UNC5174 гэгддэг Хятадтай холбоотой аюул заналхийлэгч нь SNOWLIGHT нэртэй мэдэгдэж буй хортой програмын хувилбар болон Линукс системийг халдварлах VShell хэмээх нээлттэй эхийн шинэ хэрэгслийг ашигладаг шинэ кампанит ажилтай холбоотой юм.
"Аюул заналхийлэгчид мөнгө хэмнэхийн тулд зардлын үр ашигтай, будлиантай байхын тулд нээлттэй эх сурвалжийн хэрэгслийг зэвсэглэлдээ улам бүр ашиглаж байгаа бөгөөд энэ тохиолдолд төрийн бус ивээн тэтгэдэг, ихэвчлэн техникийн бага өрсөлдөгчидтэй (жишээ нь, скриптийн хүүхдүүд гэх мэт) нэгдэж, улмаар нэрлэхийг улам хүндрүүлж байна" гэж Risdigless News-ийн сурвалжлагч хэлэв.
"Энэ нь ялангуяа Хятадын засгийн газартай холбоотой байснаасаа хойш сүүлийн нэг жил радарт байсан энэхүү заналхийлэгчийн хувьд үнэн байх шиг байна."
Uteus (эсвэл Uetus) гэгддэг UNC5174 нь өмнө нь Google-ийн эзэмшдэг Mandiant нь Connectwise ScreenConnect болон F5 BIG-IP программ хангамжийн аюулгүй байдлын алдааг ашиглаж, GOHEAVY гэж нэрлэгдсэн Голанг туннелерийг олон нийтэд түгээх зорилготой SNOWLIGHT нэртэй C-д суурилсан ELF татагчийг хүргэж байна гэж баримтжуулсан. SUPERSHELL гэж нэрлэгддэг (C2) хүрээ.
Мөн халдлагад голлон хэл дээр бичсэн, Secure Shell (SSH) дээр ажилладаг, олон нийтэд нээлттэй урвуу бүрхүүлийн арын хаалга болох GOREVERSE ашигласан.
Францын Мэдээллийн Системийн Аюулгүй байдлын Үндэсний Агентлаг (ANSSI) өнгөрсөн сард нийтэлсэн 2024 оны Кибер аюулын тойм тайландаа CVE-2024-8962, CVE-9280, CVE-9280, Ivanti Cloud Service Appliance (CSA) дээрх аюулгүй байдлын дутагдлыг зэвсэглэхийн тулд UNC5174-тэй ижил төрлийн худалдааны хэрэгслийг ашиглаж байгаа халдагчийг ажигласан гэж мэдэгджээ. CVE-2024-8190 нь хяналтыг олж, дурын кодыг ажиллуулна.
"Дунд зэрэг боловсронгуй бөгөөд нууцлагдмал энэхүү халдлагын багц нь ихэвчлэн нээлттэй эх сурвалж хэлбэрээр ашиглах боломжтой халдлага хийх хэрэгслүүд болон аль хэдийн олон нийтэд мэдээлэгдсэн - rootkit код ашиглан тодорхойлогддог" гэж ANSSI хэлэв.
2024 оны 10-р сард Хятадаас VirusTotal-д байршуулсан олдворуудад хийсэн дүн шинжилгээгээр SNOWLIGHT болон VShell хоёулаа Apple-ийн macOS системүүдийг онилох чадвартай бөгөөд сүүлийнх нь одоогоор тодорхойгүй байгаа халдлагын гинжин хэлхээний нэг хэсэг болох хуурамч Cloudflare баталгаажуулагч программ хэлбэрээр тараагдсан болохыг тэмдэглэх нь зүйтэй.
2025 оны 1-р сарын сүүлчээр Sysdig-ийн ажигласан халдлагын гинжин хэлхээнд SNOWLIGHT хортой программ нь Хятад хэлээр ярьдаг кибер гэмт хэрэгтнүүдийн өргөн ашигладаг алсаас хандалтын троян (RAT) болох VShell хэмээх файлгүй, санах ойн ачааллын дусаагуурын үүрэг гүйцэтгэдэг. Халдлагад ашигласан анхны хандалтын вектор одоогоор тодорхойгүй байна.
Тодруулбал, анхны хандалт нь SNOWLIGHT (dnsloger) болон Sliver (system_worker) -тай холбоотой хоёр хоёртын файлуудыг байршуулдаг хортой bash скриптийг ("download_backd.sh") гүйцэтгэхэд ашиглагддаг бөгөөд эдгээр нь хоёулаа C2 сервертэй тууштай ажиллах, харилцаа холбоо тогтооход ашиглагддаг.
Довтолгооны эцсийн шат нь C2 серверт тусгайлан боловсруулсан хүсэлтийн тусламжтайгаар VShell-ийг SNOWLIGHT-ээр дамжуулж, улмаар алсын удирдлага, цаашлаад буулт хийсний дараах ашиглалтыг идэвхжүүлдэг.
"[VShell] нь RAT (Remote Access Trojan)-ын үүргийг гүйцэтгэж, түүнийг хүчирхийлэгчид дур зоргоороо тушаал гүйцэтгэх, файл татаж авах, байршуулах боломжийг олгодог" гэж Риззо хэлэв. "SNOWLIGHT болон VShell нь нууцлаг, боловсронгуй арга техникийнхээ улмаас байгууллагуудад ихээхэн эрсдэл учруулдаг" гэж Сидиг хэлэв. "Үүнийг WebSockets-ийг команд-хяналт, түүнчлэн файлгүй VShell-ийн ачаалал нотолж байна."
TeamT5 нь Хятад-nexus-ийг хакердах бүлэг нь Ivanti төхөөрөмжүүдийн (CVE-2025-0282 ба CVE-2025-22457) аюулгүй байдлын алдааг ашиглаж, анхны хандалт авч, SPAWNCHIMERA хортой программыг байршуулсан болохыг илрүүлсэнтэй холбогдуулан энэ мэдээлэл гарч байна.
Тайваний кибер аюулгүй байдлын компани энэ халдлагууд нь Австри, Австрали, Франц, Испани, Япон, Өмнөд Солонгос, Нидерланд, Сингапур, Тайвань, Арабын Нэгдсэн Эмират, Их Британи, АНУ зэрэг 20 орчим улсыг хамарсан олон салбарыг онилсон гэж мэдэгдэв.
Судалгааны дүгнэлт нь АНУ-ын Үндэсний аюулгүй байдлын агентлаг (NSA) хоёрдугаар сард Азийн өвлийн наадмын үеэр "дэвшилтэт" кибер халдлага үйлдэж, Хятадын мэдээллийн чухал дэд бүтцэд удаа дараа халдлага үйлдсэн, мөн Huawei компанийн эсрэг NSA-ын гурван төлөөлөгч рүү хуруугаараа хуруугаараа чиглүүлсэн гэж Хятадыг буруутгаж байгаатай уялдаж байна.
"Азийн өвлийн есдүгээр наадмын үеэр АНУ-ын засгийн газар наадмын мэдээллийн систем болон Хэйлунжан дахь мэдээллийн чухал дэд бүтцэд кибер халдлага үйлдсэн" гэж ГХЯ-ны хэвлэлийн төлөөлөгч Лин Зянь мэдэгдэв. "Энэ алхам нь Хятадын мэдээллийн чухал дэд бүтэц, үндэсний батлан хамгаалах, санхүү, нийгэм, үйлдвэрлэлийн аюулгүй байдал, иргэдийн хувийн мэдээллийн аюулгүй байдалд ноцтой аюул учруулж байгаа тул харгис үйлдэл юм."
source: https://thehackernews.com
