Изображение: recraft
Группа, которую специалисты идентифицируют под названием UNC5174, вновь напомнила о себе — на этот раз через атаку на операционные системы Linux. Как выяснили исследователи, злоумышленники задействуют видоизменённый вариант вредоносной программы SNOWLIGHT и применяют инструмент VShell с открытым исходным кодом.
Аналитик компании Sysdig Алессандра Риццо подчеркнула, что подобные инструменты используются всё чаще, поскольку позволяют не только сэкономить ресурсы, но и замаскировать деятельность, приближая её к действиям малоопытных хакеров-любителей. Такое внешнее сходство, как отметила Риццо, создаёт дополнительные сложности в вопросах выявления подлинных организаторов атак.
По её словам, это особенно характерно для рассматриваемой группировки, которая долгое время не проявляла активности после того, как возникли предположения о её связи с китайскими структурами.
Компания Mandiant, входящая в состав Google, ранее указывала, что UNC5174 (также известная под псевдонимом Uteus или Uetus) уже проявляла себя в эксплуатации уязвимостей в продуктах Connectwise ScreenConnect и F5 BIG-IP. Тогда киберпреступники применили загрузчик формата ELF на базе языка C, предназначенный для извлечения инструмента GOHEAVY — туннелера, написанного на Golang. Этот компонент взаимодействует с командно-контрольной инфраструктурой, построенной на платформе SUPERSHELL, что обеспечивает удалённое управление заражёнными системами.
Кроме того, при атаках использовался GOREVERSE — публично доступный инструмент, работающий в режиме обратной оболочки через SSH-протокол. Он также был написан на языке Golang и позволяет удалённо подключаться к скомпрометированным устройствам.
Французское агентство ANSSI (национальная структура, ответственная за кибербезопасность) в своём обзоре угроз за текущий год подтвердило, что наблюдает аналогичные приёмы у другого участника, действия которого практически повторяют тактику UNC5174. Как отмечается в отчёте, объект атаки — это сервис Ivanti Cloud Service Appliance, в котором были использованы уязвимости CVE-2024-8963, CVE-2024-9380 и CVE-2024-8190. Всё это позволило злоумышленникам получить доступ к системам и запускать произвольный код.
Эксперты считают, что возвращение группы UNC5174 свидетельствует об эволюции кибератак, в которых всё чаще применяется комбинация готовых решений и скрытных методов внедрения.
Оригинал публикации на сайте CISOCLUB: "Китайские хакеры используют SNOWLIGHT и VShell для атак на Linux-системы".
Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.
Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube | X.