Un grup de atacatori folosește Microsoft Teams pentru a distribui un nou malware “Snow”

Un grup de amenințări urmărit ca UNC6692 folosește ingineria socială pentru a desfășura un nou pachet personalizat de malware numit “Snow”, care include o extensie de browser, un tunneler și un backdoor. Scopul lor este de a fura date sensibile după o compromitere profundă a rețelei prin furtul de acreditive și preluarea domeniului, conform bleepingcomputer.com.

👉 Tactici de inginerie socială și mijloace de atac

Conform cercetătorilor de la Mandiant, atacatorul folosește tactici de “bombardare prin email” pentru a crea urgență, apoi contactează țintele prin Microsoft Teams, pretinzând că este un agent de suport IT. Un raport recent de la Microsoft a evidențiat popularitatea în creștere a acestei tactici în domeniul criminalității cibernetice, trucând utilizatorii să acorde atacatorilor acces de la distanță prin Quick Assist sau alte instrumente de acces de la distanță.

👉 Mecanismele de atac ale lui UNC6692

În cazul UNC6692, victima este provocată să facă clic pe un link pentru a instala o actualizare care ar bloca spamul prin email. În realitate, victimele primesc un dropper care execută scripturi AutoHotkey ce încarcă “SnowBelt”, o extensie Chrome malițioasă. Extensia se execută pe o instanță headless de Microsoft Edge, astfel încât victima să nu observe nimic, în timp ce sarcini programate și un shortcut în folderul de pornire sunt de asemenea create pentru persistență.

SnowBelt servește ca un mecanism de persistență și ca un mecanism de relay pentru comenzile pe care operatorul le trimite către un backdoor pe bază de Python numit SnowBasin. Comenzile sunt livrate printr-un tunel WebSocket stabilit de un instrument tunneler numit SnowGlaze, pentru a masca comunicațiile între gazdă și infrastructura de command-and-control (C2). SnowGlaze facilitează de asemenea operațiuni SOCKS proxy, permițând traficul TCP arbitrar să fie redirecționat prin gazda infectată.

👉 Funcționalitățile malware-ului Snow

SnowBasin rulează un server HTTP local și execută comenzi CMD sau PowerShell furnizate de atacator pe sistemul infectat, retransmițând rezultatele înapoi operatorului prin aceeași cale. Malware-ul suportă acces la shell de la distanță, exfiltrare de date, descărcare de fișiere, capturarea de capturi de ecran și operațiuni de gestionare de bază a fișierelor. Operatorul poate de asemenea să emită o comandă de auto-terminare pentru a opri backdoor-ul pe gazdă.

Mandiant a descoperit că, după compromitere, atacatorii au efectuat recunoștere internă, scanând pentru servicii precum SMB și RDP pentru a identifica ținte suplimentare și apoi s-au deplasat lateral în rețea. Atacatorii au dumpat memoria LSASS pentru a extrage material de acreditive și au folosit tehnici de pass-the-hash pentru a se autentifica pe gazde suplimentare, ajungând în cele din urmă la controlerele de domeniu.

În etapa finală a atacului, actorul de amenințări a desfășurat FTK Imager pentru a extrage baza de date Active Directory, împreună cu hive-urile de registru SYSTEM, SAM și SECURITY. Aceste fișiere au fost exfiltrate din rețea folosind LimeWire, oferindu-le atacatorilor acces la date sensibile de acreditive pe întreg domeniul. Raportul oferă indicatori extensivi pentru compromitere (IoCs) și reguli YARA pentru a ajuta la detectarea setului de instrumente “Snow”.

AI a grupat patru zero-days într-un singur exploit care a eludat atât sandbox-urile renderer-ului, cât și cele ale sistemului de operare. O nouă avalanșă de exploite se pregătește să vină.

La Autonomous Validation Summit (12 și 14 mai), se va arăta cum validarea autonomă, bogată în contexte, identifică ce este exploatabil, dovedește că măsurile de control funcționează și închide ciclul de remediere.

Microsoft Teams este utilizat din ce în ce mai mult în atacuri de impersonare a ajutoarelor tehnice.