Зловреден софтуер SNOW
Идентифициран е недокументиран досега клъстер от заплахи, проследяван като UNC6692, който използва усъвършенствани техники за социално инженерство чрез Microsoft Teams, за да внедри персонализирана рамка за зловреден софтуер, известна като SNOW Malware. Нападателите постоянно се представят за служители на ИТ отдела за помощ, убеждавайки целите си да приемат покани за чат, произхождащи от външни акаунти.
Тази измама се подсилва от координирана кампания за бомбардиране с имейли, при която жертвите са заливани със спам съобщения, за да се създаде неотложност и объркване. Малко след това нападателят инициира контакт чрез Teams, представяйки се за ИТ екип и предлагайки помощ за разрешаване на изфабрикувания проблем. Тази двупластова тактика за манипулация значително увеличава вероятността от страна на потребителите да се съобразят с изискванията.
Съдържание
Традиционни тактики, съвременно въздействие
Оперативният модел отразява техники, исторически свързани с филиали на Black Basta. Въпреки че групата прекрати операциите си с ransomware, методите ѝ се запазват и остават ефективни. Изследователи по сигурността потвърдиха, че този подход е насочен предимно към ръководители и висши служители, позволявайки първоначален достъп до мрежата, който може да доведе до изтичане на данни, странично движение, внедряване на ransomware и изнудване. В наблюдаваните случаи, инициирани от нападателя чатове са се осъществявали в рамките на секунди един от друг, което подчертава автоматизацията и координацията.
Подвеждаща входна точка: Фалшивото решение
За разлика от традиционните атаки, разчитащи единствено на инструменти за дистанционно управление, като Quick Assist или Supremo Remote Desktop, тази кампания въвежда модифицирана верига на заразяване. Жертвите са насочени да кликнат върху фишинг линк, споделен чрез Teams, представен като „Помощна програма за поправка и синхронизиране на пощенски кутии v2.1.5“.
Връзката задейства изтеглянето на злонамерен скрипт AutoHotkey, хостван в контролирана от хакера услуга за съхранение в облак. Механизъм „гейткипър“ гарантира доставянето на полезен товар само до предвидените цели, помагайки за избягване на автоматизиран анализ на сигурността. Освен това скриптът проверява използването на браузъра и налага използването на Microsoft Edge чрез постоянни предупреждения, осигурявайки съвместимост със следващите злонамерени компоненти.
SNOWBELT: Безшумната задна вратичка на браузъра
Първоначалният скрипт провежда разузнаване, преди да внедри SNOWBELT, злонамерено разширение за браузър, базирано на Chromium. Инсталирано чрез headless Edge процес, използващ специфични параметри от командния ред, SNOWBELT функционира като скрита задна вратичка. То улеснява изтеглянето на допълнителни полезни товари, включително SNOWGLAZE, SNOWBASIN, други AutoHotkey скриптове и компресиран архив, съдържащ преносима Python среда.
Едновременно с това, фишинг интерфейсът представя „Панел за управление на конфигурацията“ с функция „Проверка на състоянието“. Този интерфейс подканва потребителите да въведат идентификационни данни за пощенската си кутия под прикритието на удостоверяване, но вместо това улавя и извлича чувствителни данни към контролирана от нападателя инфраструктура.
Модулна екосистема от зловреден софтуер: Разбивка на SNOW Framework
Пакетът зловреден софтуер SNOW функционира като координирана, модулна екосистема, проектирана за постоянство, контрол и скритост:
- SNOWBELT действа като базирано на JavaScript командно реле, получавайки инструкции от атакуващия и препращайки ги за изпълнение.
- SNOWGLAZE функционира като тунелиращ инструмент, базиран на Python, установявайки защитена WebSocket връзка между компрометираната мрежа и командния и контролен сървър на атакуващия.
- SNOWBASIN служи като постоянна задна вратичка, позволяваща дистанционно изпълнение на команди, прехвърляне на файлове, заснемане на екранни снимки и самопремахване, като същевременно работи като локален HTTP сървър на множество портове.
След експлоатация: Разширяване на контрола и извличане на данни
След първоначалното компрометиране, злонамереният актьор изпълнява серия от действия за задълбочаване на достъпа и извличане на ценна информация:
Мрежовото разузнаване се извършва чрез сканиране на критични портове, последвано от странично придвижване с помощта на административни инструменти и сесии за отдалечен работен плот, тунелирани през компрометирани системи.
Ескалацията на привилегиите се постига чрез извличане на чувствителна памет на процесите, което позволява събиране на идентификационни данни и неоторизиран достъп до системи от по-високо ниво.
Усъвършенствани техники като Pass-the-Hash се използват за компрометиране на домейн контролери, след което се внедряват криминалистични инструменти за събиране на чувствителни данни, включително бази данни на директории, които след това се извличат с помощта на помощни програми за прехвърляне на файлове.
Облачен камуфлаж: Смесване на зловреден трафик с легитимни услуги
Определяща характеристика на тази кампания е стратегическата злоупотреба с надеждна облачна инфраструктура. Злонамерени полезни товари, изтичане на данни и комуникации от типа „командване и контрол“ се маршрутизират през легитимни облачни платформи. Този подход позволява на заплашителната активност да се слее безпроблемно с нормалния корпоративен трафик, като ефективно заобикаля традиционните филтри за сигурност, базирани на репутация или откриване на аномалии.
Развиващ се пейзаж на заплахите: Доверието като основна цел
Кампанията UNC6692 подчертава значителна еволюция в стратегиите за кибератаки, комбинирайки социално инженерство, надеждни корпоративни инструменти и модулен зловреден софтуер. Чрез използване на доверието на потребителите в широко използвани платформи и услуги, нападателите увеличават процента на успех, като същевременно минимизират откриваемостта. Устойчивостта на остарели тактики, наред с иновативните механизми за изпълнение, подчертава критична реалност: ефективните стратегии за атаки могат да продължат да съществуват дълго след като първоначалните им оператори изчезнат.
