一個由中國政府支持的網路間諜組織 UNC5174(又稱「Uteus」)再次出現,並針對 Linux 和 macOS 系統發動了一場複雜的攻擊活動。該組織採用客製化惡意軟體和開源工具的組合來滲透網路、逃避偵測並可能竊取受感染環境的存取權限。
悄悄回歸
在一段相對平靜的時期後,UNC5174 自 2024 年底起發動了新一輪攻擊。該組織的行動特點是部署了一個名為 SNOWLIGHT 的自訂惡意軟體投放器,該投放器作為傳遞無檔案記憶體有效載荷(稱為 VShell)的管道。 VShell 是一種受中文網路犯罪分子青睞的遠端存取木馬 (RAT)。
攻擊序列通常從執行惡意 bash 腳本開始,通常名為 download_backd.sh,下載並安裝 SNOWLIGHT 二進位。這些二進位檔案透過 WebSockets 與命令和控制 (C2) 伺服器建立通信,從而促進後續 VShell 有效負載的傳遞。值得注意的是,VShell 完全在記憶體中運行,留下的取證痕跡很少,並且使檢測工作變得複雜。
利用開源工具混淆
UNC5174 對 VShell 和 WebSockets 等開源工具的策略性使用凸顯了高階持續性威脅 (APT) 參與者利用公開可用的軟體進行惡意目的的更廣泛趨勢。這種方法不僅降低了開發成本,而且還使威脅行為者能夠與不太成熟的網路犯罪分子混在一起,使歸因變得複雜。
尤其是 VShell,因其隱身功能而備受關注。它透過標準 HTTPS 連接埠上的加密 WebSocket 連接進行操作,可實現與 C2 伺服器的即時加密通信,從而有效繞過許多傳統的安全措施。該工具的記憶體執行進一步增強了它的規避性,使其無法被基於檔案的掃描解決方案檢測到。
全球影響力和目標產業
UNC5174 近期活動主要針對美國的組織,並在香港、台灣、日本、德國和法國等國家偵測到其他入侵指標。該組織的重點涉及各個領域,包括政府機構、研究機構、科技公司和非政府組織 (NGO)。
在先前的活動中,UNC5174 利用廣泛使用的軟體(例如 F5 BIG-IP 和 ConnectWise ScreenConnect)中的漏洞來獲取對網路的未經授權的存取。該組織還涉嫌利用網域搶注技術進行網路釣魚活動,並冒充 Cloudflare、Google 和 Telegram 等知名實體,誘騙目標執行惡意腳本。
影響和建議
UNC5174 的再次出現凸顯了國家支持的網路間諜組織所構成的持續威脅。他們對開源工具和複雜惡意軟體的熟練使用凸顯了組織採取主動和全面的網路安全措施的必要性。
對組織的建議:
- 實施網路監控: 部署能夠偵測異常行為(例如異常的 WebSocket 流量或記憶體執行模式)的高階網路監控解決方案。
- 定期更新系統: 確保所有系統和應用程式都安裝了最新的安全補丁,以減輕已知的漏洞。
- 教育員工: 定期舉辦培訓課程,讓員工了解網路釣魚策略以及驗證電子郵件和網站真實性的重要性。
- 限制腳本執行: 實施限制未經授權的腳本執行的政策,特別是從未經驗證的來源下載的腳本。
- 利用端點檢測和響應(EDR): 採用可偵測並回應端點層級可疑活動(包括無檔案惡意軟體執行)的 EDR 解決方案。
隨著網路威脅不斷演變,保持知情和警覺仍然至關重要。面對 UNC5174 等複雜的對手,組織必須優先考慮網路安全,以保護其資產並保持營運完整性。
