SNOW Malware

یک خوشه تهدید که قبلاً مستند نشده بود، با نام UNC6692 شناسایی شده است که از تکنیک‌های پیشرفته مهندسی اجتماعی از طریق Microsoft Teams برای استقرار یک چارچوب بدافزار سفارشی به نام SNOW Malware استفاده می‌کند. مهاجمان دائماً خود را به عنوان پرسنل پشتیبانی فناوری اطلاعات جعل می‌کنند و اهداف را متقاعد می‌کنند که دعوت‌نامه‌های چت ارسالی از حساب‌های خارجی را بپذیرند.

این فریب توسط یک کمپین بمباران ایمیلی هماهنگ تقویت می‌شود، که در آن قربانیان با سیلی از پیام‌های اسپم مواجه می‌شوند تا فوریت و سردرگمی ایجاد کنند. اندکی پس از آن، مهاجم از طریق Teams تماس برقرار می‌کند و خود را به عنوان پشتیبانی فناوری اطلاعات معرفی می‌کند و برای حل مشکل ساختگی پیشنهاد کمک می‌دهد. این تاکتیک دستکاری دولایه، احتمال انطباق کاربر را به میزان قابل توجهی افزایش می‌دهد.

تاکتیک‌های قدیمی، تأثیر مدرن

الگوی عملیاتی، تکنیک‌هایی را که از نظر تاریخی با شرکت‌های وابسته به بلک باستا مرتبط بوده‌اند، منعکس می‌کند. علیرغم اینکه این گروه عملیات باج‌افزاری را متوقف کرده است، روش‌های آن همچنان ادامه دارد و مؤثر است. محققان امنیتی تأیید کرده‌اند که این رویکرد در درجه اول مدیران و پرسنل ارشد را هدف قرار می‌دهد و دسترسی اولیه به شبکه را ممکن می‌سازد که ممکن است منجر به استخراج داده‌ها، جابجایی جانبی، استقرار باج‌افزار و اخاذی شود. در موارد مشاهده شده، چت‌های آغاز شده توسط مهاجم در عرض چند ثانیه از یکدیگر رخ داده‌اند که نشان‌دهنده خودکارسازی و هماهنگی است.

نقطه ورود فریبنده: راه حل جعلی

برخلاف حملات سنتی که صرفاً به ابزارهای مدیریت از راه دور مانند Quick Assist یا Supremo Remote Desktop متکی هستند، این کمپین یک زنجیره آلودگی اصلاح‌شده را معرفی می‌کند. قربانیان به کلیک روی یک لینک فیشینگ که از طریق Teams به اشتراک گذاشته شده است، هدایت می‌شوند که به عنوان «Mailbox Repair and Sync Utility v2.1.5» ارائه می‌شود.

این لینک باعث دانلود یک اسکریپت مخرب AutoHotkey می‌شود که در یک سرویس ذخیره‌سازی ابری تحت کنترل مهاجم میزبانی می‌شود. یک مکانیزم دروازه‌بان، تحویل بار داده را فقط به اهداف مورد نظر تضمین می‌کند و به فرار از تجزیه و تحلیل امنیتی خودکار کمک می‌کند. علاوه بر این، این اسکریپت استفاده از مرورگر را تأیید می‌کند و از طریق هشدارهای مداوم، استفاده از Microsoft Edge را اجباری می‌کند و سازگاری با اجزای مخرب بعدی را تضمین می‌کند.

اسنوبلت: درِ پشتیِ خاموشِ مرورگر

اسکریپت اولیه قبل از استقرار SNOWBELT، یک افزونه مخرب مرورگر مبتنی بر کرومیوم، شناسایی را انجام می‌دهد. SNOWBELT که از طریق یک فرآیند Headless Edge با استفاده از پارامترهای خاص خط فرمان نصب می‌شود، به عنوان یک درب پشتی مخفی عمل می‌کند. این اسکریپت دانلود بارهای داده اضافی، از جمله SNOWGLAZE، SNOWBASIN، اسکریپت‌های AutoHotkey بیشتر و یک آرشیو فشرده حاوی یک محیط پایتون قابل حمل را تسهیل می‌کند.

همزمان، رابط فیشینگ یک «پنل مدیریت پیکربندی» با ویژگی «بررسی سلامت» ارائه می‌دهد. این رابط از کاربران می‌خواهد که تحت پوشش احراز هویت، اطلاعات احراز هویت صندوق پستی خود را وارد کنند، اما در عوض، داده‌های حساس را ضبط و به زیرساخت تحت کنترل مهاجم ارسال می‌کند.

اکوسیستم بدافزار ماژولار: بررسی چارچوب SNOW

مجموعه بدافزار SNOW به عنوان یک اکوسیستم هماهنگ و ماژولار عمل می‌کند که برای پایداری، کنترل و مخفی‌کاری طراحی شده است:

• SNOWBELT به عنوان یک رله فرمان مبتنی بر جاوا اسکریپت عمل می‌کند، دستورالعمل‌ها را از مهاجم دریافت کرده و آنها را برای اجرا ارسال می‌کند.
• SNOWGLAZE به عنوان یک ابزار تونل‌سازی مبتنی بر پایتون عمل می‌کند و یک اتصال WebSocket امن بین شبکه‌ی آسیب‌پذیر و سرور فرماندهی و کنترل مهاجم برقرار می‌کند.
• SNOWBASIN به عنوان یک درِ پشتیِ پایدار عمل می‌کند و امکان اجرای دستورات از راه دور، انتقال فایل، گرفتن اسکرین‌شات و حذف خودکار را فراهم می‌کند، در حالی که به عنوان یک سرور HTTP محلی روی چندین پورت عمل می‌کند.

پس از بهره‌برداری: گسترش کنترل و استخراج داده‌ها

پس از نفوذ اولیه، عامل تهدید مجموعه‌ای از اقدامات را برای تعمیق دسترسی و استخراج اطلاعات ارزشمند انجام می‌دهد:

شناسایی شبکه با اسکن پورت‌های حیاتی انجام می‌شود و به دنبال آن، اقدامات جانبی با استفاده از ابزارهای مدیریتی و جلسات دسکتاپ از راه دور که از طریق سیستم‌های آسیب‌پذیر تونل می‌شوند، انجام می‌شود.

افزایش امتیاز با استخراج حافظه فرآیند حساس، امکان برداشت اعتبارنامه و دسترسی غیرمجاز به سیستم‌های سطح بالاتر را فراهم می‌کند.

از تکنیک‌های پیشرفته‌ای مانند Pass-the-Hash برای نفوذ به کنترل‌کننده‌های دامنه استفاده می‌شود، پس از آن ابزارهای جرم‌شناسی برای جمع‌آوری داده‌های حساس، از جمله پایگاه‌های داده دایرکتوری، مستقر می‌شوند که سپس با استفاده از ابزارهای انتقال فایل، استخراج می‌شوند.

استتار ابری: ترکیب ترافیک مخرب با سرویس‌های قانونی

یکی از ویژگی‌های بارز این کمپین، سوءاستفاده استراتژیک از زیرساخت‌های ابری مورد اعتماد است. بارهای مخرب، استخراج داده‌ها و ارتباطات فرماندهی و کنترل، همگی از طریق پلتفرم‌های ابری قانونی هدایت می‌شوند. این رویکرد به فعالیت تهدید اجازه می‌دهد تا به طور یکپارچه با ترافیک عادی سازمان ترکیب شود و به طور مؤثر فیلترهای امنیتی سنتی مبتنی بر اعتبار یا تشخیص ناهنجاری را دور بزند.

چشم‌انداز تهدیدهای در حال تحول: اعتماد به عنوان هدف اصلی

کمپین UNC6692، تکامل قابل توجهی را در استراتژی‌های حمله سایبری، با ترکیب مهندسی اجتماعی، ابزارهای سازمانی مورد اعتماد و بدافزارهای ماژولار، برجسته می‌کند. مهاجمان با سوءاستفاده از اعتماد کاربران به پلتفرم‌ها و سرویس‌های پرکاربرد، میزان موفقیت خود را افزایش می‌دهند و در عین حال، میزان شناسایی را به حداقل می‌رسانند. تداوم تاکتیک‌های قدیمی در کنار مکانیسم‌های نوآورانه ارائه، یک واقعیت حیاتی را برجسته می‌کند: استراتژی‌های حمله مؤثر می‌توانند مدت‌ها پس از ناپدید شدن اپراتورهای اصلی خود، دوام بیاورند.