Logiciel malveillant SNOWLIGHT
L'acteur malveillant lié à la Chine UNC5174, également connu sous le nom d'Uteus (ou Uetus), a lancé une nouvelle cybercampagne impliquant une version modifiée du malware SNOWLIGHT et un nouveau cheval de Troie d'accès à distance (RAT) open source appelé VShell. Cette opération cible les systèmes Linux et utilise des techniques avancées pour échapper à la détection et à l'attribution.
Table des matières
Se fondre dans la masse : les outils open source comme couverture
Les acteurs malveillants s'appuient de plus en plus sur des outils open source pour réduire leurs coûts et dissimuler leurs activités. Dans ce cas précis, UNC5174 utilise ces outils pour se faire passer pour des pirates informatiques de bas niveau, non soutenus par un État, ce qui complique la tâche des défenseurs pour remonter jusqu'à un État-nation. Cette tactique a permis à UNC5174 d'opérer discrètement depuis sa dernière association connue avec des opérations liées au gouvernement chinois, il y a plus d'un an.
Un arsenal familier : SNOWLIGHT et son rôle
Auparavant, UNC5174 exploitait des vulnérabilités dans Connectwise ScreenConnect et le logiciel F5 BIG-IP pour déployer SNOWLIGHT, un téléchargeur ELF en langage C. Cet outil a permis de récupérer GOHEAVY, un outil de tunneling basé sur Golang, à partir d'une infrastructure liée à SUPERSHELL, un framework C2 accessible au public.
Extension de la boîte à outils : GOREVERSE et nouveaux vecteurs d’attaque
La boîte à outils du groupe comprend également GOREVERSE, un shell inversé Golang qui communique via Secure Shell (SSH). L'Agence nationale de la sécurité des systèmes d'information (ANSSI) a récemment observé des tactiques similaires utilisées dans des attaques ciblant les vulnérabilités d'Ivanti Cloud Service Appliance (CSA), notamment CVE-2024-8963, CVE-2024-9380 et CVE-2024-8190.
Menaces multiplateformes : SNOWLIGHT et VShell ciblent macOS
SNOWLIGHT et VShell sont tous deux capables d'infecter les systèmes macOS d'Apple. En octobre 2024, VShell s'est fait passer pour une fausse application d'authentification Cloudflare, suggérant une infrastructure d'attaque plus vaste et plus flexible. Cette capacité multiplateforme accroît la menace globale posée par UNC5174.
Points d’entrée invisibles : chaîne d’attaque et déploiement de la charge utile
Lors d'une attaque observée en janvier 2025, SNOWLIGHT a été utilisé comme dropper pour diffuser VShell, un RAT en mémoire sans fichier. La méthode d'accès initiale reste inconnue, mais une fois dans le système, un script malveillant (download_backd.sh) est utilisé pour déployer deux binaires clés : dnsloger (SNOWLIGHT) et system_worker (Sliver). Ces outils permettent d'établir la persistance et d'établir la communication avec un serveur C2.
Furtivité et contrôle : la dernière étape avec VShell
La dernière étape de l'intrusion consiste à télécharger VShell via une requête personnalisée adressée au serveur C2. Cheval de Troie d'accès à distance, VShell permet aux attaquants d'exécuter des commandes arbitraires et de transférer des fichiers. Son absence de fichier et l'utilisation de WebSockets pour les communications C2 en font un outil particulièrement furtif et dangereux pour les attaquants.
Conclusion : une menace sophistiquée et évasive
UNC5174 continue de représenter un risque important en raison de sa combinaison d'outils open source, de méthodes de distribution sophistiquées et de charges utiles furtives comme SNOWLIGHT et VShell. Leur capacité à rester indétectables tout en exploitant des outils publics et des vulnérabilités multiplateformes souligne la nécessité d'une vigilance accrue et de stratégies défensives actualisées.
