مجموعة قرصنة صينية تستهدف أنظمة Linux ببرمجيات وأدوات خبيثة

كشفت شركة Sysdig لأمن المعلومات أن مجموعة التهديد المتقدمة المرتبطة بالصين والمعروفة باسم UNC5174 – وتُعرف أيضًا باسم Uteus أو Uetus – تشن حملة اختراق جديدة تستهدف أنظمة Linux باستخدام إصدار مطور من البرمجية الخبيثة SNOWLIGHT وأداة جديدة مفتوحة المصدر تُدعى VShell.

 خلفية عن مجموعة UNC5174

ظهرت المجموعة لأول مرة في تقارير شركة Mandiant التابعة لـ Google، حيث استغلت ثغرات أمنية في برامج Connectwise ScreenConnect وF5 BIG-IP لتوزيع برمجية SNOWLIGHT، وهي أداة تحميل (downloader) مبنية بلغة C تُستخدم لجلب أداة نفق شبكي تُعرف باسم GOHEAVY من بنية تحتية تستخدم منصة التحكم C2 المعروفة باسم SUPERSHELL.

كما استخدمت المجموعة في هجماتها بابًا خلفيًا من نوع reverse shell يُعرف باسم GOREVERSE، مكتوب بلغة Go ويعمل عبر بروتوكول SSH.

 تفاصيل الهجوم الجديد: SNOWLIGHT + VShell

في سلسلة الهجمات الأخيرة التي رُصدت في يناير 2025، عملت SNOWLIGHT كحامل (dropper) لأداة VShell، وهي حصان طروادة للوصول عن بُعد (RAT) لا تترك أثرًا على القرص وتعمل مباشرةً في الذاكرة. ووفقًا للباحثة Alessandra Rizzo من Sysdig، فإن البرمجيتين الخبيثتين تستخدمان تقنيات متقدمة للتخفي مثل:

• تحميل دون ملفات (Fileless payload)

• استخدام بروتوكولات WebSockets للتحكم عن بُعد

• توزيع VShell عبر طلب مخصص لخادم C2

 كيف يتم تنفيذ الهجوم؟

1. الوصول الأولي غير معروف بعد، لكنه يؤدي إلى تنفيذ سكربت bash ضار باسم download_backd.sh.

2. يقوم السكربت بتنزيل ملفين ثنائيين:

   • dnsloger المرتبط بـ SNOWLIGHT

   • system_worker المرتبط بأداة Sliver

3. يتم تثبيت البرمجيات لتحقيق الاستمرارية (Persistence) والتواصل مع خوادم C2.

4. يتم تحميل VShell في المرحلة الأخيرة لتوفير تحكم كامل عن بعد بالمصادر المستهدفة.

 نقاط إضافية:

• VShell و SNOWLIGHT لا تستهدفان Linux فقط، بل يمكنهما استهداف أنظمة macOS أيضًا.

• أُشير إلى أن VShell وُزعت في بعض الحالات كتطبيق وهمي لـ Cloudflare.

• البرمجيتان تشكلان تهديدًا خطيرًا بسبب قدرتهما على تنفيذ أوامر عشوائية وتحميل/رفع الملفات عن بعد.

 استغلال ثغرات Ivanti وتوسع الحملة

في تقارير موازية من الوكالة الوطنية الفرنسية لأمن المعلومات (ANSSI) وشركة TeamT5 التايوانية، تم توثيق استخدام المجموعة الصينية لثغرات في أجهزة Ivanti Cloud Service Appliance مثل:

• CVE-2024-8963

• CVE-2024-9380

• CVE-2024-8190

• CVE-2025-0282

• CVE-2025-22457

استهدفت الهجمات قطاعات متعددة في أكثر من 20 دولة، من بينها: النمسا، أستراليا، فرنسا، اليابان، كوريا الجنوبية، الإمارات، المملكة المتحدة، والولايات المتحدة.

 اتهامات متبادلة بين الصين والولايات المتحدة

تتزامن هذه الاكتشافات مع تصعيد في الاتهامات المتبادلة بين الصين والولايات المتحدة، حيث اتهمت وزارة الخارجية الصينية وكالة الأمن القومي الأمريكية (NSA) بشن هجمات إلكترونية متقدمة على البنية التحتية الحيوية في الصين، بما في ذلك أنظمة دورة الألعاب الآسيوية الشتوية.