Ponuda s popustom na više licenci
Baza prijetnji Malware Zlonamjerni softver SNOW

Zlonamjerni softver SNOW

Do Mezo. Malware, Napredna trajna prijetnja (APT). godine
Prevedi na:

Identificiran je prethodno nedokumentirani klaster prijetnji, praćen kao UNC6692, koji koristi napredne tehnike društvenog inženjeringa putem Microsoft Teamsa za implementaciju prilagođenog okvira zlonamjernog softvera poznatog kao SNOW Malware. Napadači se dosljedno lažno predstavljaju kao osoblje IT službe za korisnike, uvjeravajući mete da prihvate pozive na chat koji potječu s vanjskih računa.

Ovu obmanu pojačava koordinirana kampanja bombardiranja e-poštom, gdje se žrtve zatrpavaju neželjenim porukama kako bi se stvorila hitnost i zbunjenost. Ubrzo nakon toga, napadač inicira kontakt putem Teamsa, predstavljajući se kao IT podrška i nudeći pomoć u rješavanju izmišljenog problema. Ova dvoslojna taktika manipulacije značajno povećava vjerojatnost usklađenosti korisnika.

Zastarjele taktike, moderni utjecaj

Operativni obrazac odražava tehnike koje su se povijesno povezivale s podružnicama Black Baste. Unatoč tome što je grupa prestala s operacijama ransomwarea, njezine metode i dalje postoje i ostaju učinkovite. Istraživači sigurnosti potvrdili su da ovaj pristup prvenstveno cilja rukovoditelje i više osoblje, omogućujući početni pristup mreži koji može dovesti do krađe podataka, lateralnog kretanja, postavljanja ransomwarea i iznude. U promatranim slučajevima, razgovori koje je pokrenuo napadač odvijali su se u roku od nekoliko sekundi, što naglašava automatizaciju i koordinaciju.

Varljiva ulazna točka: Lažno rješenje

Za razliku od tradicionalnih napada koji se oslanjaju isključivo na alate za daljinsko upravljanje kao što su Quick Assist ili Supremo Remote Desktop, ova kampanja uvodi modificirani lanac zaraze. Žrtve se upućuju da kliknu na phishing poveznicu podijeljenu putem Teamsa, predstavljenu kao 'Uslužni program za popravak i sinkronizaciju poštanskog sandučića v2.1.5'.

Veza pokreće preuzimanje zlonamjerne skripte AutoHotkey smještene na usluzi pohrane u oblaku koju kontrolira napadač. Mehanizam čuvara vrata osigurava isporuku sadržaja samo određenim ciljevima, pomažući u izbjegavanju automatiziranu sigurnosnu analizu. Osim toga, skripta provjerava korištenje preglednika i provodi korištenje Microsoft Edgea putem trajnih upozorenja, osiguravajući kompatibilnost s naknadnim zlonamjernim komponentama.

SNOWBELT: Tihi stražnji ulaz preglednika

Početna skripta provodi izviđanje prije implementacije SNOWBELT-a, zlonamjernog proširenja preglednika temeljenog na Chromiumu. Instaliran putem Edge procesa bez headlessa pomoću specifičnih parametara naredbenog retka, SNOWBELT funkcionira kao prikriveni backdoor. Omogućuje preuzimanje dodatnih korisnih podataka, uključujući SNOWGLAZE, SNOWBASIN, daljnje AutoHotkey skripte i komprimiranu arhivu koja sadrži prijenosno Python okruženje.

Istovremeno, phishing sučelje predstavlja 'Ploču za upravljanje konfiguracijom' sa značajkom 'Provjera stanja'. Ovo sučelje potiče korisnike da unesu vjerodajnice poštanskog sandučića pod krinkom autentifikacije, ali umjesto toga hvata i izvlači osjetljive podatke u infrastrukturu kojom upravlja napadač.

Modularni ekosustav zlonamjernog softvera: analiza SNOW okvira

Zlonamjerni paket SNOW funkcionira kao koordinirani, modularni ekosustav dizajniran za upornost, kontrolu i prikrivenost:

  • SNOWBELT djeluje kao JavaScript-bazirani relej naredbi, primajući upute od napadača i prosljeđujući ih na izvršenje.
  • SNOWGLAZE funkcionira kao uslužni program za tuneliranje temeljen na Pythonu, uspostavljajući sigurnu WebSocket vezu između kompromitirane mreže i napadačevog Command-and-Control poslužitelja.
  • SNOWBASIN služi kao trajna stražnja vrata, omogućujući udaljeno izvršavanje naredbi, prijenos datoteka, snimanje zaslona i samostalno uklanjanje, dok radi kao lokalni HTTP poslužitelj na više portova.

Nakon iskorištavanja: Proširenje kontrole i izdvajanje podataka

Nakon početne kompromitacije, napadač izvršava niz akcija kako bi produbio pristup i izvukao vrijedne informacije:

Izviđanje mreže provodi se skeniranjem kritičnih portova, nakon čega slijedi lateralno kretanje pomoću administrativnih alata i sesija udaljene radne površine tuneliranih kroz kompromitirane sustave.

Eskalacija privilegija postiže se izdvajanjem osjetljive memorije procesa, omogućujući prikupljanje vjerodajnica i neovlašteni pristup sustavima više razine.

Napredne tehnike poput Pass-the-Hash koriste se za kompromitiranje kontrolera domena, nakon čega se koriste forenzički alati za prikupljanje osjetljivih podataka, uključujući baze podataka direktorija, koji se zatim eksfiltriraju pomoću uslužnih programa za prijenos datoteka.

Kamuflaža u oblaku: Miješanje zlonamjernog prometa s legitimnim uslugama

Ključna karakteristika ove kampanje je strateška zlouporaba pouzdane infrastrukture u oblaku. Zlonamjerni korisni sadržaji, iznuđivanje podataka i komunikacija sustava Command-and-Control usmjeravaju se putem legitimnih platformi u oblaku. Ovaj pristup omogućuje prijetnjama da se besprijekorno stapaju s normalnim poslovnim prometom, učinkovito zaobilazeći tradicionalne sigurnosne filtere temeljene na reputaciji ili otkrivanju anomalija.

Razvoj krajolika prijetnji: Povjerenje kao primarna meta

Kampanja UNC6692 ističe značajnu evoluciju strategija kibernetičkih napada, kombinirajući socijalni inženjering, pouzdane alate za poduzeća i modularni zlonamjerni softver. Iskorištavanjem povjerenja korisnika u široko korištene platforme i usluge, napadači povećavaju stopu uspjeha uz istovremeno minimiziranje otkrivanja. Postojanost naslijeđenih taktika uz inovativne mehanizme isporuke naglašava ključnu stvarnost: učinkovite strategije napada mogu trajati dugo nakon što njihovi izvorni operateri nestanu.

U trendu

Nagledanije

Učitavam...