Cyber Assalto Globale: UNC5174 Sfrutta Open Source per Attacchi Invisibili su Linux e macOS

News
Visite: 264

Il gruppo di hacker noto come UNC5174, affiliato alla Cina, è stato identificato come responsabile di una nuova campagna di attacchi informatici che utilizza una variante del malware SNOWLIGHT e un nuovo strumento open source chiamato VShell per compromettere i sistemi Linux. Questo gruppo di hacker si avvale sempre più di strumenti open source per ridurre i costi e camuffarsi tra gli attori non statali, rendendo difficile l'attribuzione delle loro attività.

Attacchi Documentati

UNC5174, anche conosciuto come Uteus, è stato precedentemente documentato per aver sfruttato vulnerabilità nei software Connectwise ScreenConnect e F5 BIG-IP per distribuire un downloader ELF basato su C, SNOWLIGHT, progettato per recuperare un tunneler Golang chiamato GOHEAVY da un'infrastruttura legata a un framework C2 disponibile pubblicamente noto come SUPERSHELL. In aggiunta, gli attacchi facevano uso di un backdoor shell inversa pubblicamente disponibile, GOREVERSE, scritto in Golang che opera tramite SSH.

Osservazioni dell'ANSSI

L'Agenzia Nazionale Francese per la Sicurezza dei Sistemi di Informazione (ANSSI) ha osservato un attore che utilizzava tecniche simili a quelle di UNC5174 per sfruttare vulnerabilità nel Cloud Service Appliance (CSA) di Ivanti, come le CVE-2024-8963, CVE-2024-9380 e CVE-2024-8190, per ottenere il controllo e eseguire codice arbitrario. Questi attacchi sono caratterizzati dall'uso di strumenti di intrusione largamente disponibili come open source e dall'uso di un codice rootkit già riportato pubblicamente.

Sistemi Colpiti

Sia SNOWLIGHT che VShell sono in grado di colpire anche i sistemi macOS di Apple, con quest'ultimo distribuito come una falsa applicazione di autenticazione Cloudflare. La catena di attacco osservata da Sysdig a gennaio 2025 vede il malware SNOWLIGHT agire come un dropper per un payload in memoria senza file chiamato VShell, un trojan di accesso remoto ampiamente utilizzato da criminali informatici di lingua cinese. L'accesso iniziale alla rete utilizzato per l'attacco rimane sconosciuto.

Funzionalità di VShell

Secondo Sysdig, VShell agisce come un RAT, consentendo ai suoi utilizzatori di eseguire comandi arbitrari e scaricare o caricare file. SNOWLIGHT e VShell rappresentano un rischio significativo per le organizzazioni a causa delle loro tecniche furtive e sofisticate, tra cui l'uso di WebSockets per il command-and-control e il payload VShell senza file.

Divulgazioni Recenti

Questa divulgazione arriva mentre TeamT5 ha rivelato che un gruppo di hacker legato alla Cina ha probabilmente sfruttato falle di sicurezza negli apparecchi Ivanti per ottenere l'accesso iniziale e distribuire il malware SPAWNCHIMERA. Gli attacchi hanno colpito una vasta gamma di settori in quasi 20 paesi diversi, tra cui Austria, Australia, Francia, Spagna, Giappone, Corea del Sud, Paesi Bassi, Singapore, Taiwan, Emirati Arabi Uniti, Regno Unito e Stati Uniti.

Pin It
, , , , ,

Cyber Security UP

CybersecurityUP è una BU di Fata Informatica.
Dal 1994 eroghiamo servizi di sicurezza IT per grandi organizzazioni sia civili che militari.
  • Ethical Hacking
  • Red Teaming
  • Penetration Testing
  • Security Code Review
  • SOC 24x7
  • Formazione specialistica
Image
Image
Image
Via Tiburtina 912,
CAP 00156,
ROMA

Lunedì-venerdì
09:30 - 13:00
14:00 - 18:30

+39 06 4080 0490
amministrazione@fatainformatica.com

Contattaci

Necessiti dei nostri servizi di Cybersecurity?

Privacy policy

Ti invitiamo prendere visione della nostra
privacy policy  per la protezione dei tuoi dati personali.
Disclaimer
Alcune delle foto presenti su Cybersecurityup.it potrebbero essere state prese da Internet e quindi valutate di pubblico dominio. Se i soggetti o gli autori avessero qualcosa in contrario alla pubblicazione, lo possono segnalare via email alla redazione che provvederà prontamente alla rimozione delle immagini utilizzate.
© 2025 Fata Informatica. Tutti i diritti riservati.