Rabattilbud med flere licenser
Trusseldatabase Malware SNOW-malware

SNOW-malware

Med Mezo i Malware, Advanced Persistent Threat (APT)
Oversæt til:

En tidligere udokumenteret trusselsklynge, sporet som UNC6692, er blevet identificeret ved at udnytte avancerede social engineering-teknikker gennem Microsoft Teams til at implementere et brugerdefineret malware-framework kendt som SNOW Malware. Angriberne udgiver sig konsekvent for at være IT-helpdeskpersonale og overtaler dermed mål til at acceptere chatinvitationer, der stammer fra eksterne konti.

Dette bedrag forstærkes af en koordineret e-mailbombekampagne, hvor ofrene oversvømmes med spambeskeder for at skabe hastende handlinger og forvirring. Kort efter initierer angriberen kontakt via Teams, udgiver sig for at være IT-supporter og tilbyder hjælp til at løse det opdigtede problem. Denne dobbelte manipulationstaktik øger sandsynligheden for, at brugerne overholder reglerne, betydeligt.

Ældre taktikker, moderne effekt

Det operationelle mønster afspejler teknikker, der historisk set er forbundet med Black Basta-tilknyttede selskaber. Selvom gruppen har ophørt med ransomware-operationer, fortsætter dens metoder og er fortsat effektive. Sikkerhedsforskere har bekræftet, at denne tilgang primært er rettet mod ledere og ledende medarbejdere, hvilket muliggør initial netværksadgang, der kan føre til dataudpresning, lateral bevægelse, ransomware-implementering og afpresning. I observerede tilfælde forekom angriberinitierede chats inden for få sekunder af hinanden, hvilket understreger automatisering og koordinering.

Vildledende indgangspunkt: Den falske løsning

I modsætning til traditionelle angreb, der udelukkende er afhængige af fjernstyringsværktøjer som Quick Assist eller Supremo Remote Desktop, introducerer denne kampagne en modificeret infektionskæde. Ofrene bliver bedt om at klikke på et phishing-link, der deles via Teams, og som præsenteres som et 'Mailbox Repair and Sync Utility v2.1.5'.

Linket udløser download af et ondsindet AutoHotkey-script, der hostes på en angriberkontrolleret cloud-lagringstjeneste. En gatekeeper-mekanisme sikrer, at nyttelasten kun leveres til de tilsigtede mål, hvilket hjælper med at undgå automatiseret sikkerhedsanalyse. Derudover verificerer scriptet browserbrug og håndhæver brugen af Microsoft Edge gennem vedvarende advarsler, hvilket sikrer kompatibilitet med efterfølgende ondsindede komponenter.

SNOWBELT: Den lydløse browserbagdør

Det indledende script udfører rekognoscering, før SNOWBELT, en ondsindet Chromium-baseret browserudvidelse, implementeres. SNOWBELT installeres via en headless Edge-proces ved hjælp af specifikke kommandolinjeparametre og fungerer som en skjult bagdør. Det letter download af yderligere nyttelast, herunder SNOWGLAZE, SNOWBASIN, yderligere AutoHotkey-scripts og et komprimeret arkiv, der indeholder et bærbart Python-miljø.

Samtidig præsenterer phishing-grænsefladen et 'konfigurationsstyringspanel' med en 'sundhedstjek'-funktion. Denne grænseflade beder brugerne om at indtaste postkasseoplysninger under dække af godkendelse, men i stedet indsamler og fjerner den følsomme data til en angriberkontrolleret infrastruktur.

Modulært malware-økosystem: SNOW Framework-opdeling

SNOW-malwarepakken fungerer som et koordineret, modulært økosystem designet til persistens, kontrol og stealth:

  • SNOWBELT fungerer som et JavaScript-baseret kommandorelæ, der modtager instruktioner fra angriberen og videresender dem til udførelse.
  • SNOWGLAZE fungerer som et Python-baseret tunneleringsværktøj, der etablerer en sikker WebSocket-forbindelse mellem det kompromitterede netværk og angriberens Command-and-Control-server.
  • SNOWBASIN fungerer som en vedvarende bagdør, der muliggør fjernudførelse af kommandoer, filoverførsler, skærmbilledeoptagelse og selvfjernelse, mens den fungerer som en lokal HTTP-server på flere porte.

Efterudnyttelse: Udvidelse af kontrol og udtrækning af data

Efter den indledende kompromittering udfører trusselsaktøren en række handlinger for at uddybe adgangen og udtrække værdifuld information:

Netværksrekognoscering udføres ved at scanne kritiske porte, efterfulgt af lateral bevægelse ved hjælp af administrative værktøjer og fjernskrivebordssessioner, der tunneleres gennem kompromitterede systemer.

Privilegieeskalering opnås ved at udtrække følsom proceshukommelse, hvilket muliggør indsamling af legitimationsoplysninger og uautoriseret adgang til systemer på højere niveau.

Avancerede teknikker som Pass-the-Hash bruges til at kompromittere domænecontrollere, hvorefter retsmedicinske værktøjer implementeres til at indsamle følsomme data, herunder katalogdatabaser, som derefter eksfiltreres ved hjælp af filoverførselsværktøjer.

Cloud Camouflage: Blanding af skadelig trafik med legitime tjenester

Et definerende kendetegn ved denne kampagne er strategisk misbrug af betroet cloudinfrastruktur. Ondsindede data, dataudvinding og kommando-og-kontrol-kommunikation dirigeres alle gennem legitime cloudplatforme. Denne tilgang gør det muligt for trusselsaktivitet at blande sig problemfrit med normal virksomhedstrafik og effektivt omgå traditionelle sikkerhedsfiltre baseret på omdømme eller anomalidetektion.

Udviklende trusselsbillede: Tillid som det primære mål

UNC6692-kampagnen fremhæver en betydelig udvikling inden for cyberangrebsstrategier, der kombinerer social engineering, pålidelige virksomhedsværktøjer og modulær malware. Ved at udnytte brugernes tillid til udbredte platforme og tjenester øger angriberne succesraterne, samtidig med at de minimerer opdagelse. Vedholdenheden af legacy-taktikker sammen med innovative leveringsmekanismer understreger en kritisk realitet: effektive angrebsstrategier kan vare længe efter, at deres oprindelige operatører forsvinder.

Trending

Mest sete

Indlæser...