen. Mit diesem Tool wurde GOHEAVY, ein Golang-basiertes Tunneling-Tool, aus einer Infrastruktur abgerufen, die mit SUPERSHELL – einem öffentlich verfügbaren C2-Framework – verknüpft war.
Toolset-Erweiterung: GOREVERSE und neue Angriffsvektoren
Zum Toolkit der Gruppe gehört auch GOREVERSE, eine Golang- Reverse-Shell, die über Secure Shell (SSH) kommuniziert. Die französische Nationale Agentur für die Sicherheit von Informationssystemen (ANSSI) beobachtete kürzlich ähnliche Taktiken bei Angriffen auf Schwachstellen der Ivanti Cloud Service Appliance (CSA), darunter CVE-2024-8963, CVE-2024-9380 und CVE-2024-8190.
Plattformübergreifende Bedrohungen: SNOWLIGHT und VShell zielen auf macOS ab
Sowohl SNOWLIGHT als auch VShell können Apple macOS-Systeme infizieren. Im Oktober 2024 wurde VShell als gefälschte Cloudflare-Authentifizierungs-App getarnt, was auf eine breitere und flexiblere Angriffsinfrastruktur schließen lässt. Diese plattformübergreifende Fähigkeit erhöht die allgemeine Bedrohung durch UNC5174.
Unsichtbare Einstiegspunkte: Angriffskette und Nutzlastbereitstellung
Bei einem im Januar 2025 beobachteten Angriff wurde SNOWLIGHT als Dropper verwendet, um VShell, einen dateilosen In-Memory-RAT, auszuliefern. Die ursprüngliche Zugriffsmethode ist unbekannt, doch sobald das System im System ist, wird ein bösartiges Skript (download_backd.sh) verwendet, um zwei wichtige Binärdateien auszuliefern: dnsloger (SNOWLIGHT) und system_worker (Sliver). Diese Tools helfen, Persistenz herzustellen und die Kommunikation mit einem C2-Server zu initiieren.
Tarnung und Kontrolle: Die letzte Phase mit VShell
Im letzten Schritt des Angriffs wird VShell über eine benutzerdefinierte Anfrage auf den C2-Server heruntergeladen. Als Remote-Access-Trojaner ermöglicht VShell Angreifern die Ausführung beliebiger Befehle und die Übertragung von Dateien. Die dateilose Natur und die Verwendung von WebSockets für die C2-Kommunikation machen VShell zu einem besonders versteckten und gefährlichen Werkzeug im Arsenal der Angreifer.
Fazit: Eine raffinierte und schwer zu umgehende Bedrohung
UNC5174 stellt mit seiner Kombination aus Open-Source-Tools, ausgeklügelten Bereitstellungsmethoden und versteckten Schadsoftwares wie SNOWLIGHT und VShell weiterhin ein erhebliches Risiko dar. Die Fähigkeit der Malware, unentdeckt zu bleiben und gleichzeitig öffentliche Tools und plattformübergreifende Schwachstellen auszunutzen, unterstreicht die Notwendigkeit erhöhter Wachsamkeit und aktualisierter Abwehrstrategien.
