Il gruppo di minaccia legato alla Cina noto come UNC5174 è stato attribuito a una nuova campagna che sfrutta una variante di un malware conosciuto come SNOWLIGHT e un nuovo strumento open-source chiamato VShell per infettare i sistemi Linux.
Uso di strumenti open source per l’offuscamento
I attori di minaccia stanno sempre più utilizzando strumenti open source nei loro arsenali per risparmiare sui costi e per l’offuscamento, cercando di mimetizzarsi con avversari non sponsorizzati dallo stato e spesso meno tecnici, come i “script kiddies”. Questo rende l’attribuzione ancora più difficile, come sottolineato dalla ricercatrice di Sysdig, Alessandra Rizzo, in un rapporto condiviso con The Hacker News. Questo sembra essere particolarmente vero per questo specifico attore di minaccia, che è rimasto sotto il radar per l’ultimo anno da quando è stato affiliato al governo cinese.
Strumenti e tecniche utilizzate da UNC5174
UNC5174, noto anche come Uteus (o Uetus), era stato precedentemente documentato da Mandiant, di proprietà di Google, per aver sfruttato vulnerabilità di sicurezza in Connectwise ScreenConnect e nel software F5 BIG-IP per distribuire un downloader ELF basato su C chiamato SNOWLIGHT. Questo downloader è progettato per recuperare un tunneler Golang chiamato GOHEAVY da un’infrastruttura legata a un framework di comando e controllo (C2) pubblicamente disponibile noto come SUPERSHELL. Inoltre, negli attacchi è stato utilizzato GOREVERSE, un backdoor di shell inversa scritto in Golang che opera su Secure Shell (SSH).
Osservazioni dell’ANSSI
L’Agenzia nazionale francese per la sicurezza dei sistemi informativi (ANSSI), nel suo rapporto panoramico sulle minacce informatiche per il 2024 pubblicato il mese scorso, ha osservato un attaccante che impiega tecniche simili a quelle di UNC5174 per sfruttare vulnerabilità di sicurezza in Ivanti Cloud Service Appliance (CSA) come CVE-2024-8963, CVE-2024-9380 e CVE-2024-8190 per ottenere il controllo ed eseguire codice arbitrario. Questo set di intrusioni, moderatamente sofisticato e discreto, è caratterizzato dall’uso di strumenti di intrusione ampiamente disponibili come open source e dall’uso, già pubblicamente riportato, di un codice rootkit.
Targeting di sistemi macOS
È importante notare che sia SNOWLIGHT che VShell sono in grado di prendere di mira i sistemi Apple macOS, con quest’ultimo distribuito come un’applicazione di autenticazione Cloudflare falsa come parte di una catena di attacco ancora da determinare, secondo un’analisi di artefatti caricati su VirusTotal dalla Cina nell’ottobre 2024.
Catena di attacco osservata da Sysdig
Nella catena di attacco osservata da Sysdig a fine gennaio 2025, il malware SNOWLIGHT agisce come un dropper per un payload in memoria senza file chiamato VShell, un trojan di accesso remoto (RAT) ampiamente utilizzato dai cybercriminali di lingua cinese. Il vettore di accesso iniziale utilizzato per l’attacco è attualmente sconosciuto. In particolare, l’accesso iniziale viene utilizzato per eseguire uno script bash dannoso (“download_backd.sh”) che distribuisce due binari associati a SNOWLIGHT (dnsloger) e Sliver (system_worker), entrambi utilizzati per impostare la persistenza e stabilire comunicazioni con un server C2. La fase finale dell’attacco consegna VShell tramite SNOWLIGHT mediante una richiesta appositamente creata al server C2, consentendo così il controllo remoto e ulteriori azioni post-compromissione.
Fonte: The Hackers News
