SNOWLIGHTマルウェア
中国に関連する脅威アクターUNC5174(別名Uteus、またはUetus)は、SNOWLIGHTマルウェアの改変版と、オープンソースのリモートアクセス型トロイの木馬(RAT)であるVShellを用いた新たなサイバー攻撃を開始しました。この攻撃はLinuxシステムを標的とし、高度な技術を用いて検出と攻撃者の特定を回避しています。
目次
溶け込む:オープンソースツールをカバーとして使う
脅威アクターは、コスト削減と活動の隠蔽を目的として、オープンソースツールの利用をますます増やしています。今回のケースでは、UNC5174はこうしたツールを用いて、国家の支援を受けていない低レベルのハッカーに見せかけ、防御側が攻撃活動の背後を国家にまで遡ることを困難にしています。この戦術により、UNC5174は1年以上前に中国政府関連の活動との関連が最後に確認されて以来、目立たぬ活動を続けてきました。
馴染み深い武器:SNOWLIGHTとその役割
UNC5174は以前、Connectwise ScreenConnectとF5 BIG-IPソフトウェアの脆弱性を悪用し、CベースのELFダウンローダーであるSNOWLIGHTを展開していました。このツールは、公開されているC2フレームワークであるSUPERSHELLにリンクされたインフラストラクチャから、Go言語ベースのトンネリングツールであるGOHEAVYを取得するために使用されました。
ツールセットの拡張: GOREVERSE と新たな攻撃ベクトル
このグループのツールキットには、セキュアシェル(SSH)経由で通信するGo言語リバースシェルであるGOREVERSEも含まれています。フランス国立情報システムセキュリティ機関(ANSSI)は最近、Ivanti Cloud Service Appliance(CSA)の脆弱性(CVE-2024-8963、CVE-2024-9380、CVE-2024-8190)に対する攻撃で同様の戦術が使用されていることを確認しました。
クロスプラットフォームの脅威:SNOWLIGHTとVShellがmacOSを標的に
SNOWLIGHTとVShellはどちらもApple macOSシステムに感染する可能性があります。2024年10月には、VShellが偽のCloudflare認証アプリに偽装されたことが確認されており、より広範かつ柔軟な攻撃インフラの存在を示唆しています。このクロスプラットフォーム機能は、UNC5174がもたらす全体的な脅威を増大させます。
目に見えないエントリポイント:攻撃チェーンとペイロードの展開
2025年1月に観測された攻撃では、SNOWLIGHTがドロッパーとして使用され、ファイルレスのインメモリRATであるVShellを配信しました。初期アクセス方法は不明ですが、システム内に侵入すると、悪意のあるスクリプト(download_backd.sh)によって2つの主要なバイナリ(dnsloger(SNOWLIGHT)とsystem_worker(Sliver))が展開されます。これらのツールは、永続性を確立し、C2サーバーとの通信を開始するのに役立ちます。
ステルスと制御:VShell による最終段階
侵入の最終段階では、C2サーバーへのカスタムリクエストを介してVShellがダウンロードされます。リモートアクセス型トロイの木馬であるVShellは、攻撃者に任意のコマンドの実行とファイル転送を可能にします。ファイルレスであることと、C2通信にWebSocketを使用するという特徴から、攻撃者の攻撃ツールの中でも特にステルス性が高く、危険なツールとなっています。
結論:巧妙かつ回避的な脅威
UNC5174は、オープンソースツール、洗練された配信手法、そしてSNOWLIGHTやVShellといったステルス性の高いペイロードを組み合わせ、依然として大きなリスクをもたらしています。公開ツールを活用し、クロスプラットフォームの脆弱性を悪用しながらも検知を逃れる能力は、警戒の強化と防御戦略の刷新の必要性を浮き彫りにしています。
