Вредоносное ПО SNOWLIGHT: как вредоносный штамм демонстрирует смену тактики
Надвигающаяся волна киберактивности выявила еще один вариант вредоносного ПО SNOWLIGHT, инструмента, который, хотя и не является новым в сфере кибербезопасности, теперь используется все более сложными и скрытыми способами. Связанный с группой злоумышленников UNC5174 (предположительно, связанной с Китаем), этот штамм вредоносного ПО является частью более широкого стратегического сдвига в действиях злоумышленников, сочетающих передовые тактики с общедоступными инструментами, чтобы скрыть свои следы.
Table of Contents
На что он нацелен?
SNOWLIGHT стал центральным компонентом в недавно выявленной кампании, нацеленной на системы Linux , но с возможностями, которые также распространяются на macOS. Эта кампания также включает в себя развертывание менее известного инструмента удаленного доступа под названием VShell, трояна с открытым исходным кодом. Хотя эти названия могут показаться неясными, их использование означает нечто гораздо более тревожное: злоумышленники находят более изощренные способы маскировки, что делает для защитников более сложным, чем когда-либо, отделение серьезных угроз от обычного интернет-шума.
Что делает эту кампанию примечательной, так это преднамеренное использование инструментов с открытым исходным кодом, таких как VShell и SUPERSHELL, еще одного компонента инфраструктуры атаки. Используя эти инструменты, злоумышленники могут избежать обнаружения и сократить расходы и время, необходимые для разработки собственного вредоносного ПО. Что еще важнее, они могут легко маскировать свою деятельность, что затрудняет приписывание атак определенным группам или правительствам.
Эволюция SNOWLIGHT
UNC5174, также известный как Uteus или Uetus, впервые был замечен с использованием SNOWLIGHT в атаках, которые эксплуатировали уязвимости в популярных корпоративных инструментах, таких как Connectwise ScreenConnect и F5 BIG-IP. Эти атаки были направлены на установку загрузчика на основе C для извлечения дополнительных полезных нагрузок, включая утилиты туннелирования и бэкдоры обратной оболочки, такие как GOHEAVY и GOREVERSE. Оба инструмента обеспечивают несанкционированный удаленный доступ и управление, что является отличительной чертой современных операций по кибершпионажу.
По словам исследователей, SNOWLIGHT служит в качестве дроппера, своего рода системы доставки, для VShell. Попав в систему, SNOWLIGHT может выполнить скрипт bash, который развертывает скрытые двоичные файлы, включая компонент для регистрации DNS и другой, привязанный к командно-контрольной структуре Sliver. Эти элементы работают вместе, чтобы установить постоянство и поддерживать скрытое соединение с удаленным сервером, позволяя злоумышленникам контролировать зараженные системы, не оставляя много следов.
Что особенно поражает в этом подходе, так это переход к вредоносному ПО «без файлов». В случае, наблюдавшемся ранее в этом году, VShell внедряется непосредственно в память, а не сохраняется на диске. Этот метод избегает традиционных механизмов обнаружения и позволяет злоумышленнику запускать команды, передавать файлы и выполнять другие действия без срабатывания типичных сигналов тревоги.
Последствия разработки вредоносного ПО
Эти разработки имеют более широкие последствия. Эксперты по кибербезопасности указывают на растущую тенденцию, когда противники средней квалификации теперь могут осуществлять атаки, которые раньше требовали ресурсов на уровне государства. С такими инструментами, как VShell и SNOWLIGHT, доступными и модифицированными из общедоступных кодовых баз, барьеры для входа падают. Это облегчает государственным группам возможность скрываться среди менее опытных злоумышленников и действовать в серой зоне между шпионажем и преступностью.
Глобальные агентства безопасности также внимательно следят за деятельностью UNC5174 и подобных групп. Например, национальное агентство кибербезопасности Франции ANSSI сообщило, что злоумышленники, использующие аналогичные инструменты, использовали критические уязвимости в Ivanti Cloud Service Appliances для выполнения произвольного кода. Эта техника отражает то, что было замечено в кампаниях, связанных с SNOWLIGHT, что усиливает вероятность скоординированных трансграничных операций.
Кроме того, криминалистические данные из недавних сообщений о вредоносном ПО в Китае указывают на то, что экосистема вредоносного ПО расширяется. Артефакты показывают, что SNOWLIGHT и VShell способны атаковать системы macOS, причем некоторые версии замаскированы под легитимное ПО, например, поддельное приложение аутентификации Cloudflare, что свидетельствует о все более обманчивых методах доставки.
Эти разоблачения появились на фоне возросшей напряженности и обвинений в кибершпионаже между мировыми державами. Например, китайские чиновники недавно обвинили Агентство национальной безопасности США в организации кибератак на критически важную инфраструктуру и такие крупные мероприятия, как Зимние Азиатские игры . Хотя такие заявления являются частью текущих геополитических нарративов, они подчеркивают, насколько тесно переплетена кибербезопасность с международными отношениями.
Итог
Для организаций вывод очевиден: бдительность больше не является необязательной. Конвергенция сложных инструментов, доступности открытого исходного кода и скрытых методов развертывания означает, что такие угрозы, как SNOWLIGHT, становится все сложнее обнаружить, и они становятся более опасными в долгосрочной перспективе. Стратегии киберзащиты должны быстро адаптироваться, сосредоточившись не только на известных сигнатурах вредоносных программ, но и на поведенческом обнаружении, криминалистике памяти и упреждающем поиске угроз.
Хотя SNOWLIGHT — не самое известное имя, его участие в недавних атаках напоминает нам, что в цифровую эпоху даже самые тихие угрозы могут отбрасывать длинные тени.
