Китайские хакеры используют SNOWLIGHT и VShell для атак на Linux-системы

Группа, которую специалисты идентифицируют под названием UNC5174, вновь напомнила о себе — на этот раз через атаку на операционные системы Linux. Как выяснили исследователи, злоумышленники задействуют видоизменённый вариант вредоносной программы SNOWLIGHT и применяют инструмент VShell с открытым исходным кодом.

Аналитик компании Sysdig Алессандра Риццо подчеркнула, что подобные инструменты используются всё чаще, поскольку позволяют не только сэкономить ресурсы, но и замаскировать деятельность, приближая её к действиям малоопытных хакеров-любителей. Такое внешнее сходство, как отметила Риццо, создаёт дополнительные сложности в вопросах выявления подлинных организаторов атак.

По её словам, это особенно характерно для рассматриваемой группировки, которая долгое время не проявляла активности после того, как возникли предположения о её связи с китайскими структурами.

Компания Mandiant, входящая в состав Google, ранее указывала, что UNC5174 (также известная под псевдонимом Uteus или Uetus) уже проявляла себя в эксплуатации уязвимостей в продуктах Connectwise ScreenConnect и F5 BIG-IP. Тогда киберпреступники применили загрузчик формата ELF на базе языка C, предназначенный для извлечения инструмента GOHEAVY — туннелера, написанного на Golang. Этот компонент взаимодействует с командно-контрольной инфраструктурой, построенной на платформе SUPERSHELL, что обеспечивает удалённое управление заражёнными системами.

Кроме того, при атаках использовался GOREVERSE — публично доступный инструмент, работающий в режиме обратной оболочки через SSH-протокол. Он также был написан на языке Golang и позволяет удалённо подключаться к скомпрометированным устройствам.

Французское агентство ANSSI (национальная структура, ответственная за кибербезопасность) в своём обзоре угроз за текущий год подтвердило, что наблюдает аналогичные приёмы у другого участника, действия которого практически повторяют тактику UNC5174. Как отмечается в отчёте, объект атаки — это сервис Ivanti Cloud Service Appliance, в котором были использованы уязвимости CVE-2024-8963, CVE-2024-9380 и CVE-2024-8190. Всё это позволило злоумышленникам получить доступ к системам и запускать произвольный код.

Эксперты считают, что возвращение группы UNC5174 свидетельствует об эволюции кибератак, в которых всё чаще применяется комбинация готовых решений и скрытных методов внедрения.