SNOWLIGHT для Windows: UNC5174 расширяет инструментарий VShell и SNOWSHELL

В октябре 2025 года в ходе оперативной деятельности был идентифицирован новый вариант вредоносного ПО SNOWLIGHT, ассоциируемого со злоумышленником UNC5174, которого подозревают в связях с Министерством государственной безопасности Китая (MSS). Ранее известные экземпляры SNOWLIGHT преимущественно поражали системы Linux, однако анализ показал появления версии для Windows, потенциально используемой в атаках на организации в Японии.

Ключевые находки

• Платформа и роль: SNOWLIGHT выступает в роли загрузчика (loader), аналогичного по возможностям Linux-версии.
• Запуск RAT: Windows-версия инициирует инструмент удаленного доступа — VShell, разработанный на Go.
• Коммуникация: VShell использует WebSocket для связи с сервером command and control (C2), предоставляя удаленный shell и возможности файловых операций.
• Инфраструктура: установленный сервер C2 разрешался по адресу w1.topayapp.org; на этом адресе обнаружены многочисленные связанные файлы, в том числе через данные на VirusTotal.
• Загрузчик шеллкода: в состав SNOWLIGHT включён загрузчик шеллкода на Go, способный выполнять зашифрованный шеллкод с использованием AES-GCM.
• Метод исполнения: загрузчик применяет EnumWindows API для расшифровки и выполнения шеллкода в памяти.
• Действующая полезная нагрузка: действующий шеллкод — вариант SNOWSHELL, который загружает и выполняет VShell из инфраструктуры C2.
• Предыдущие публикации: версия SNOWSHELL для Linux x64 была задокументирована ранее и содержит полезную нагрузку в формате ELF.

Технические детали и ошибки реализации

Аналитики отметили интересный фрагмент реализации: отправка HTTP GET-запросов с необычными строками User-Agent, в которых присутствует лишний пробел. Такая деталь, по мнению исследователей, скорее всего, является оплошностью разработчиков и ставит под вопрос степень изощренности и тщательности кодирования вредоносного ПО.

Открытие варианта Windows SNOWLIGHT сигнализирует об эволюции тактики, используемой UNC5174, расширяя их оперативную пропускную способность для различных операционных систем и потенциально расширяя их целевой профиль.

Значение и последствия

Появление Windows-версии SNOWLIGHT свидетельствует о намерении злоумышленников увеличить гибкость и охват атакующих операций, обеспечив доставку и исполнение модулей как на Linux, так и на Windows. Наличие централизованного C2 по адресу w1.topayapp.org и связанной с ним инфраструктуры облегчает координацию разгрузки VShell и SNOWSHELL, повышая риск компрометации организаций в регионе.

Рекомендации для защиты

• Мониторить сетевые соединения на предмет аномальных WebSocket-коммуникаций и обращений к w1.topayapp.org.
• Проверять подозрительные образцы на наличие компонентов SNOWLIGHT / SNOWSHELL и VShell, особенно при обнаружении исполняемых файлов на Go и зашифрованного шеллкода с AES-GCM.
• Актуализировать средства EDR/AV для обнаружения попыток выполнения шеллкода в памяти через API вроде EnumWindows.
• Анализировать нетипичные User-Agent в HTTP-запросах как потенциальный индикатор разработки или конфигурационной ошибки вредоносного ПО.

Детектирование Windows-версии SNOWLIGHT подчёркивает необходимость кросс-платформенного мониторинга и быстрой маршрутизации инцидентов при появлении признаков активности, схожей с действиями UNC5174.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "SNOWLIGHT для Windows: UNC5174 расширяет инструментарий VShell и SNOWSHELL".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.