СвежееНовостиМероприятияСтатьиОбзорыОтчетыИнтервьюВидеоБлогиУтечкиУязвимостиДайджестыПродуктыВакансииОбучение
Темы
ИБ ИИ Облака Инфра Dev
О проекте StartUp Hub Контакты Компании Рынки Реклама Политика ПДн
Отчеты
Технологии киберугроз
16.04.2025
#Dev#ИБ

Киберугроза UNC5174: новые технологии шпионажа и атаки

Киберугроза UNC5174: новые технологии шпионажа и атаки

В последние месяцы мир кибербезопасности стал свидетелем продолжения кампании, приписываемой китайскому государственному хакеру UNC5174. Данная группа использует сложные технологии и вредоносное ПО, такие как недавно внедренный троян удаленного доступа VShell (RAT) и вредоносное ПО SNOWLIGHT.

Нацеливаясь на западные страны, включая Соединенные Штаты, Канаду и Великобританию, а также различные организации в Азиатско-Тихоокеанском регионе, UNC5174 действует незаметно уже около года.

Технические аспекты атаки

Недавние разведданные указывают на использование UNC5174 набора инструментов с открытым исходным кодом, который включает в себя VShell и SNOWLIGHT для шпионажа и получения доступа к системам.

  • SNOWLIGHT функционирует как дроппер, развертывая файлы, аналогичные VShell.
  • Обе вредоносные программы направлены на установление своего присутствия в системе и облегчение дальнейшей эксплуатации.
  • Доступность VShell в памяти, а не на диске, затрудняет его обнаружение.

Необычные методы коммуникации

Вопреки здравому смыслу, в данной кампании применяются WebSockets для обмена данными между командами и контролерами C2. Зашифрованные каналы, работающие на портах HTTPS, обеспечивают связь в режиме реального времени, что снижает вероятность обнаружения антивирусными решениями.

Тактика внедрения

Инфраструктура, поддерживающая эту кампанию, использует тактику захвата доменов, выдавая себя за известные компании. Подозрительные домены, такие как gooogleasia.com, продемонстрировали характеристики Cobalt Strike C2s, что подчеркивает акцент злоумышленников на обфускации и скрытности.

Риски и рекомендации

Разнообразие используемых инструментов, включая пользовательские и открытые варианты, подчеркивает технические возможности UNC5174. Такой уровень квалификации оператора позволяет проводить сложные атаки на законные организации, что создает постоянный риск для критически важной инфраструктуры.

Эти новые разработки требуют усовершенствованных стратегий обнаружения и реагирования в рамках систем кибербезопасности.

«Необходимость в адаптации к постоянно меняющимся угрозам становится критически важной для защиты уязвимых секторов».

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Технологии киберугроз
Автор: Технологии киберугроз
Технологии киберугроз – технологическая компания, специализирующаяся на решениях по анализу угроз для предприятий любого размера. Мы собираем, нормализуем, обогащаем информацию о киберугрозах со всего мира. Нашими источниками являют более 260 открытых фидов, более 100 открытых поставщиков Threat Intelligence-отчетов, открытые online sandbox, социальные сети и репозитории GitHub. Мы также предоставляем ряд сервисов по: семантическом анализу Threat Intelligence-отчетов и приведения их в машиночитаемый формат STIX 2.1, проверки IoC на потенциальные ложноположительные сработки, а также получению WHOIS-записей для доменных имен.
Комментарии: