Malware SNOW
Byl identifikován dříve nezdokumentovaný klastr hrozeb, sledovaný jako UNC6692, který využívá pokročilé techniky sociálního inženýrství prostřednictvím Microsoft Teams k nasazení vlastního malwarového frameworku známého jako SNOW Malware. Útočníci se neustále vydávají za pracovníky IT helpdesku a přesvědčují cíle, aby přijímaly pozvánky do chatu pocházející z externích účtů.
Tento klam je posílen koordinovanou kampaní e-mailového bombardování, v rámci které jsou oběti zaplavovány spamovými zprávami, aby se vytvořila naléhavost a zmatek. Krátce poté útočník zahájí kontakt prostřednictvím služby Teams, vydává se za IT podporu a nabízí pomoc s vyřešením vykonstruovaného problému. Tato dvouvrstvá manipulační taktika výrazně zvyšuje pravděpodobnost, že uživatelé budou vyhovovat pokynům.
Obsah
Tradiční taktiky, moderní dopad
Operační vzorec odráží techniky historicky spojované s přidruženými skupinami Black Basta. Přestože skupina ukončila operace s ransomwarem, její metody přetrvávají a zůstávají účinné. Bezpečnostní výzkumníci potvrdili, že tento přístup se primárně zaměřuje na manažery a vedoucí pracovníky, což umožňuje počáteční přístup k síti, který může vést k úniku dat, laterálnímu přesunu, nasazení ransomwaru a vydírání. V pozorovaných případech probíhaly chaty iniciované útočníkem v řádu sekund, což podtrhuje automatizaci a koordinaci.
Klamavý vstupní bod: Falešná oprava
Na rozdíl od tradičních útoků, které se spoléhají výhradně na nástroje pro vzdálenou správu, jako je Quick Assist nebo Supremo Remote Desktop, tato kampaň zavádí upravený infekční řetězec. Oběti jsou přesměrovány ke kliknutí na phishingový odkaz sdílený prostřednictvím Teams, prezentovaný jako „Mailbox Repair and Sync Utility v2.1.5“.
Odkaz spustí stažení škodlivého skriptu AutoHotkey hostovaného na cloudovém úložišti ovládaném útočníkem. Mechanismus gatekeeperu zajišťuje doručení dat pouze zamýšleným cílům, což pomáhá vyhnout se automatizované bezpečnostní analýze. Skript navíc ověřuje používání prohlížeče a vynucuje používání Microsoft Edge prostřednictvím trvalých varování, čímž zajišťuje kompatibilitu s následnými škodlivými komponentami.
SNOWBELT: Tiché zadní vrátka prohlížeče
Počáteční skript provádí průzkum před nasazením SNOWBELT, škodlivého rozšíření prohlížeče založeného na Chromiu. SNOWBELT, nainstalovaný prostřednictvím bezhlavého procesu Edge s použitím specifických parametrů příkazového řádku, funguje jako skrytá zadní vrátka. Usnadňuje stahování dalších datových souborů, včetně SNOWGLAZE, SNOWBASIN, dalších skriptů AutoHotkey a komprimovaného archivu obsahujícího přenositelné prostředí Pythonu.
Současně phishingové rozhraní nabízí „Panel správy konfigurace“ s funkcí „Kontrola stavu“. Toto rozhraní vyzývá uživatele k zadání přihlašovacích údajů k poštovní schránce pod rouškou ověřování, ale místo toho zachycuje a odesílá citlivá data do infrastruktury ovládané útočníkem.
Modulární ekosystém malwaru: Rozklad frameworku SNOW
Sada malwaru SNOW funguje jako koordinovaný, modulární ekosystém navržený pro perzistenci, kontrolu a nenápadnost:
- SNOWBELT funguje jako předávací systém příkazů založený na JavaScriptu, přijímá instrukce od útočníka a přeposílá je k provedení.
- SNOWGLAZE funguje jako tunelovací nástroj založený na Pythonu, který navazuje zabezpečené WebSocket spojení mezi napadenou sítí a útočníkovým Command-and-Control serverem.
- SNOWBASIN slouží jako perzistentní zadní vrátka, která umožňují vzdálené spouštění příkazů, přenos souborů, pořizování snímků obrazovky a samoodstraňování, a zároveň funguje jako lokální HTTP server na více portech.
Post-exploitation: Rozšíření kontroly a extrakce dat
Po počátečním narušení bezpečnosti útočník provede řadu akcí k prohloubení přístupu a získání cenných informací:
Průzkum sítě se provádí skenováním kritických portů, po kterém následuje laterální přesun pomocí administrativních nástrojů a relací vzdálené plochy tunelovaných skrz napadené systémy.
Eskalace oprávnění se dosahuje extrakcí citlivé paměti procesů, což umožňuje získávání přihlašovacích údajů a neoprávněný přístup k systémům vyšší úrovně.
Pokročilé techniky, jako je Pass-the-Hash, se používají k napadení řadičů domény, po čemž se nasazují forenzní nástroje ke shromažďování citlivých dat, včetně databází adresářů, která jsou následně získána pomocí utilit pro přenos souborů.
Cloudová kamufláž: Prolínání škodlivého provozu s legitimními službami
Charakteristickým rysem této kampaně je strategické zneužívání důvěryhodné cloudové infrastruktury. Škodlivé datové zásilky, úniky dat a komunikace typu C&C jsou směrovány přes legitimní cloudové platformy. Tento přístup umožňuje, aby se hrozící aktivita bezproblémově prolínala s běžným podnikovým provozem a efektivně obcházela tradiční bezpečnostní filtry založené na reputaci nebo detekci anomálií.
Vyvíjející se prostředí hrozeb: Důvěra jako primární cíl
Kampaň UNC6692 zdůrazňuje významný vývoj strategií kybernetických útoků, které kombinují sociální inženýrství, důvěryhodné podnikové nástroje a modulární malware. Zneužíváním důvěry uživatelů v široce používané platformy a služby útočníci zvyšují míru úspěšnosti a zároveň minimalizují odhalení. Přetrvávání starších taktik spolu s inovativními mechanismy realizace útoků podtrhuje zásadní realitu: účinné útočné strategie mohou přetrvávat dlouho poté, co jejich původní provozovatelé zmizí.
