SNOW pahavara
Varem dokumenteerimata ohuklaster, mida jälgiti kui UNC6692, on tuvastatud, kasutades Microsoft Teamsi kaudu täiustatud sotsiaalse manipuleerimise tehnikaid, et juurutada kohandatud pahavara raamistikku, mida tuntakse nime all SNOW Malware. Ründajad esinevad pidevalt IT-toeteenistuse töötajatena, veendes sihtmärke vastu võtma välistelt kontodelt pärit vestluskutseid.
Seda pettust tugevdab koordineeritud e-posti pommitamiskampaania, kus ohvreid uputatakse rämpspostiga, et tekitada kiireloomulisust ja segadust. Varsti pärast seda võtab ründaja Teamsi kaudu ühendust, teeseldes end IT-toena ja pakkudes abi väljamõeldud probleemi lahendamiseks. See kahekihiline manipuleerimistaktika suurendab oluliselt kasutajate vastavuse tõenäosust.
Sisukord
Pärandtaktika, moodne mõju
See tegevusmuster peegeldab tehnikaid, mida on ajalooliselt seostatud Black Basta sidusettevõtetega. Vaatamata sellele, et rühmitus lõpetas lunavarategevuse, on selle meetodid endiselt tõhusad. Turvauurijad on kinnitanud, et see lähenemisviis on suunatud peamiselt juhtidele ja kõrgematele töötajatele, võimaldades esialgset võrgule juurdepääsu, mis võib viia andmete väljavooluni, horisontaalse liikumiseni, lunavara juurutamiseni ja väljapressimiseni. Täheldatud juhtudel toimusid ründaja algatatud vestlused sekundite jooksul üksteisest, mis rõhutab automatiseerimist ja koordineerimist.
Petlik sisenemispunkt: võltsparandus
Erinevalt traditsioonilistest rünnakutest, mis tuginevad ainult kaughaldustööriistadele, nagu Quick Assist või Supremo Remote Desktop, tutvustab see kampaania modifitseeritud nakkusahelat. Ohvreid suunatakse klõpsama Teamsi kaudu jagatud andmepüügilingil, mida esitletakse kui „Mailbox Repair and Sync Utility v2.1.5”.
Link käivitab pahatahtliku AutoHotkey skripti allalaadimise, mis asub ründaja kontrolli all olevas pilvesalvestusteenuses. Väravavalvuri mehhanism tagab sisu edastamise ainult ettenähtud sihtmärkidele, aidates vältida automaatset turvaanalüüsi. Lisaks kontrollib skript brauseri kasutamist ja jõustab Microsoft Edge'i kasutamise püsivate hoiatuste abil, tagades ühilduvuse järgnevate pahatahtlike komponentidega.
SNOWBENT: Vaikse brauseri tagauks
Esialgne skript viib enne pahatahtliku Chromiumi-põhise brauserilaienduse SNOWBELT juurutamist läbi luure. SNOWBELT installitakse peata Edge'i protsessi kaudu, kasutades spetsiifilisi käsureaparameetreid, ning see toimib varjatud tagauksena. See hõlbustab täiendavate kasulike failide, sealhulgas SNOWGLAZE'i, SNOWBASINi, täiendavate AutoHotkey skriptide ja kaasaskantava Pythoni keskkonnaga tihendatud arhiivi allalaadimist.
Samal ajal kuvab andmepüügiliides „konfiguratsioonihalduspaneeli“ koos „tervisekontrolli“ funktsiooniga. See liides palub kasutajatel autentimise varjus sisestada postkasti mandaadid, kuid selle asemel jäädvustab ja filtreerib ründaja kontrollitavasse infrastruktuuri tundlikke andmeid.
Modulaarne pahavara ökosüsteem: SNOW raamistiku jaotus
SNOW pahavara pakett toimib koordineeritud, modulaarse ökosüsteemina, mis on loodud püsivuse, kontrolli ja varjatuse tagamiseks:
- SNOWBELT toimib JavaScripti-põhise käskude edastajana, võttes ründajalt vastu juhiseid ja edastades need täitmiseks.
- SNOWGLAZE toimib Pythoni-põhise tunnelimise utiliidina, luues turvalise WebSocket-ühenduse ohustatud võrgu ja ründaja käsu- ja juhtimisserveri vahel.
- SNOWBASIN toimib püsiva tagauksena, võimaldades käskude kaugkäivitamist, failiedastust, ekraanipiltide jäädvustamist ja ise eemaldamist, tegutsedes samal ajal kohaliku HTTP-serverina mitmel pordil.
Järelkasutamine: kontrolli laiendamine ja andmete hankimine
Pärast esialgset ohtu sattumist teostab ohutegija juurdepääsu süvendamiseks ja väärtusliku teabe hankimiseks rea toiminguid:
Võrgu luuret teostatakse kriitiliste portide skannimise teel, millele järgneb külgmine liikumine haldustööriistade ja ohustatud süsteemide kaudu tunneldatud kaugtöölaua seansside abil.
Privileegide eskaleerimine saavutatakse tundliku protsessimälu hankimise teel, võimaldades volituste kogumist ja volitamata juurdepääsu kõrgema taseme süsteemidele.
Domeenikontrollerite ohtu seadmiseks kasutatakse täiustatud tehnikaid, näiteks räsi edastamist (Pass-the-Hash), mille järel kasutatakse kohtuekspertiisi tööriistu tundlike andmete, sealhulgas kataloogiandmebaaside kogumiseks, mis seejärel failiedastusutiliitide abil välja filtreeritakse.
Pilve kamuflaaž: pahatahtliku liikluse ühendamine seaduslike teenustega
Selle kampaania iseloomulikuks tunnuseks on usaldusväärse pilveinfrastruktuuri strateegiline kuritarvitamine. Pahatahtlikud koormused, andmete väljavool ja juhtimis- ja kontrollside suunatakse kõik läbi legitiimsete pilveplatvormide. See lähenemisviis võimaldab ohutegevusel sujuvalt sulanduda tavapärase ettevõtte liiklusega, möödudes tõhusalt traditsioonilistest maine- või anomaaliatuvastuse turvafiltritest.
Muutuv ohumaastik: usaldus kui peamine sihtmärk
UNC6692 kampaania toob esile küberrünnakute strateegiate olulise arengu, mis ühendab sotsiaalse manipuleerimise, usaldusväärsed ettevõtte tööriistad ja modulaarse pahavara. Kasutades ära kasutajate usaldust laialdaselt kasutatavate platvormide ja teenuste vastu, suurendavad ründajad edukust, minimeerides samal ajal avastamist. Vanade taktikate püsimine koos uuenduslike edastusmehhanismidega rõhutab olulist reaalsust: tõhusad rünnakustrateegiad võivad püsida kaua pärast seda, kui nende algsed operaatorid on kadunud.
