中国のハッカー、SNOWLIGHTマルウェアとVShellツールを使用してLinuxシステムを標的に

Security

記事本文(要約)

中国に関連した脅威アクターUNC5174が、新たなキャンペーンで既知のマルウェアSNOWLIGHTの変異種と、新しいオープンソースツールVShellを使用してLinuxシステムを感染させることが確認されました。この攻撃は、セキュリティ研究者からの報告によれば、コスト削減や難読化のためにオープンソースツールを使用し、国家支援でない攻撃者の間に目立ちにくくする狙いがあるとされています。

UNC5174は以前、Connectwise ScreenConnectとF5 BIG-IPソフトウェアの脆弱性を悪用し、GOHEAVYトンネラーを取得するためにSNOWLIGHTというCベースのダウンローダーを展開していました。また、公開されているSSHベースのリバースシェル「GOREVERSE」も使用されています。フランス国家情報システムセキュリティ庁(ANSSI)は、この脅威アクターがIvanti Cloud Service Applianceなどの脆弱性を利用して任意コードを実行する攻撃手法を用いていることを確認しています。

SNOWLIGHTとVShellは、AppleのmacOSシステムも標的にする能力があり、VShellは偽のCloudflare認証アプリケーションとして配布されていました。1月2025年にSysdigが観察した攻撃では、SNOWLIGHTはVShellというメモリ上で活動するリモートアクセス型トロイの木馬のドロッパーとして機能しました。

さらに、台湾のセキュリティ企業TeamT5は、中国関連のハッカーグループがIvanti製品の脆弱性を悪用して、幅広い国々の様々なセクターを標的にしたことを報告しています。最後に、これに関連して中国政府は、米国国家安全保障局(NSA)が、中国で開催されたアジア冬季競技大会中にサイバー攻撃を実行したと非難しました。

※この要約はChatGPTを使用して生成されました。

公開日: Tue, 15 Apr 2025 19:36:00 +0530

Original URL: https://thehackernews.com/2025/04/chinese-hackers-target-linux-systems.html

詳細な技術情報

  • CVE番号
    • この記事で言及されているCVE番号は以下の通りです:
      • CVE-2024-8963
      • CVE-2024-9380
      • CVE-2024-8190
      • CVE-2025-0282
      • CVE-2025-22457
  • 脆弱性の仕組み
    • これらの脆弱性は、主にIvanti Cloud Service Applianceなどのソフトウェアに存在し、攻撃者が悪用することでシステムにアクセスし、任意のコードを実行することが可能になります。
  • 攻撃手法
    • UNC5174は、以下のような攻撃手法を使用しています:
      • 1. 初期アクセスの獲得:
        • 現時点では特定されていない方法を用いて初期アクセスを取得します。
      • 2. マルウェアの展開:
        • `download_backd.sh`という悪意のあるBashスクリプトを実行し、Persistenceを設定しC2サーバーと通信を開始するために必要なバイナリを配置します。
      • 3. マルウェアの機能:
        • SNOWLIGHTは、主にファイルレスペイロードであるVShellを投下する「ドロッパー」として機能します。
        • VShellはRAT(リモートアクセス型トロイの木馬)として振舞い、システムに対する任意のコマンドの実行やファイルのダウンロード及びアップロードが可能です。
      • 4. C2通信の確立:
        • WebSocketsを利用した高度なC2通信により、攻撃者がステルス性を維持しつつシステムの制御を行います。
  • 潜在的な影響
    • マルウェアによる遠隔操作およびデータの窃取。
    • 感染したシステムの完全な制御により、さらなる不正な活動(追加のマルウェア投下、情報収集、システムの破壊など)が可能。
    • 被害範囲は広く、多くの国やセクターが標的となっている。
  • 推奨される対策
    • 1. パッチの適用: 記載されているCVEに対するパッチを迅速に適用することで、脆弱性の悪用を防ぐ。
    • 2. ネットワーク監視の強化: WebSocketsやその他の異常な通信パターンを監視し、異常を検出した際に迅速に対応できる体制を整える。
    • 3. セキュリティ教育の実施: オープンソースツールが脅威として利用されるケースについての理解を深め、従業員に対する教育を強化する。
    • 4. マルウェア対策ソフトの更新と活用: マルウェアの検出機能が最新の状態にあることを確認し、積極的に活用する。
    • 5. インシデント対応計画の見直し・強化: 新たな攻撃手法やツールに対して迅速に対応できるインシデント対応計画の策定と演習を行う。