آنتی ویروس پادویش خرید طلا از میلادزر

هکرهای چینی در کمین لینوکس! مراقب بدافزار SNOWLIGHT و ابزار VShell باشید

هکرهای چینی در کمین لینوکس

یک گروه هکری وابسته به چین، موسوم به UNC5174، با استفاده از نسخه جدیدی از بدافزار SNOWLIGHT و ابزار متن باز VShell، کمپین جدیدی را علیه سیستم های لینوکس به راه انداخته است. این مهاجمان با بهره گیری از ابزارهای متن باز و تکنیک های پیشرفته مانند اجرای بدون فایل، سعی در پنهان کردن هویت خود و دستیابی به کنترل کامل سیستم های هدف دارند. جزئیات بیشتر این حملات و ارتباط آن با آسیب پذیری های اخیر را در ادامه بخوانید.

کانال بله زوم تکگیفت کارت

افشای تاکتیک های جدید هکرهای چینی: لینوکس زیر ذره بین بدافزار SNOWLIGHT و ابزار VShell

به گزارش زوم تک از هکر نیوز، گروه تهدید کننده وابسته به چین که با نام UNC5174 شناخته می شود، به یک کمپین جدید نسبت داده شده است که از نوعی بدافزار شناخته شده به نام SNOWLIGHT و یک ابزار متن باز جدید به نام VShell برای آلوده کردن سیستم های لینوکس استفاده می کند.

استفاده استراتژیک از ابزارهای متن باز

الساندرا ریزو، محقق Sysdig در گزارشی که با هکر نیوز به اشتراک گذاشته شده است، گفت: “عوامل تهدید به طور فزاینده ای از ابزارهای متن باز در زرادخانه های خود برای مقرون به صرفه بودن و پنهان کاری استفاده می کنند تا در هزینه ها صرفه جویی کنند و در این مورد، به طور قابل قبولی با مجموعه مهاجمان غیر دولتی و اغلب کمتر فنی (مانند script kiddies) ترکیب شوند و در نتیجه شناسایی و انتساب را دشوارتر کنند.” وی افزود: “به نظر می رسد این امر به ویژه در مورد این عامل تهدید خاص صدق می کند، که از زمان وابسته شدن به دولت چین در سال گذشته، زیر رادار بوده است.”

سابقه فعالیت UNC5174 (Uteus)

پیش از این، شرکت Mandiant متعلق به گوگل، گروه UNC5174 که با نام Uteus (یا Uetus) نیز شناخته می شود را مستند کرده بود که از نقص های امنیتی در نرم افزارهای Connectwise ScreenConnect و F5 BIG-IP برای تحویل یک دانلود کننده ELF مبتنی بر C به نام SNOWLIGHT سوء استفاده می کند. این دانلود کننده برای واکشی یک ابزار تونل زنی Golang به نام GOHEAVY از زیرساخت های مرتبط با یک چارچوب فرمان و کنترل (C2) عمومی به نام SUPERSHELL طراحی شده است. همچنین در این حملات GOREVERSE، یک بکدور پوسته معکوس (reverse shell) در دسترس عموم که به زبان Golang نوشته شده و از طریق پوسته امن (SSH) عمل می کند، مستقر شده بود.

یافته های آژانس امنیت سایبری فرانسه (ANSSI)

آژانس ملی امنیت سیستم های اطلاعاتی فرانسه (ANSSI)، در گزارش بررسی اجمالی تهدیدات سایبری خود برای سال 2024 که ماه گذشته منتشر شد، اعلام کرد که مهاجمی را مشاهده کرده است که از روش های مشابه UNC5174 برای مسلح کردن نقص های امنیتی در Ivanti Cloud Service Appliance (CSA) مانند CVE-2024-8963، CVE-2024-9380 و CVE-2024-8190 استفاده می کند تا کنترل را به دست آورده و کد دلخواه را اجرا کند. ANSSI گفت: “این مجموعه نفوذ، با پیچیدگی متوسط و محتاطانه، با استفاده از ابزارهای نفوذی که عمدتاً به صورت متن باز در دسترس هستند و با استفاده – که قبلاً به صورت عمومی گزارش شده است – از کد روت کیت مشخص می شود.”

بیشتر بخوانید  بهترین راهکارها برای غیرفعال کردن اسکایپ (Skype) هنگام راه اندازی در ویندوز 10

هدف قرار دادن سیستم های مک او اس

شایان ذکر است که طبق تجزیه و تحلیل مصنوعات بارگذاری شده در VirusTotal از چین در اکتبر 2024، هر دو بدافزار SNOWLIGHT و VShell قادر به هدف قرار دادن سیستم های اپل مک او اس نیز هستند، که VShell به عنوان بخشی از یک زنجیره حمله نامشخص، به صورت یک برنامه احراز هویت جعلی Cloudflare توزیع می شود.

جزئیات زنجیره حمله مشاهده شده

در زنجیره حمله ای که توسط Sysdig در اواخر ژانویه 2025 مشاهده شد، بدافزار SNOWLIGHT به عنوان یک دراپر (dropper) برای یک پیلود بدون فایل و درون حافظه ای به نام VShell عمل می کند که یک تروجان دسترسی از راه دور (RAT) است که به طور گسترده توسط مجرمان سایبری چینی زبان استفاده می شود. بردار دسترسی اولیه مورد استفاده برای این حمله در حال حاضر ناشناخته است. به طور خاص، از دسترسی اولیه برای اجرای یک اسکریپت مخرب bash (“download_backd.sh”) استفاده می شود که دو فایل باینری مرتبط با SNOWLIGHT (dnsloger) و Sliver (system_worker) را مستقر می کند که هر دو برای تنظیم پایداری (persistence) و برقراری ارتباط با سرور C2 استفاده می شوند. مرحله نهایی حمله، VShell را از طریق SNOWLIGHT با استفاده از یک درخواست ویژه ساخته شده به سرور C2 تحویل می دهد و بدین ترتیب کنترل از راه دور و بهره برداری بیشتر پس از نفوذ را امکان پذیر می کند.

عملکرد بدافزار VShell به عنوان RAT

ریزو گفت: “[VShell] به عنوان یک RAT (تروجان دسترسی از راه دور) عمل می کند و به سوء استفاده کنندگان اجازه می دهد دستورات دلخواه را اجرا کرده و فایل ها را بارگیری یا بارگذاری کنند.” Sysdig اعلام کرد: “SNOWLIGHT و VShell به دلیل تکنیک های پنهانی و پیچیده خود، خطر قابل توجهی برای سازمان ها ایجاد می کنند. این امر با استفاده از WebSockets برای فرمان و کنترل و همچنین پیلود بدون فایل VShell مشهود است.”

ارتباط با حملات دیگر و یافته های TeamT5

این افشاگری همزمان با آن صورت می گیرد که TeamT5 فاش کرد یک گروه هکری مرتبط با چین احتمالاً از نقص های امنیتی در دستگاه های Ivanti (CVE-2025-0282 و CVE-2025-22457) برای دستیابی به دسترسی اولیه و استقرار بدافزار SPAWNCHIMERA سوء استفاده کرده است. شرکت امنیت سایبری تایوانی گفت که این حملات بخش های متعددی را در نزدیک به 20 کشور مختلف از جمله اتریش، استرالیا، فرانسه، اسپانیا، ژاپن، کره جنوبی، هلند، سنگاپور، تایوان، امارات متحده عربی، بریتانیا و ایالات متحده هدف قرار داده اند.

اتهامات متقابل چین و آمریکا

این یافته ها همچنین با اتهامات چین مبنی بر اینکه آژانس امنیت ملی ایالات متحده (NSA) حملات سایبری “پیشرفته” را در طول بازی های زمستانی آسیایی در فوریه راه اندازی کرده است، همخوانی دارد. چین انگشت اتهام را به سوی سه مامور NSA به دلیل حملات مکرر به زیرساخت های اطلاعاتی حیاتی چین و همچنین علیه هوآوی نشانه رفته است. لین جیان، سخنگوی وزارت امور خارجه چین گفت: “در نهمین دوره بازی های زمستانی آسیایی، دولت ایالات متحده حملات سایبری را علیه سیستم های اطلاعاتی بازی ها و زیرساخت های اطلاعاتی حیاتی در هیلونگجیانگ انجام داد. این اقدام فاحش است زیرا امنیت زیرساخت های اطلاعاتی حیاتی چین، دفاع ملی، مالی، جامعه و تولید و همچنین اطلاعات شخصی شهروندان آن را به شدت به خطر می اندازد.”

به این پست امتیاز بدید

نظرات در مورد : هکرهای چینی در کمین لینوکس! مراقب بدافزار SNOWLIGHT و ابزار VShell باشید

0 دیدگاه

دیدگاهتان را بنویسید

نشانی ایمیل شما منتشر نخواهد شد. بخش‌های موردنیاز علامت‌گذاری شده‌اند *