Un actor de amenințare folosește Microsoft Teams pentru a distribui noul malware „Snow”

O grupare de amenințare cunoscută sub numele de UNC6692 folosește ingineria socială pentru a distribui o nouă suită de malware personalizată numită „Snow”, care include o extensie de browser, un tunelator și un backdoor. Potrivit bleepingcomputer.com, scopul lor este de a fura date sensibile după o compromisă profundă a rețelei, prin furtul de acreditive și preluarea domeniilor.

👉 Tactici utilizate pentru păcălirea victimelor prin Microsoft Teams

Conform cercetătorilor Mandiant de la Google, atacatorul folosește tactici de „bombardare a email-urilor” pentru a crea un sentiment de urgență, apoi contactează victimele prin Microsoft Teams, pretinzând că sunt agenți de suport IT. Un raport recent de la Microsoft a evidențiat popularitatea în creștere a acestei tactici în spațiul criminal cibernetic, păcălind utilizatorii să acorde atacatorilor acces la distanță prin Quick Assist sau alte unelte de acces la distanță.

👉 Mecanismul de atac al grupului UNC6692

În cazul UNC6692, victima este provocată să facă clic pe un link pentru a instala o actualizare care ar bloca spamul prin e-mail. În realitate, victimele primesc un dropper care execută scripturi AutoHotkey ce încarcă „SnowBelt”, o extensie Chrome malițioasă. Extensia se execută pe o instanță Microsoft Edge fără interfață, astfel încât victima nu observă nimic, în timp ce sarcini programate și un shortcut în folderul de pornire sunt create pentru persistență.

SnowBelt funcționează ca un mecanism de persistență și un sistem de reluare a comenzilor pe care operatorul le trimite către un backdoor bazat pe Python numit SnowBasin. Comenzile sunt livrate printr-un tunel WebSocket stabilit de un instrument tunelator numit SnowGlaze, pentru a masca comunicațiile între gazdă și infrastructura de comandă și control (C2). SnowGlaze facilitează de asemenea operațiuni de proxy SOCKS, permițând redirecționarea traficului TCP prin gazda infectată.

👉 Funcționalitățile și activitățile malware-ului „Snow”

SnowBasin rulează un server HTTP local și execută comenzi CMD sau PowerShell furnizate de atacator pe sistemul infectat, reluând rezultatele către operator prin aceeași rețea. Malware-ul suportă acces la shell de la distanță, exfiltrarea de date, descărcarea de fișiere, capturarea de screenshot-uri și operațiuni de gestionare de fișiere de bază. Operatorul poate de asemenea să emită o comandă de auto-terminare pentru a închide backdoor-ul gazdei.

Mandiant a descoperit că, după compromiterea sistemului, atacatorii au efectuat recunoaștere internă, scanând pentru servicii precum SMB și RDP pentru a identifica ținte suplimentare, și apoi s-au deplasat lateral pe rețea. Atacatorii au dumpat memoria LSASS pentru a extrage materiale de acreditive și au folosit tehnici de pass-the-hash pentru a se autentifica pe gazde suplimentare, ajungând în cele din urmă la controlerele de domeniu.

În etapa finală a atacului, actorul de amenințare a desfășurat FTK Imager pentru a extrage baza de date Active Directory, împreună cu hivelor de registry SYSTEM, SAM și SECURITY. Aceste fișiere au fost exfiltrate din rețea folosind LimeWire, oferindu-le atacatorilor acces la date sensibile de acreditive din întreaga rețea.

Raportul oferă indicatori extinși de compromis (IoCs) și reguli YARA pentru a ajuta la detectarea suiterului „Snow”. AI a combinat patru zero-days într-un singur exploit care a ocolit atât renderer-ul, cât și sandbox-urile OS. O nouă wave de exploit-uri este așteptată.

La Autonomous Validation Summit (12 și 14 mai), se va demonstra cum validarea autonomă, bogată în context, descoperă ce este exploatabil, demonstrează că măsurile de control sunt eficiente și închide cercul de remediere.

Microsoft Teams este abuzat din ce în ce mai mult în atacuri de impersonare a ajutoarelor tehnice.