Была замечена китайская хакерская группа, спонсируемая государством, использующая недавно выпущенные инструменты безопасности с открытым исходным кодом и другие тактики в попытке затеряться среди более распространённой киберпреступной деятельности.
Группа UNC5174 — это хакерская группировка, нацеленная на шпионаж. Предполагается, что она связана с правительством Китая и нацелена на западные правительства, технологические компании, исследовательские институты и аналитические центры.
В ходе новой кампании, за которой наблюдали исследователи Sysdig, было замечено, что группа использовала VShell — троян удаленного доступа с открытым исходным кодом, созданный китайским разработчиком и популярный среди китайских киберпреступников, — для осуществления действий после эксплуатации.
Было также замечено, что они используют WebSockets — набор протоколов связи с открытым исходным кодом — для связи с инфраструктурой управления и контроля, маскируя большую часть своего вредоносного трафика с помощью зашифрованных передач.
По-видимому, это оказалось эффективным, поскольку, как отметила инженер по исследованию угроз Sysdig Алессандра Риццо, «наш динамический захват подтверждает, что, за исключением нескольких случайных слов, мы не нашли ничего примечательного в сетевом трафике после того, как соединение было обновлено до WebSocket».
Наблюдаемое поведение совпадает с более широкой тенденцией, которую наблюдают исследователи: более продвинутые и спонсируемые государством злоумышленники отказываются от специализированных инструментов в пользу инструментов с открытым исходным кодом или более дешевых инструментов, используемых «скрипт-кидди» или менее технически подкованными киберпреступниками.
Этот подход, «похоже, особенно актуален для этого конкретного злоумышленника, который последний год находился вне поля зрения с момента своего сотрудничества с китайским правительством», — написал Риццо. Это также примечательно, поскольку «почти все» инструменты UNC5174, обнаруженные до прошлого года, были изготовлены по индивидуальному заказу и «не поддавались легкому копированию».
Еще в январе было замечено, что UNC5174 использует как Vshell, так и WebSockets, хотя группировка продолжала использовать пользовательское вредоносное ПО для последующей эксплуатации, нацеливаясь на системы на базе Linux.
Действительно, одной из визитных карточек UNC5174 является использование SNOWLIGHT, семейства вредоносных программ, впервые обнаруженного исследователями Mandiant, которое действует совместно с VShell для развертывания вредоносного ПО без файлов на зараженных системах.
В этой последней кампании злоумышленники используют вредоносную нагрузку под названием «dnsloger», входящую в семейство SNOWLIGHT. Действия злоумышленников отражали глубокое знание операционных систем на базе Linux, включая методы поддержания персистентности, методы обхода защиты и техники внедрения.
Неясно, как UNC5174 получает первоначальный доступ к системам жертвы, но среди артефактов, обнаруженных исследователями Sysdig, есть ряд доменов командного управления, которые указывают на то, что использовались захваченные домены веб-сайтов и тактика фишинга.
Результаты исследования согласуются с другими недавно выявленными случаями активности, связанными с UNC5174.
В 2024 году французское агентство кибербезопасности ANSSI зафиксировало, что злоумышленник использовал ту же тактику, методы и процедуры, что и UNC5174, эксплуатируя уязвимости в продукте Ivanti Cloud Service Appliance, предоставляя ему права на удалённое выполнение кода на заражённых машинах. Эта атака включала использование уязвимости нулевого дня (CVE2024-8190) за несколько дней до публикации Ivanti предупреждения по безопасности.
Однако дальнейшее расследование зараженных жертв, проведенное агентством, показало, что группа использовала «общий набор средств вторжения» для получения первоначального доступа, и предположило, что UNC5174 могла продавать свой доступ тому, кто предлагал наивысшую цену.
«Этот набор атак, отличающийся умеренной сложностью и незаметностью, характеризуется использованием инструментов взлома, широко доступных с открытым исходным кодом, а также — о чём уже сообщалось публично — использованием кода rootkit10», — пишет агентство. «Тем не менее, действия, предпринимаемые после использования уязвимости, различаются от инцидента к инциденту, что подтверждает гипотезу об использовании набора атак для защиты начальных точек доступа, а затем продажи или передачи другим операторам».
Риццо написал, что использование UNC5174 инструментов с открытым исходным кодом, таких как VShell и WebSockets, вероятно, помогло группировке замаскировать свое присутствие в других, еще не обнаруженных кампаниях.
«Отсутствие общедоступной документации об использовании VShell этим злоумышленником говорит само за себя, поскольку собранные нами доказательства показывают, что эта кампания активна как минимум с ноября 2024 года», — отметил Риццо.
Группа UNC5174 — это хакерская группировка, нацеленная на шпионаж. Предполагается, что она связана с правительством Китая и нацелена на западные правительства, технологические компании, исследовательские институты и аналитические центры.
В ходе новой кампании, за которой наблюдали исследователи Sysdig, было замечено, что группа использовала VShell — троян удаленного доступа с открытым исходным кодом, созданный китайским разработчиком и популярный среди китайских киберпреступников, — для осуществления действий после эксплуатации.
Было также замечено, что они используют WebSockets — набор протоколов связи с открытым исходным кодом — для связи с инфраструктурой управления и контроля, маскируя большую часть своего вредоносного трафика с помощью зашифрованных передач.
По-видимому, это оказалось эффективным, поскольку, как отметила инженер по исследованию угроз Sysdig Алессандра Риццо, «наш динамический захват подтверждает, что, за исключением нескольких случайных слов, мы не нашли ничего примечательного в сетевом трафике после того, как соединение было обновлено до WebSocket».
Наблюдаемое поведение совпадает с более широкой тенденцией, которую наблюдают исследователи: более продвинутые и спонсируемые государством злоумышленники отказываются от специализированных инструментов в пользу инструментов с открытым исходным кодом или более дешевых инструментов, используемых «скрипт-кидди» или менее технически подкованными киберпреступниками.
Этот подход, «похоже, особенно актуален для этого конкретного злоумышленника, который последний год находился вне поля зрения с момента своего сотрудничества с китайским правительством», — написал Риццо. Это также примечательно, поскольку «почти все» инструменты UNC5174, обнаруженные до прошлого года, были изготовлены по индивидуальному заказу и «не поддавались легкому копированию».
Еще в январе было замечено, что UNC5174 использует как Vshell, так и WebSockets, хотя группировка продолжала использовать пользовательское вредоносное ПО для последующей эксплуатации, нацеливаясь на системы на базе Linux.
Действительно, одной из визитных карточек UNC5174 является использование SNOWLIGHT, семейства вредоносных программ, впервые обнаруженного исследователями Mandiant, которое действует совместно с VShell для развертывания вредоносного ПО без файлов на зараженных системах.
В этой последней кампании злоумышленники используют вредоносную нагрузку под названием «dnsloger», входящую в семейство SNOWLIGHT. Действия злоумышленников отражали глубокое знание операционных систем на базе Linux, включая методы поддержания персистентности, методы обхода защиты и техники внедрения.
Неясно, как UNC5174 получает первоначальный доступ к системам жертвы, но среди артефактов, обнаруженных исследователями Sysdig, есть ряд доменов командного управления, которые указывают на то, что использовались захваченные домены веб-сайтов и тактика фишинга.
Результаты исследования согласуются с другими недавно выявленными случаями активности, связанными с UNC5174.
В 2024 году французское агентство кибербезопасности ANSSI зафиксировало, что злоумышленник использовал ту же тактику, методы и процедуры, что и UNC5174, эксплуатируя уязвимости в продукте Ivanti Cloud Service Appliance, предоставляя ему права на удалённое выполнение кода на заражённых машинах. Эта атака включала использование уязвимости нулевого дня (CVE2024-8190) за несколько дней до публикации Ivanti предупреждения по безопасности.
Однако дальнейшее расследование зараженных жертв, проведенное агентством, показало, что группа использовала «общий набор средств вторжения» для получения первоначального доступа, и предположило, что UNC5174 могла продавать свой доступ тому, кто предлагал наивысшую цену.
«Этот набор атак, отличающийся умеренной сложностью и незаметностью, характеризуется использованием инструментов взлома, широко доступных с открытым исходным кодом, а также — о чём уже сообщалось публично — использованием кода rootkit10», — пишет агентство. «Тем не менее, действия, предпринимаемые после использования уязвимости, различаются от инцидента к инциденту, что подтверждает гипотезу об использовании набора атак для защиты начальных точек доступа, а затем продажи или передачи другим операторам».
Риццо написал, что использование UNC5174 инструментов с открытым исходным кодом, таких как VShell и WebSockets, вероятно, помогло группировке замаскировать свое присутствие в других, еще не обнаруженных кампаниях.
«Отсутствие общедоступной документации об использовании VShell этим злоумышленником говорит само за себя, поскольку собранные нами доказательства показывают, что эта кампания активна как минимум с ноября 2024 года», — отметил Риццо.
