SNOWLIGHT κακόβουλο λογισμικό: Πώς ένα κακόβουλο στέλεχος υπογραμμίζει τις μεταβαλλόμενες τακτικές
Ένα εισερχόμενο κύμα δραστηριότητας στον κυβερνοχώρο έφερε στο φως μια άλλη παραλλαγή του κακόβουλου λογισμικού SNOWLIGHT, ένα εργαλείο που, αν και δεν είναι νέο στη σκηνή της κυβερνοασφάλειας, χρησιμοποιείται τώρα με ολοένα και πιο περίπλοκους και λεπτούς τρόπους. Συνδεδεμένο με την ομάδα ενεργών απειλών UNC5174 (πιστεύεται ότι έχει σχέσεις με την Κίνα), αυτό το είδος κακόβουλου λογισμικού αποτελεί μέρος μιας ευρύτερης, στρατηγικής αλλαγής στον τρόπο λειτουργίας των επιτιθέμενων, συνδυάζοντας προηγμένες τακτικές με ελεύθερα διαθέσιμα εργαλεία για να κρύβουν τα ίχνη τους.
Table of Contents
Τι Στοχεύει;
Το SNOWLIGHT έχει αναδειχθεί ως κεντρικό στοιχείο σε μια πρόσφατα αναγνωρισμένη καμπάνια που στοχεύει συστήματα Linux , αλλά με δυνατότητες που επεκτείνονται και στο macOS. Αυτή η καμπάνια περιλαμβάνει επίσης την ανάπτυξη ενός λιγότερο γνωστού εργαλείου απομακρυσμένης πρόσβασης που ονομάζεται VShell, ενός trojan ανοιχτού κώδικα. Αν και αυτά τα ονόματα μπορεί να ακούγονται ασαφή, η χρήση τους σημαίνει κάτι πολύ πιο ανησυχητικό: οι επιτιθέμενοι βρίσκουν πιο εξελιγμένους τρόπους να συνδυάζονται, καθιστώντας πιο δύσκολο από ποτέ για τους υπερασπιστές να διαχωρίσουν τις σοβαρές απειλές από τον κοινό θόρυβο του Διαδικτύου.
Αυτό που κάνει αυτή την καμπάνια αξιοσημείωτη είναι η σκόπιμη χρήση εργαλείων ανοιχτού κώδικα όπως το VShell και το SUPERSHELL, ένα άλλο στοιχείο στην υποδομή επίθεσης. Αξιοποιώντας αυτά τα εργαλεία, οι φορείς απειλών μπορούν να αποφύγουν τον εντοπισμό και να μειώσουν το κόστος και τον χρόνο που απαιτείται για την ανάπτυξη ιδιόκτητου κακόβουλου λογισμικού. Το πιο σημαντικό είναι ότι μπορούν εύκολα να κρύψουν τις δραστηριότητές τους, καθιστώντας πιο δύσκολο να αποδοθούν επιθέσεις σε συγκεκριμένες ομάδες ή κυβερνήσεις.
Η εξέλιξη του SNOWLIGHT
Το UNC5174, γνωστό και ως Uteus ή Uetus, παρατηρήθηκε για πρώτη φορά χρησιμοποιώντας SNOWLIGHT σε επιθέσεις που εκμεταλλεύονταν τρωτά σημεία σε δημοφιλή εταιρικά εργαλεία όπως το Connectwise ScreenConnect και το F5 BIG-IP. Αυτές οι επιθέσεις στόχευαν στην εγκατάσταση ενός προγράμματος λήψης με βάση το C για την ανάκτηση πρόσθετων ωφέλιμων φορτίων, συμπεριλαμβανομένων των βοηθητικών προγραμμάτων διάνοιξης σήραγγας και των backdoors του κελύφους όπως το GOHEAVY και το GOREVERSE. Και τα δύο εργαλεία επιτρέπουν τη μη εξουσιοδοτημένη απομακρυσμένη πρόσβαση και έλεγχο, χαρακτηριστικό των σύγχρονων επιχειρήσεων κατασκοπείας στον κυβερνοχώρο.
Σύμφωνα με ερευνητές, το SNOWLIGHT χρησιμεύει ως σταγονόμετρο, ένα είδος συστήματος παράδοσης, για το VShell. Μόλις εισέλθει σε ένα σύστημα, το SNOWLIGHT μπορεί να εκτελέσει ένα σενάριο bash που αναπτύσσει κρυφά δυαδικά αρχεία, συμπεριλαμβανομένου ενός στοιχείου για την καταγραφή DNS και ενός άλλου που συνδέεται με το πλαίσιο εντολών και ελέγχου Sliver. Αυτά τα στοιχεία συνεργάζονται για να δημιουργήσουν σταθερότητα και να διατηρήσουν μια μυστική σύνδεση με έναν απομακρυσμένο διακομιστή, επιτρέποντας στους εισβολείς να ελέγχουν τα μολυσμένα συστήματα χωρίς να αφήνουν πολλά ίχνη.
Αυτό που είναι ιδιαίτερα εντυπωσιακό σε αυτήν την προσέγγιση είναι η μετάβαση προς κακόβουλο λογισμικό "χωρίς αρχείο". Στην περίπτωση που παρατηρήθηκε νωρίτερα φέτος, το VShell εγχέεται απευθείας στη μνήμη αντί να αποθηκεύεται στο δίσκο. Αυτή η μέθοδος αποφεύγει τους παραδοσιακούς μηχανισμούς ανίχνευσης και επιτρέπει στον εισβολέα να εκτελεί εντολές, να μεταφέρει αρχεία και να εκτελεί άλλες ενέργειες χωρίς να προκαλεί τυπικούς συναγερμούς.
Οι συνέπειες της ανάπτυξης κακόβουλου λογισμικού
Αυτές οι εξελίξεις έχουν ευρύτερες επιπτώσεις. Οι ειδικοί στον τομέα της κυβερνοασφάλειας επισημαίνουν μια αυξανόμενη τάση όπου αντίπαλοι με μέτρια εξειδίκευση μπορούν πλέον να πραγματοποιούν επιθέσεις που κάποτε απαιτούσαν πόρους σε επίπεδο έθνους. Με εργαλεία όπως το VShell και το SNOWLIGHT διαθέσιμα και τροποποιημένα από δημόσιες βάσεις κωδικών, τα εμπόδια εισόδου πέφτουν. Αυτό διευκολύνει τις κρατικές ομάδες να κρύβονται ανάμεσα σε λιγότερο εξελιγμένους επιτιθέμενους και να δραστηριοποιούνται στη γκρίζα ζώνη μεταξύ κατασκοπείας και εγκλήματος.
Οι παγκόσμιες υπηρεσίες ασφαλείας παρακολουθούν επίσης στενά τη δραστηριότητα του UNC5174 και παρόμοιων ομάδων. Για παράδειγμα, η εθνική υπηρεσία κυβερνοασφάλειας της Γαλλίας, ANSSI , ανέφερε ότι οι εισβολείς που χρησιμοποιούν παρόμοια εργαλεία εκμεταλλεύτηκαν κρίσιμα ελαττώματα στις συσκευές Ivanti Cloud Service Appliances για να εκτελέσουν αυθαίρετο κώδικα. Αυτή η τεχνική αντικατοπτρίζει αυτό που έχει παρατηρηθεί στις εκστρατείες που σχετίζονται με το SNOWLIGHT, ενισχύοντας την πιθανότητα συντονισμένων, διασυνοριακών επιχειρήσεων.
Επιπλέον, τα εγκληματολογικά δεδομένα από πρόσφατες υποβολές κακόβουλου λογισμικού στην Κίνα δείχνουν ότι το οικοσύστημα κακόβουλου λογισμικού επεκτείνεται. Τα τεχνουργήματα δείχνουν το SNOWLIGHT και το VShell ικανά να στοχεύουν συστήματα macOS, με ορισμένες εκδόσεις μεταμφιεσμένες ως νόμιμο λογισμικό, όπως μια ψεύτικη εφαρμογή ελέγχου ταυτότητας Cloudflare - μια ένδειξη ολοένα και πιο παραπλανητικών μεθόδων παράδοσης.
Αυτές οι αποκαλύψεις έρχονται εν μέσω αυξημένων εντάσεων και κατηγοριών για κυβερνοκατασκοπεία μεταξύ παγκόσμιων δυνάμεων. Κινέζοι αξιωματούχοι, για παράδειγμα, κατηγόρησαν πρόσφατα την Υπηρεσία Εθνικής Ασφάλειας των ΗΠΑ ότι ενορχηστρώνει επιθέσεις στον κυβερνοχώρο σε κρίσιμες υποδομές και μεγάλα γεγονότα όπως οι Ασιατικοί Χειμερινοί Αγώνες . Αν και τέτοιοι ισχυρισμοί αποτελούν μέρος των συνεχιζόμενων γεωπολιτικών αφηγήσεων, υπογραμμίζουν πόσο συνυφασμένη έχει γίνει η κυβερνοασφάλεια με τις διεθνείς σχέσεις.
Κατώτατη γραμμή
Για τους οργανισμούς, το πακέτο είναι σαφές: η επαγρύπνηση δεν είναι πλέον προαιρετική. Η σύγκλιση εξελιγμένων εργαλείων, η διαθεσιμότητα ανοιχτού κώδικα και οι λεπτές μέθοδοι ανάπτυξης σημαίνει ότι απειλές όπως το SNOWLIGHT γίνονται πιο δύσκολο να εντοπιστούν και πιο επικίνδυνες μακροπρόθεσμα. Οι στρατηγικές άμυνας στον κυβερνοχώρο πρέπει να προσαρμοστούν γρήγορα, εστιάζοντας όχι μόνο σε γνωστές υπογραφές κακόβουλου λογισμικού, αλλά και στον εντοπισμό συμπεριφοράς, την εγκληματολογία μνήμης και την προληπτική αναζήτηση απειλών.
Αν και το SNOWLIGHT μπορεί να μην είναι γνωστό όνομα, η παρουσία του σε πρόσφατες επιθέσεις μας υπενθυμίζει ότι στην ψηφιακή εποχή, ακόμη και οι πιο ήσυχες απειλές μπορούν να ρίξουν μεγάλες σκιές.
