SNOWLIGHT для Windows: UNC5174 расширяет инструментарий VShell и SNOWSHELL
В октябре 2025 года в ходе оперативной деятельности был идентифицирован новый вариант вредоносного ПО SNOWLIGHT, ассоциируемого со злоумышленником UNC5174, которого подозревают в связях с Министерством государственной безопасности Китая (MSS). Ранее известные экземпляры SNOWLIGHT преимущественно поражали системы Linux, однако анализ показал появления версии для Windows, потенциально используемой в атаках на организации в Японии.
Ключевые находки
- Платформа и роль: SNOWLIGHT выступает в роли загрузчика (loader), аналогичного по возможностям Linux-версии.
- Запуск RAT: Windows-версия инициирует инструмент удаленного доступа — VShell, разработанный на Go.
- Коммуникация: VShell использует WebSocket для связи с сервером command and control (C2), предоставляя удаленный shell и возможности файловых операций.
- Инфраструктура: установленный сервер C2 разрешался по адресу w1.topayapp.org; на этом адресе обнаружены многочисленные связанные файлы, в том числе через данные на VirusTotal.
- Загрузчик шеллкода: в состав SNOWLIGHT включён загрузчик шеллкода на Go, способный выполнять зашифрованный шеллкод с использованием AES-GCM.
- Метод исполнения: загрузчик применяет EnumWindows API для расшифровки и выполнения шеллкода в памяти.
- Действующая полезная нагрузка: действующий шеллкод — вариант SNOWSHELL, который загружает и выполняет VShell из инфраструктуры C2.
- Предыдущие публикации: версия SNOWSHELL для Linux x64 была задокументирована ранее и содержит полезную нагрузку в формате ELF.
Технические детали и ошибки реализации
Аналитики отметили интересный фрагмент реализации: отправка HTTP GET-запросов с необычными строками User-Agent, в которых присутствует лишний пробел. Такая деталь, по мнению исследователей, скорее всего, является оплошностью разработчиков и ставит под вопрос степень изощренности и тщательности кодирования вредоносного ПО.
Открытие варианта Windows SNOWLIGHT сигнализирует об эволюции тактики, используемой UNC5174, расширяя их оперативную пропускную способность для различных операционных систем и потенциально расширяя их целевой профиль.
Значение и последствия
Появление Windows-версии SNOWLIGHT свидетельствует о намерении злоумышленников увеличить гибкость и охват атакующих операций, обеспечив доставку и исполнение модулей как на Linux, так и на Windows. Наличие централизованного C2 по адресу w1.topayapp.org и связанной с ним инфраструктуры облегчает координацию разгрузки VShell и SNOWSHELL, повышая риск компрометации организаций в регионе.
Рекомендации для защиты
- Мониторить сетевые соединения на предмет аномальных WebSocket-коммуникаций и обращений к w1.topayapp.org.
- Проверять подозрительные образцы на наличие компонентов SNOWLIGHT / SNOWSHELL и VShell, особенно при обнаружении исполняемых файлов на Go и зашифрованного шеллкода с AES-GCM.
- Актуализировать средства EDR/AV для обнаружения попыток выполнения шеллкода в памяти через API вроде EnumWindows.
- Анализировать нетипичные User-Agent в HTTP-запросах как потенциальный индикатор разработки или конфигурационной ошибки вредоносного ПО.
Детектирование Windows-версии SNOWLIGHT подчёркивает необходимость кросс-платформенного мониторинга и быстрой маршрутизации инцидентов при появлении признаков активности, схожей с действиями UNC5174.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.
