UNC5174: Windows‑вариант SNOWLIGHT с загрузчиком шеллкода
В октябре 2025 года исследователи заметили, что группировка UNC5174 внедрила новый вариант вредоносного ПО SNOWLIGHT, нацеленный на Windows. До этого большинство зарегистрированных случаев SNOWLIGHT касалось систем Linux, однако новая итерация была идентифицирована благодаря файлам, загруженным в VirusTotal из Японии. Анализ кода и поведения вредоноса проливает свет на методы работы злоумышленников и показывает дальнейшую эволюцию их инструментов.
Ключевые технические детали
- Роль загрузчика: вариант для Windows действует как загрузчик, сопоставимый с Linux-версией. Его задача — инициировать дальнейшие этапы атаки.
- VShell (RAT): основной удалённый доступ организован через VShell — инструмент типа RAT, написанный на Go. VShell устанавливает соединение с серверами command and control (C2) по WebSockets, предоставляя злоумышленникам удалённую оболочку и возможности для выполнения файловых операций на скомпрометированных машинах.
- Загрузчик shellcode: критический компонент атаки — загрузчик shellcode, также разработанный на Go. Он расшифровывает и выполняет AES-GCM-зашифрованный shellcode непосредственно в памяти.
- Использование EnumWindows API: данный загрузчик использует функции EnumWindows API для выполнения зашифрованного shellcode в памяти, что помогает обходить некоторые механизмы обнаружения.
- SNOWSHELL для Windows x64: выполняемый shellcode соответствует компоненту SNOWSHELL для Windows x64, который отвечает за загрузку и запуск VShell с сервера C2.
- Различия между платформами: в Linux-версии SNOWSHELL поставляет полезную нагрузку в виде ELF, тогда как Windows-версия использует shellcode. Кроме того, Windows-variant выполняет HTTP GET-запросы с типичной строкой User-Agent, в то время как Linux-версия демонстрирует аномалии (например, пробельные символы) в HTTP GET, что может указывать на ошибку кодирования в разработке вредоноса.
Значение наблюдаемых изменений
Появление Windows-варианта SNOWLIGHT отражает адаптацию UNC5174 к многообразию целевых сред. Использование нескольких языков программирования (Go и, вероятно, другие) и различных каналов коммуникации (WebSockets, HTTP) расширяет возможности группировки по внедрению в организации из разных секторов и регионов.
Появление этих новых возможностей демонстрирует адаптацию и эволюцию стратегий развертывания UNC5174.
География и потенциальная цель атак
По данным анализа, атакующие нацелены на организации в нескольких регионах, включая США, Канаду и страны Юго-Восточной Азии. Широкий охват и многоплатформенность инструментов повышают риск успешных компрометаций в разных отраслях.
Что это означает для защищённых организаций
- Наличие Windows-версии SNOWLIGHT повышает вероятность успешных атак в инфраструктурах, где доминируют Windows-системы.
- Использование shellcode и выполнения в памяти затрудняет обнаружение традиционными антивирусными средствами.
- WebSockets и HTTP-каналы с обычными User-Agent затрудняют фильтрацию трафика на сетевом уровне, особенно если поведение нападает по непредсказуемым паттернам.
Рекомендации по защите
- Усилить мониторинг сетевого трафика на предмет нестандартных WebSockets-соединений и подозрительных HTTP GET-запросов.
- Обратить внимание на выполнение необъяснимых процессов в памяти, особенно тех, что инициируются через нестандартные API-вызовы (например, EnumWindows).
- Использовать поведенческий анализ и EDR-решения, способные обнаруживать загрузчики shellcode и выполнение зашифрованных payload в памяти.
- Периодически проверять репозитории обмена файлами (например, VirusTotal) на появление новых образцов, особенно если ваша организация взаимодействует с регионами повышенного риска.
Вывод
Новый Windows-вариант SNOWLIGHT от UNC5174 подтверждает, что группировка активно развивает свои инструменты и тактики, чтобы обходить защитные механизмы и расширять даунлайн-операции. Постоянный мониторинг и глубокий анализ вредоноса будут критичны для своевременного обнаружения и минимизации его воздействия на корпоративную инфраструктуру.
Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.
Ознакомиться подробнее с отчетом можно по ссылке.



