Malware SNOWLIGHT: come una variante dannosa evidenzia le tattiche in evoluzione
Un'ondata di attività informatiche in arrivo ha portato alla luce un'altra variante del malware SNOWLIGHT, uno strumento che, pur non essendo nuovo nel panorama della sicurezza informatica, viene ora utilizzato in modi sempre più complessi e subdoli. Collegato al gruppo di attori di minacce UNC5174 (che si ritiene abbia affiliazioni con la Cina), questo malware fa parte di un più ampio cambiamento strategico nel modo in cui operano gli aggressori, che combina tattiche avanzate con strumenti liberamente disponibili per oscurare le proprie tracce.
Table of Contents
A cosa mira?
SNOWLIGHT è emerso come componente centrale di una nuova campagna identificata che prende di mira i sistemi Linux , ma con funzionalità che si estendono anche a macOS. Questa campagna prevede anche l'implementazione di uno strumento di accesso remoto meno noto chiamato VShell, un trojan open source. Sebbene questi nomi possano sembrare oscuri, il loro utilizzo indica qualcosa di molto più preoccupante: gli aggressori stanno trovando modi più sofisticati per mimetizzarsi, rendendo più difficile che mai per i difensori distinguere le minacce gravi dal rumore di fondo di Internet.
Ciò che rende questa campagna degna di nota è l'uso deliberato di strumenti open source come VShell e SUPERSHELL, un altro componente dell'infrastruttura di attacco. Sfruttando questi strumenti, gli autori delle minacce possono eludere il rilevamento e ridurre i costi e i tempi necessari per lo sviluppo di malware proprietario. Ancora più importante, possono facilmente mascherare le loro attività, rendendo più difficile attribuire gli attacchi a specifici gruppi o governi.
L'evoluzione di SNOWLIGHT
UNC5174, noto anche come Uteus o Uetus, è stato osservato per la prima volta utilizzando SNOWLIGHT in attacchi che sfruttavano vulnerabilità presenti in strumenti aziendali diffusi come Connectwise ScreenConnect e F5 BIG-IP. Questi attacchi miravano a installare un downloader basato su linguaggio di programmazione C per recuperare payload aggiuntivi, tra cui utility di tunneling e backdoor reverse shell come GOHEAVY e GOREVERSE. Entrambi gli strumenti consentono l'accesso e il controllo remoto non autorizzati, un tratto distintivo delle moderne operazioni di spionaggio informatico.
Secondo i ricercatori, SNOWLIGHT funge da dropper, una sorta di sistema di distribuzione, per VShell. Una volta all'interno di un sistema, SNOWLIGHT può eseguire uno script bash che distribuisce file binari stealth, tra cui un componente per la registrazione DNS e un altro legato al framework di comando e controllo Sliver. Questi elementi lavorano insieme per stabilire la persistenza e mantenere una connessione nascosta a un server remoto, consentendo agli aggressori di controllare i sistemi infetti senza lasciare tracce.
Ciò che colpisce di più di questo approccio è il passaggio a un malware "fileless". Nel caso osservato all'inizio di quest'anno, VShell viene iniettato direttamente in memoria anziché essere salvato su disco. Questo metodo aggira i tradizionali meccanismi di rilevamento e consente all'aggressore di eseguire comandi, trasferire file ed eseguire altre azioni senza attivare i tipici allarmi.
Le implicazioni dello sviluppo di malware
Questi sviluppi hanno implicazioni più ampie. Gli esperti di sicurezza informatica segnalano una tendenza crescente, in cui avversari moderatamente esperti possono ora sferrare attacchi che un tempo richiedevano risorse a livello di stato nazionale. Con strumenti come VShell e SNOWLIGHT disponibili e modificati da basi di codice pubbliche, le barriere all'ingresso stanno crollando. Questo rende più facile per i gruppi affiliati allo stato nascondersi tra aggressori meno sofisticati e operare nella zona grigia tra spionaggio e criminalità.
Anche le agenzie di sicurezza globali stanno monitorando attentamente l'attività di UNC5174 e gruppi simili. Ad esempio, l'agenzia nazionale francese per la sicurezza informatica, ANSSI , ha segnalato che aggressori che utilizzavano strumenti simili hanno sfruttato falle critiche nelle Ivanti Cloud Service Appliance per eseguire codice arbitrario. Questa tecnica rispecchia quanto osservato nelle campagne relative a SNOWLIGHT, rafforzando la probabilità di operazioni coordinate e transfrontaliere.
Inoltre, i dati forensi provenienti da recenti segnalazioni di malware in Cina indicano che l'ecosistema del malware si sta espandendo. Gli artefatti mostrano che SNOWLIGHT e VShell sono in grado di colpire i sistemi macOS, con alcune versioni camuffate da software legittimo, come una falsa app di autenticazione di Cloudflare, a indicare metodi di distribuzione sempre più ingannevoli.
Queste rivelazioni giungono in un contesto di crescenti tensioni e accuse di spionaggio informatico tra le potenze globali. Funzionari cinesi, ad esempio, hanno recentemente accusato la National Security Agency (NSA) statunitense di aver orchestrato attacchi informatici contro infrastrutture critiche e grandi eventi come i Giochi Asiatici Invernali . Sebbene tali affermazioni facciano parte di narrazioni geopolitiche in corso, sottolineano quanto la sicurezza informatica sia ormai interconnessa con le relazioni internazionali.
Conclusione
Per le organizzazioni, la conclusione è chiara: la vigilanza non è più un optional. La convergenza di strumenti sofisticati, la disponibilità di software open source e metodi di distribuzione sofisticati fa sì che minacce come SNOWLIGHT diventino più difficili da rilevare e più pericolose a lungo termine. Le strategie di difesa informatica devono adattarsi rapidamente, concentrandosi non solo sulle firme malware note, ma anche sul rilevamento comportamentale, sull'analisi forense della memoria e sulla ricerca proattiva delle minacce.
Sebbene SNOWLIGHT non sia un nome noto, la sua presenza in recenti attacchi ci ricorda che nell'era digitale anche le minacce più silenziose possono proiettare lunghe ombre.
