תוכנות זדוניות של SNOW

אשכול איומים שלא תועד בעבר, תחת הכותרת UNC6692, זוהה תוך ניצול טכניקות הנדסה חברתית מתקדמות באמצעות Microsoft Teams כדי לפרוס מסגרת תוכנה זדונית מותאמת אישית המכונה SNOW Malware. התוקפים מתחזים באופן עקבי לאנשי צוות תמיכה של IT, ומשכנעים מטרות לקבל הזמנות צ'אט שמקורן בחשבונות חיצוניים.

הטעיה זו מתחזקת על ידי קמפיין מתואם של הפצצות דוא"ל, שבו הקורבנות מוצפים בהודעות ספאם כדי ליצור דחיפות ובלבול. זמן קצר לאחר מכן, התוקף יוזם קשר דרך Teams, מתחזה לתומך IT ומציע סיוע לפתרון הבעיה המפוברקת. טקטיקת מניפולציה דו-שכבתית זו מגדילה משמעותית את הסבירות שהמשתמשים יצייתו להוראות.

טקטיקות מדור קודם, השפעה מודרנית

דפוס הפעולה משקף טכניקות שהיסטורית קשורות לשותפים של Black Basta. למרות שהקבוצה הפסיקה את פעילותה באמצעות תוכנות כופר, שיטותיה נמשכות ונשארו יעילות. חוקרי אבטחה אישרו כי גישה זו מכוונת בעיקר למנהלים ולצוותים בכירים, ומאפשרת גישה ראשונית לרשת שעשויה להוביל לחליפת נתונים, תזוזה רוחבית, פריסת תוכנות כופר וסחיטה. במקרים שנצפו, צ'אטים שיזמו התוקפים התרחשו בהפרש של שניות, מה שהדגיש אוטומציה ותיאום.

נקודת כניסה מטעה: התיקון המזויף

בניגוד להתקפות מסורתיות המסתמכות אך ורק על כלי ניהול מרחוק כמו Quick Assist או Supremo Remote Desktop, קמפיין זה מציג שרשרת הדבקה שונה. הקורבנות מופנים ללחוץ על קישור פישינג ששותף דרך Teams, המוצג כ-'Mailbox Repair and Sync Utility v2.1.5'.

הקישור מפעיל הורדה של סקריפט AutoHotkey זדוני המתארח בשירות אחסון ענן הנשלט על ידי תוקף. מנגנון שומר סף מבטיח מסירת מטען רק ליעדים המיועדים, ובכך מסייע בהימנעות מניתוח אבטחה אוטומטי. בנוסף, הסקריפט מאמת את השימוש בדפדפן ואוכף את השימוש ב-Microsoft Edge באמצעות אזהרות מתמשכות, מה שמבטיח תאימות עם רכיבים זדוניים עוקבים.

SNOWBELT: דלת אחורית שקטה לדפדפן

הסקריפט הראשוני מבצע סיור לפני פריסת SNOWBELT, תוסף דפדפן זדוני מבוסס Chromium. SNOWBELT, המותקן באמצעות תהליך Edge ללא קוד המשתמש בפרמטרים ספציפיים של שורת פקודה, מתפקד כדלת אחורית סמויה. הוא מאפשר הורדה של מטענים נוספים, כולל SNOWGLAZE, SNOWBASIN, סקריפטים נוספים של AutoHotkey וארכיון דחוס המכיל סביבת Python ניידת.

במקביל, ממשק הפישינג מציג 'לוח ניהול תצורה' עם תכונת 'בדיקת תקינות'. ממשק זה מבקש ממשתמשים להזין פרטי תיבות דואר תחת מסווה של אימות, אך במקום זאת לוכד ומחליק נתונים רגישים לתשתית הנשלטת על ידי התוקף.

אקוסיסטם מודולרי של תוכנות זדוניות: פירוט מסגרת SNOW

חבילת הנוזקות SNOW פועלת כמערכת אקולוגית מודולרית ומתואמת שנועדה להתמדה, שליטה והתגנבות:

• SNOWBELT פועל כממסר פקודות מבוסס JavaScript, מקבל הוראות מהתוקף ומעביר אותן לביצוע.
• SNOWGLAZE מתפקד ככלי מנהור מבוסס פייתון, ויוצר חיבור WebSocket מאובטח בין הרשת הנפגעת לשרת הפיקוד והבקרה של התוקף.
• SNOWBASIN משמש כדלת אחורית מתמשכת, המאפשרת ביצוע פקודות מרחוק, העברת קבצים, צילום מסך והסרה עצמית, תוך כדי פעולה כשרת HTTP מקומי על מספר פורטים.

לאחר ניצול: הרחבת שליטה וחילוץ נתונים

לאחר הפגיעה הראשונית, גורם האיום מבצע סדרה של פעולות כדי להעמיק את הגישה ולחלץ מידע בעל ערך:

סיור רשת מתבצע על ידי סריקת פורטים קריטיים, ולאחר מכן תנועה רוחבית באמצעות כלי ניהול והפעלות שולחן עבודה מרוחק המנוהלות דרך מערכות פרוצות.

הסלמת הרשאות מושגת על ידי חילוץ זיכרון תהליכים רגישים, מה שמאפשר קצירת אישורים וגישה בלתי מורשית למערכות ברמה גבוהה יותר.

טכניקות מתקדמות כגון Pass-the-Hash משמשות לפריצה לבקרי תחום, ולאחר מכן נפרסים כלים פורנזיים לאיסוף נתונים רגישים, כולל מסדי נתונים של ספריות, אשר לאחר מכן מסוננים באמצעות כלי עזר להעברת קבצים.

הסוואת ענן: שילוב של תעבורה זדונית עם שירותים לגיטימיים

מאפיין בולט של קמפיין זה הוא ניצול אסטרטגי לרעה של תשתית ענן מהימנה. מטענים זדוניים, דליפת נתונים ותקשורת פיקוד ובקרה מנותבים כולם דרך פלטפורמות ענן לגיטימיות. גישה זו מאפשרת לפעילות איומים להשתלב בצורה חלקה עם תעבורה ארגונית רגילה, תוך עקיפת מסנני אבטחה מסורתיים המבוססים על מוניטין או זיהוי אנומליות.

נוף איומים מתפתח: אמון כמטרה העיקרית

קמפיין UNC6692 מדגיש התפתחות משמעותית באסטרטגיות של מתקפות סייבר, המשלבות הנדסה חברתית, כלים ארגוניים מהימנים ותוכנות זדוניות מודולריות. על ידי ניצול אמון המשתמשים בפלטפורמות ושירותים הנמצאים בשימוש נרחב, תוקפים מגדילים את שיעורי ההצלחה תוך צמצום הגילוי. המשך השימוש בטקטיקות מדור קודם לצד מנגנוני אספקה חדשניים מדגיש מציאות קריטית: אסטרטגיות תקיפה יעילות יכולות להימשך זמן רב לאחר שהמפעילים המקוריים שלהן נעלמים.