VShell? Скорее уж VHell: новый кошмар для Linux от UNC5174

Китайская кибергруппировка UNC5174, также известная как Uteus или Uetus, развернула новую атаку на Linux-системы, используя модифицированный вредоносный код SNOWLIGHT и инструмент VShell с открытым исходным кодом. Кампания была раскрыта исследователями Sysdig, которые подчеркнули, что злоумышленники всё чаще прибегают к таким инструментам не только из соображений экономии, но и чтобы маскироваться под менее организованных и малокомпетентных нападающих.

Группу UNC5174 ранее связывали с китайским правительством, и в течение последнего года она практически не привлекала внимания. Однако новые атаки показывают, что активность возобновилась, причём с использованием продвинутой инфраструктуры.

В числе ранее использованных векторами проникновения уязвимостей фигурируют Connectwise ScreenConnect и F5 BIG-IP, позволяющие загрузить вредоносный ELF-файл SNOWLIGHT, написанный на C. Этот компонент выступает загрузчиком для туннелирующего модуля GOHEAVY на Go, взаимодействующего с C2-сервером через платформу SUPERSHELL.

Дополнительно злоумышленники применяли GOREVERSE — обратный шелл на Go, функционирующий через SSH. Французское агентство кибербезопасности ANSSI также подтвердило активность, схожую с методами UNC5174, указывая на эксплойты в Ivanti Cloud Service Appliance. Среди эксплуатируемых уязвимостей упоминаются CVE-2024-8963 , CVE-2024-9380 и CVE-2024-8190 , с помощью которых устанавливается контроль над системой и запускается произвольный код.

Оба инструмента — SNOWLIGHT и VShell — способны работать не только на Linux, но и на macOS. VShell при этом маскируется под поддельное приложение Cloudflare для аутентификации. По данным анализа, такие исполняемые файлы загружались на VirusTotal из Китая в октябре 2024 года, что указывает на более раннее тестирование связки.

В ходе недавней атаки, зафиксированной в январе 2025 года, SNOWLIGHT выполнял роль загрузчика для VShell — RAT-инструмента, действующего без сохранения на диск, исключительно в оперативной памяти. Это усложняет его обнаружение традиционными средствами. Неизвестный на данный момент вектор начального доступа использовался для запуска вредоносного bash-скрипта «download_backd.sh», устанавливающего два бинарных файла: «dnsloger» (SNOWLIGHT) и «system_worker» (модуль Sliver), ответственных за установление постоянства в системе и связь с сервером управления.

На завершающем этапе атаки SNOWLIGHT инициировал запрос к C2-серверу, получая VShell. Этот RAT позволяет выполнять команды, загружать и выгружать файлы, обеспечивая полноценный контроль над заражённой машиной. Особую угрозу представляют применяемые тактики: использование WebSocket-соединений для связи и полное отсутствие следов на диске.

Тем временем, компания TeamT5 сообщила о схожей атаке, предположительно также китайского происхождения, где через уязвимости в продуктах Ivanti были развёрнуты вредоносные компоненты SPAWNCHIMERA. Под прицел попали организации из 20 стран, включая Австрию, Австралию, Францию, Японию, Южную Корею, Сингапур, ОАЭ, Великобританию и США.

На фоне этой активности Китай обвинил Агентство национальной безопасности США в атаках на инфраструктуру зимних Азиатских игр, проходивших в феврале в Харбине. По данным китайского CVERC, только с 26 января по 14 февраля на системы было совершено более 170 тысяч атак с американских IP-адресов, а общее число внешних атак составило свыше 270 тысяч. Пекин расценил действия США как угрозу национальной безопасности и вмешательство в критическую инфраструктуру страны.