SNOWLIGHT rosszindulatú program: Hogyan emeli ki a rosszindulatú törzs a váltási taktikákat
A kibertevékenység közelgő hulláma a SNOWLIGHT rosszindulatú program egy másik változatát hozta napvilágra, egy olyan eszközt, amely bár nem újdonság a kiberbiztonsági szcénában, mára egyre bonyolultabb és finomabb módokon alkalmazzák. Az UNC5174 fenyegetettségi cselekvőcsoporthoz kapcsolódóan (amelyről feltételezik, hogy kapcsolatban áll Kínával), ez a rosszindulatú programtörzs a támadók működésében bekövetkezett szélesebb körű stratégiai váltás része, amely a fejlett taktikákat és a szabadon elérhető eszközöket ötvözi a nyomaik elfedésére.
Table of Contents
Mit céloz?
A SNOWLIGHT egy újonnan azonosított, Linux rendszereket célzó kampány központi elemévé vált, de a macOS-re is kiterjedő képességekkel. Ez a kampány magában foglalja egy kevésbé ismert távoli elérési eszköz, a VShell, nyílt forráskódú trójai telepítését is. Bár ezek a nevek homályosan hangzanak, használatuk sokkal aggasztóbb dolgot jelent: a támadók kifinomultabb módszereket találnak a beolvadáshoz, ami megnehezíti a védők számára, hogy elkülönítsék a súlyos fenyegetéseket az általános internetes zajoktól.
Ami ezt a kampányt figyelemre méltóvá teszi, az a nyílt forráskódú eszközök, például a VShell és a SUPERSHELL, a támadási infrastruktúra egy másik összetevője, szándékos használata. Ezen eszközök kihasználásával a fenyegetés szereplői elkerülhetik az észlelést, és csökkenthetik a szabadalmazott kártevők fejlesztéséhez szükséges költségeket és időt. Ennél is fontosabb, hogy könnyen elfedhetik tevékenységeiket, megnehezítve a támadások konkrét csoportokhoz vagy kormányokhoz való tulajdonítását.
A HÓFÉNY Evolúciója
Az UNC5174-et, más néven Uteus-t vagy Uetust, először a SNOWLIGHT használatával figyelték meg olyan támadásokban, amelyek kihasználták a népszerű vállalati eszközök, például a Connectwise ScreenConnect és az F5 BIG-IP sebezhetőségeit. Ezek a támadások egy C-alapú letöltő telepítésére irányultak további hasznos terhelések lekérésére, beleértve az alagútkezelő segédprogramokat és a fordított shell-hátsó ajtókat, mint például a GOHEAVY és a GOREVERSE. Mindkét eszköz lehetővé teszi a jogosulatlan távoli hozzáférést és vezérlést, ami a modern számítógépes kémműveletek jellemzője.
A kutatók szerint a SNOWLIGHT csepegtetőként, egyfajta szállítórendszerként szolgál a VShell számára. A rendszeren belül a SNOWLIGHT végrehajthat egy bash szkriptet, amely rejtett bináris fájlokat telepít, beleértve a DNS-naplózáshoz szükséges összetevőt és egy másikat, amely a Sliver parancs- és vezérlési keretrendszerhez kapcsolódik. Ezek az elemek együtt működnek a perzisztencia kialakításában és a titkos kapcsolat fenntartásában egy távoli szerverrel, lehetővé téve a támadók számára, hogy számos nyom nélkül irányítsák a fertőzött rendszereket.
Ami ebben a megközelítésben különösen feltűnő, az a „fájl nélküli” rosszindulatú programok felé való elmozdulás. Az év elején megfigyelt esetben a VShell közvetlenül a memóriába kerül, nem pedig lemezre mentve. Ez a módszer elkerüli a hagyományos észlelési mechanizmusokat, és lehetővé teszi a támadó számára parancsok futtatását, fájlok átvitelét és egyéb műveletek végrehajtását tipikus riasztások kiváltása nélkül.
A rosszindulatú programok fejlesztésének következményei
Ezeknek a fejleményeknek szélesebb körű következményei vannak. A kiberbiztonsági szakértők rámutatnak arra a növekvő tendenciára, hogy a közepesen képzett ellenfelek ma már olyan támadásokat hajthatnak végre, amelyek egykor nemzetállami szintű erőforrásokat igényeltek. Az olyan eszközökkel, mint a VShell és a SNOWLIGHT, amelyek nyilvános kódbázisokból állnak rendelkezésre és módosíthatók, a belépési korlátok csökkennek. Így az államhoz kötődő csoportok könnyebben elrejtőzhetnek a kevésbé kifinomult támadók között, és a kémkedés és a bűnözés közötti szürke zónában tevékenykedhetnek.
A globális biztonsági ügynökségek is szorosan figyelemmel kísérik az UNC5174 és hasonló csoportok tevékenységét. Például Franciaország nemzeti kiberbiztonsági ügynöksége, az ANSSI arról számolt be, hogy a hasonló eszközöket használó támadók az Ivanti Cloud Service Appliances kritikus hibáit kihasználva tetszőleges kódot hajtottak végre. Ez a technika a SNOWLIGHT-hoz kapcsolódó kampányokban látottakat tükrözi, megerősítve az összehangolt, határokon átnyúló műveletek valószínűségét.
Ezenkívül a Kínában nemrégiben benyújtott rosszindulatú programok törvényszéki adatai azt mutatják, hogy a kártevő-ökoszisztéma bővül. A műtermékek azt mutatják, hogy a SNOWLIGHT és a VShell képesek megcélozni a macOS rendszereket, és egyes verziókat legitim szoftvernek álcáznak, például egy hamis Cloudflare hitelesítő alkalmazást – ami az egyre megtévesztőbb kézbesítési módszereket jelzi.
Ezek a leleplezések a globális hatalmak közötti fokozott feszültségek és a kiberkémkedés vádjai közepette születnek. Kínai tisztviselők például a közelmúltban azzal vádolták az Egyesült Államok Nemzetbiztonsági Ügynökségét, hogy kibertámadásokat szervez kritikus infrastruktúra és olyan jelentős események ellen, mint az Ázsiai Téli Játékok . Bár az ilyen állítások a folyamatban lévő geopolitikai narratívák részét képezik, rávilágítanak arra, hogy a kiberbiztonság mennyire összefonódott a nemzetközi kapcsolatokkal.
Bottom Line
A szervezetek számára egyértelmű: az éberség már nem kötelező. A kifinomult eszközök konvergenciája, a nyílt forráskódú elérhetőség és a finom telepítési módszerek azt jelentik, hogy a SNOWLIGHT-hoz hasonló fenyegetéseket egyre nehezebb észlelni, és hosszú távon egyre veszélyesebbek. A kibervédelmi stratégiáknak gyorsan alkalmazkodniuk kell, és nemcsak az ismert rosszindulatú programokra kell összpontosítani, hanem a viselkedésészlelésre, a memória kriminalisztikai elemzésére és a proaktív fenyegetésvadászatra is.
Bár a SNOWLIGHT nem mindennapi név, jelenléte a legutóbbi támadásokban arra emlékeztet bennünket, hogy a digitális korszakban a legcsendesebb fenyegetések is hosszú árnyékokat vethetnek.
