SNOWLIGHT 恶意软件:恶意病毒株如何凸显其不断变化的攻击策略
一波又一波网络活动曝光了SNOWLIGHT恶意软件的另一种变体。这种工具在网络安全领域并非新鲜事物,但如今其使用方式却日益复杂和隐蔽。该恶意软件与威胁行为者组织UNC5174(据信与中国有关联)存在关联,是攻击者行动方式更广泛、更具战略性的转变的一部分,他们将先进的战术与免费工具相结合,以掩盖其踪迹。
Table of Contents
它的目标是什么?
SNOWLIGHT 已成为新发现的针对Linux系统的攻击活动的核心组件,但其攻击功能也扩展到了 macOS。该攻击活动还涉及部署一个鲜为人知的远程访问工具 VShell,这是一款开源木马。虽然这些名称听起来可能有些晦涩难懂,但它们的使用却意味着更令人担忧的事情:攻击者正在找到更复杂的方法来隐藏身份,这使得防御者比以往任何时候都更难以将严重威胁与常见的互联网噪音区分开来。
此次攻击活动引人注目之处在于其刻意使用了 VShell 和 SUPERSHELL 等开源工具,这是攻击基础设施的另一个组成部分。利用这些工具,威胁行为者可以规避检测,并减少开发专有恶意软件所需的成本和时间。更重要的是,他们可以轻松掩盖其活动,使攻击更难以被归咎于特定团体或政府。
SNOWLIGHT 的演变
UNC5174(也称为 Uteus 或 Uetus)最初被发现使用 SNOWLIGHT 进行攻击,利用了 Connectwise ScreenConnect 和 F5 BIG-IP 等热门企业工具中的漏洞。这些攻击旨在安装基于 C 语言的下载程序以检索其他有效载荷,包括隧道实用程序和反向 Shell 后门(例如 GOHEAVY 和 GOREVERSE)。这两种工具都支持未经授权的远程访问和控制,这是现代网络间谍活动的标志。
据研究人员称,SNOWLIGHT 充当 VShell 的投放器(dropper),一种投递系统。一旦进入系统,SNOWLIGHT 就可以执行一个 Bash 脚本,该脚本会部署隐蔽的二进制文件,包括一个用于 DNS 日志记录的组件以及另一个与 Sliver 命令与控制框架绑定的组件。这些组件协同工作,建立持久性并维持与远程服务器的隐蔽连接,使攻击者能够控制受感染的系统而不留下太多痕迹。
这种方法尤其引人注目的是其向“无文件”恶意软件的转变。在今年早些时候观察到的案例中,VShell 被直接注入内存,而不是保存到磁盘。这种方法避开了传统的检测机制,允许攻击者运行命令、传输文件并执行其他操作,而不会触发典型的警报。
恶意软件开发的影响
这些发展具有更广泛的影响。网络安全专家指出,一个日益增长的趋势是,即使是中等水平的攻击者,现在也能发动曾经需要国家级资源才能完成的攻击。随着 VShell 和 SNOWLIGHT 等工具的出现以及从公共代码库修改而来的工具的出现,进入门槛正在降低。这使得与国家结盟的团体更容易隐藏在经验不足的攻击者之中,并在间谍活动和犯罪活动之间的灰色地带活动。
全球安全机构也在密切监控 UNC5174 及类似组织的活动。例如,法国国家网络安全机构ANSSI报告称,攻击者使用类似工具利用 Ivanti 云服务设备中的严重漏洞执行任意代码。这种技术与 SNOWLIGHT 相关攻击活动中出现的情况相似,进一步表明该组织存在跨境协同行动的可能性。
此外,近期中国恶意软件提交的取证数据表明,恶意软件生态系统正在扩张。证据显示,SNOWLIGHT 和 VShell 能够攻击 macOS 系统,部分版本甚至伪装成合法软件,例如伪造的 Cloudflare 身份验证应用程序——这表明恶意软件的交付方式日益具有欺骗性。
这些爆料曝光正值全球大国之间紧张关系加剧以及网络间谍活动指控不断升温之际。例如,中国官员最近指责美国国家安全局策划了针对关键基础设施和亚冬会等重大活动的网络攻击。尽管此类指控是持续不断的地缘政治叙事的一部分,但它们凸显了网络安全与国际关系的紧密联系。
底线
对于组织而言,要点显而易见:保持警惕不再是可有可无的。复杂工具、开源可用性和隐蔽部署方法的融合意味着像 SNOWLIGHT 这样的威胁将变得越来越难以检测,并且从长远来看也更加危险。网络防御策略必须快速适应,不仅要关注已知的恶意软件签名,还要关注行为检测、内存取证和主动威胁搜寻。
虽然 SNOWLIGHT 可能不是一个家喻户晓的名字,但它在最近的袭击中的出现提醒我们,在数字时代,即使是最安静的威胁也会产生深远的影响。
