SNOW-haittaohjelma
Aiemmin dokumentoimaton uhkarypäs, tunnistettu nimellä UNC6692, on tunnistettu hyödyntäen edistyneitä sosiaalisen manipuloinnin tekniikoita Microsoft Teamsin kautta ottaakseen käyttöön mukautetun haittaohjelmakehyksen nimeltä SNOW Malware. Hyökkääjät esiintyvät jatkuvasti IT-tukipalvelun henkilöstönä ja suostuttelevat kohteitaan hyväksymään ulkoisilta tileiltä tulevia keskustelukutsuja.
Tätä harhaanjohtavaa toimintaa vahvistetaan koordinoidulla sähköpostipommituskampanjalla, jossa uhreille lähetetään roskapostia kiireellisyyden ja hämmennyksen luomiseksi. Pian tämän jälkeen hyökkääjä ottaa yhteyttä Teamsin kautta esiintyen IT-tukena ja tarjoten apua tekaistun ongelman ratkaisemiseksi. Tämä kaksikerroksinen manipulointitaktiikka lisää merkittävästi käyttäjien sääntöjen noudattamisen todennäköisyyttä.
Sisällysluettelo
Perinteiset taktiikat, moderni vaikutus
Toimintamalli heijastelee Black Bastan tytäryhtiöihin historiallisesti yhdistettyjä tekniikoita. Vaikka ryhmä lopetti kiristyshaittaohjelmien käytön, sen menetelmät ovat edelleen tehokkaita. Tietoturvatutkijat ovat vahvistaneet, että tämä lähestymistapa kohdistuu ensisijaisesti johtajiin ja ylempään henkilöstöön mahdollistaen alustavan verkkoyhteyden, joka voi johtaa tietojen vuotamiseen, sivuttaissiirtoon, kiristysohjelmien käyttöönottoon ja kiristykseen. Havaituissa tapauksissa hyökkääjän aloittamat keskustelut tapahtuivat sekuntien sisällä toisistaan, mikä korostaa automaatiota ja koordinointia.
Petollinen aloituskohta: Väärennetty korjaus
Toisin kuin perinteiset hyökkäykset, jotka perustuvat yksinomaan etähallintatyökaluihin, kuten Quick Assist tai Supremo Remote Desktop, tämä kampanja esittelee muokatun tartuntaketjun. Uhrit ohjataan napsauttamaan Teamsin kautta jaettua tietojenkalastelulinkkiä, joka esitetään nimellä "Mailbox Repair and Sync Utility v2.1.5".
Linkki laukaisee haitallisen AutoHotkey-skriptin latauksen hyökkääjän hallitsemassa pilvitallennuspalvelussa. Portinvartijamekanismi varmistaa, että hyötykuorma toimitetaan vain aiotuille kohteille, mikä auttaa kiertämään automaattisen tietoturva-analyysin. Lisäksi skripti tarkistaa selaimen käytön ja valvoo Microsoft Edgen käyttöä jatkuvien varoitusten avulla varmistaen yhteensopivuuden seuraavien haitallisten komponenttien kanssa.
SNOWBELT: Hiljaisen selaimen takaovi
Alkuperäinen skripti suorittaa tiedustelua ennen SNOWBELTin, haitallisen Chromium-pohjaisen selainlaajennuksen, käyttöönottoa. SNOWBELT asennetaan Edge-prosessin kautta tiettyjä komentoriviparametreja käyttäen, ja se toimii peitellynä takaovena. Se helpottaa lisähyötykuormien, kuten SNOWGLAZE:n, SNOWBASIN:in, muiden AutoHotkey-skriptien ja pakatun arkiston, joka sisältää kannettavan Python-ympäristön, lataamista.
Samanaikaisesti tietojenkalastelukäyttöliittymä esittelee 'konfiguraationhallintapaneelin', jossa on 'terveystarkistus'-toiminto. Tämä käyttöliittymä kehottaa käyttäjiä syöttämään sähköpostin tunnistetiedot todennuksen varjolla, mutta sen sijaan se kaappaa ja siirtää arkaluonteisia tietoja hyökkääjän hallitsemaan infrastruktuuriin.
Modulaarinen haittaohjelmaekosysteemi: SNOW-kehyksen erittely
SNOW-haittaohjelmapaketti toimii koordinoidusti modulaarisena ekosysteeminä, joka on suunniteltu pysyvyyttä, hallintaa ja huomaamattomuutta silmällä pitäen:
- SNOWBELT toimii JavaScript-pohjaisena komentojen välityspalvelimena, joka vastaanottaa hyökkääjältä ohjeita ja välittää ne suoritettavaksi.
- SNOWGLAZE toimii Python-pohjaisena tunnelointityökaluna, joka muodostaa suojatun WebSocket-yhteyden vaarantuneen verkon ja hyökkääjän komento- ja hallintapalvelimen välille.
- SNOWBASIN toimii pysyvänä takaporttina, joka mahdollistaa komentojen etäsuorituksen, tiedostojen siirrot, kuvakaappausten ottamisen ja tiedostojen poistamisen itse, samalla kun se toimii paikallisena HTTP-palvelimena useissa porteissa.
Jälkikäyttö: Hallinnan laajentaminen ja tiedon poimiminen
Alkuperäisen tietomurron jälkeen uhkatoimija suorittaa sarjan toimia syventääkseen pääsyä tietoihin ja kerätäkseen arvokasta tietoa:
Verkon tiedustelu suoritetaan skannaamalla kriittisiä portteja, minkä jälkeen verkkoa siirretään sivusuunnassa hallintatyökalujen ja vaarantuneiden järjestelmien läpi tunneloitujen etätyöpöytäistuntojen avulla.
Oikeuksien eskalointi saavutetaan purkamalla arkaluontoista prosessimuistia, mikä mahdollistaa tunnistetietojen keräämisen ja luvattoman pääsyn ylemmän tason järjestelmiin.
Verkkotunnusohjainten murtamiseen käytetään edistyneitä tekniikoita, kuten Pass-the-Hash-hyökkäystä, minkä jälkeen otetaan käyttöön rikosteknisiä työkaluja arkaluonteisten tietojen, kuten hakemistotietokantojen, keräämiseksi, jotka sitten puretaan tiedostonsiirtoapuohjelmilla.
Pilvipalveluiden naamiointi: Haitallisen liikenteen yhdistäminen laillisiin palveluihin
Tämän kampanjan tyypillinen piirre on luotetun pilvi-infrastruktuurin strateginen väärinkäyttö. Haitalliset hyötykuormat, tiedonkeruu ja komento- ja hallintaviestintä reititetään kaikki laillisten pilvialustojen kautta. Tämä lähestymistapa mahdollistaa uhkatoiminnan sulautumisen saumattomasti normaaliin yritysliikenteeseen ohittaen tehokkaasti perinteiset maineeseen tai poikkeavuuksien havaitsemiseen perustuvat tietoturvasuodattimet.
Kehittyvä uhkakuva: Luottamus ensisijaisena kohteena
UNC6692-kampanja korostaa merkittävää kehitystä kyberhyökkäysstrategioissa, joissa yhdistyvät sosiaalinen manipulointi, luotettavat yritystyökalut ja modulaariset haittaohjelmat. Hyödyntämällä käyttäjien luottamusta laajalti käytettyihin alustoihin ja palveluihin hyökkääjät parantavat onnistumisastetta ja minimoivat havaitsemisen. Perinteisten taktiikoiden säilyminen innovatiivisten toimitusmekanismien rinnalla korostaa kriittistä todellisuutta: tehokkaat hyökkäysstrategiat voivat kestää pitkään sen jälkeen, kun niiden alkuperäiset toimijat ovat kadonneet.
