SNOWLIGHT 惡意軟體:惡意病毒株如何凸顯其不斷變化的攻擊策略
一波又一波的網路活動曝光了 SNOWLIGHT 惡意軟體的另一個變種,雖然在網路安全領域並不新鮮,但現在其使用方式越來越複雜和微妙。這種惡意軟體與威脅行為者組織 UNC5174(據信與中國有聯繫)有關,是攻擊者行動方式更廣泛、戰略轉變的一部分,它將先進的策略與免費提供的工具相結合,以掩蓋他們的踪跡。
Table of Contents
它的目標是什麼?
SNOWLIGHT 已成為新發現的針對Linux系統的攻擊活動的核心元件,但其功能也擴展到 macOS。此次活動還涉及部署一種鮮為人知的遠端存取工具 VShell,這是一種開源木馬。雖然這些名稱聽起來有些晦澀,但它們的使用卻意味著更令人擔憂的事情:攻擊者正在尋找更複雜的方法來融入其中,這使得防御者比以往任何時候都更難將嚴重威脅與常見的網路噪音區分開來。
這次活動引人注目之處在於故意使用 VShell 和 SUPERSHELL 等開源工具,這是攻擊基礎設施的另一個元件。透過利用這些工具,威脅行為者可以避免被發現並減少開發專有惡意軟體所需的成本和時間。更重要的是,他們可以輕鬆地掩蓋他們的活動,更難將攻擊歸咎於特定團體或政府。
SNOWLIGHT 的演變
UNC5174(也稱為 Uteus 或 Uetus)首次被發現使用 SNOWLIGHT 進行攻擊,利用了 Connectwise ScreenConnect 和 F5 BIG-IP 等流行企業工具中的漏洞。這些攻擊的目的是安裝基於 C 的下載器來擷取額外的有效載荷,包括隧道實用程式和反向 shell 後門,如 GOHEAVY 和 GOREVERSE。這兩種工具都可以實現未經授權的遠端存取和控制,這是現代網路間諜活動的標誌。
根據研究人員介紹,SNOWLIGHT 是 VShell 的投放器,一種傳送系統。一旦進入系統,SNOWLIGHT 就可以執行部署隱密二進位檔案的 bash 腳本,其中包括用於 DNS 日誌記錄的元件以及與 Sliver 命令和控制框架綁定的另一個元件。這些元素協同工作以建立持久性並維持與遠端伺服器的隱蔽連接,使攻擊者能夠控制受感染的系統而不留下太多痕跡。
這種方法尤其引人注目的是向「無檔案」惡意軟體的轉變。在今年早些時候觀察到的案例中,VShell 被直接注入內存,而不是保存到磁碟。這種方法避免了傳統的偵測機制,並允許攻擊者執行命令、傳輸檔案和執行其他操作,而不會觸發典型的警報。
惡意軟體開發的影響
這些發展有更廣泛的影響。網路安全專家指出,一種日益增長的趨勢是,中等技能的對手現在可以發動曾經需要國家級資源的攻擊。隨著 VShell 和 SNOWLIGHT 等工具的出現以及從公共代碼庫修改而來,進入門檻正在降低。這使得與國家結盟的團體更容易隱藏在不太老練的攻擊者之中,並在間諜活動和犯罪之間的灰色地帶開展活動。
全球安全機構也密切監控UNC5174及類似組織的活動。例如,法國國家網路安全機構ANSSI報告稱,攻擊者使用類似工具利用 Ivanti Cloud Service Appliances 中的嚴重漏洞執行任意程式碼。這種技術與 SNOWLIGHT 相關活動中出現的情況相似,增強了協調跨境行動的可能性。
此外,最近在中國提交的惡意軟體的取證數據顯示惡意軟體生態系統正在擴大。證據表明,SNOWLIGHT 和 VShell 能夠針對 macOS 系統,其中一些版本偽裝成合法軟體,例如偽造的 Cloudflare 身份驗證應用程式——這表明交付方法越來越具有欺騙性。
這些消息的披露正值全球大國之間的緊張局勢加劇以及網路間諜活動的指控不斷增加之際。例如,中國官員最近指責美國國家安全局策劃針對關鍵基礎設施和亞冬會等重大活動的網路攻擊。儘管此類說法是持續的地緣政治敘事的一部分,但它們強調了網路安全與國際關係的緊密聯繫。
底線
對組織來說,要點很明確:警覺不再是可有可無的。複雜工具、開源可用性和微妙部署方法的融合意味著像 SNOWLIGHT 這樣的威脅從長遠來看會變得更難以檢測且更加危險。網路防禦策略必須快速適應,不僅關注已知的惡意軟體簽名,還關注行為偵測、內存取證和主動威脅搜尋。
雖然 SNOWLIGHT 可能不是一個家喻戶曉的名字,但它在最近的襲擊中的出現提醒我們,在數位時代,即使是最安靜的威脅也會產生深遠的影響。
