SNOW kártevő

Egy korábban nem dokumentált, UNC6692 azonosítójú fenyegetési klasztert azonosítottak, amely fejlett pszichológiai manipulációs technikákat alkalmaz a Microsoft Teamsen keresztül, hogy egy SNOW Malware néven ismert egyedi kártevő keretrendszert telepítsen. A támadók következetesen informatikai ügyfélszolgálati személyzetnek adják ki magukat, és ráveszik a célpontokat, hogy fogadják el a külső fiókokból érkező csevegési meghívásokat.

Ezt a megtévesztést egy összehangolt e-mail bombázási kampány erősíti, amelynek során az áldozatokat spam üzenetekkel árasztják el, hogy sürgősséget és zavart keltsenek. Röviddel ezután a támadó a Teamsen keresztül kapcsolatba lép az áldozattal, IT-támogatásnak álcázva magát, és segítséget ajánl a kitalált probléma megoldásához. Ez a kétrétegű manipulációs taktika jelentősen növeli a felhasználói megfelelés valószínűségét.

Hagyományos taktikák, modern hatás

A működési minta a Black Basta tagjaihoz történelmileg kapcsolódó technikákat tükrözi. Annak ellenére, hogy a csoport beszüntette a zsarolóvírus-műveleteket, módszereik továbbra is hatékonyak. Biztonsági kutatók megerősítették, hogy ez a megközelítés elsősorban a vezetőket és a magas rangú személyzetet célozza meg, lehetővé téve a kezdeti hálózati hozzáférést, ami adatlopáshoz, oldalirányú mozgáshoz, zsarolóvírus-telepítéshez és zsaroláshoz vezethet. A megfigyelt esetekben a támadó által kezdeményezett csevegések másodperceken belül zajlottak, ami az automatizálást és a koordinációt hangsúlyozza.

Megtévesztő belépési pont: A hamis megoldás

A kizárólag távoli felügyeleti eszközökre, például a Quick Assistre vagy a Supremo Remote Desktopra támaszkodó hagyományos támadásokkal ellentétben ez a kampány egy módosított fertőzési láncot vezet be. Az áldozatokat arra utasítják, hogy kattintson egy Teamsen keresztül megosztott adathalász linkre, amelyet „Mailbox Repair and Sync Utility v2.1.5” néven mutatnak be.

A hivatkozás egy rosszindulatú AutoHotkey szkript letöltését indítja el, amely egy támadó által ellenőrzött felhőalapú tárhelyszolgáltatáson található. Egy kapuőr mechanizmus biztosítja, hogy a hasznos adatok csak a kívánt célpontokhoz jussanak el, segítve az automatikus biztonsági elemzés megkerülését. Ezenkívül a szkript ellenőrzi a böngésző használatát, és állandó figyelmeztetéseken keresztül kikényszeríti a Microsoft Edge használatát, biztosítva a kompatibilitást a későbbi rosszindulatú összetevőkkel.

SNOWBELT: A csendes böngésző hátsó ajtaja

A kezdeti szkript felderítést végez, mielőtt telepítené a SNOWBELT-et, egy rosszindulatú Chromium-alapú böngészőbővítményt. A SNOWBELT egy headless Edge folyamaton keresztül, specifikus parancssori paraméterek használatával telepíthető, titkos hátsó ajtóként működik. Lehetővé teszi további hasznos fájlok letöltését, beleértve a SNOWGLAZE-t, a SNOWBASIN-t, további AutoHotkey szkripteket és egy tömörített archívumot, amely egy hordozható Python környezetet tartalmaz.

Ezzel egyidejűleg az adathalász felület egy „Konfigurációkezelő Panelt” is megjelenít, amelyen egy „Állapot-ellenőrzés” funkció is található. Ez a felület hitelesítés ürügyén arra kéri a felhasználókat, hogy adják meg postafiókjuk hitelesítő adatait, ehelyett azonban érzékeny adatokat rögzít és juttat el a támadó által ellenőrzött infrastruktúrába.

Moduláris kártevő-ökoszisztéma: SNOW keretrendszer lebontása

A SNOW kártevőcsomag egy összehangolt, moduláris ökoszisztémaként működik, amelyet a tartósság, az ellenőrzés és a lopakodás érdekében terveztek:

• A SNOWBELT JavaScript-alapú parancstovábbítóként működik, fogadja a támadótól érkező utasításokat, és továbbítja azokat végrehajtásra.
• A SNOWGLAZE egy Python-alapú alagútkezelő segédprogramként működik, amely biztonságos WebSocket kapcsolatot hoz létre a feltört hálózat és a támadó Command-and-Control szervere között.
• A SNOWBASIN állandó hátsó ajtóként szolgál, lehetővé téve a távoli parancsfuttatást, fájlátvitelt, képernyőképek készítését és öneltávolítást, miközben helyi HTTP-kiszolgálóként működik több porton.

Kizsákmányolás utáni időszak: Az irányítás kiterjesztése és az adatok kinyerése

A kezdeti kompromittálódást követően a fenyegető szereplő egy sor műveletet hajt végre a hozzáférés elmélyítése és az értékes információk kinyerése érdekében:

A hálózati felderítést kritikus portok szkennelésével végzik, majd adminisztratív eszközök és a feltört rendszereken keresztül alagútrendszeren keresztül oldalirányú mozgás követi őket.

A jogosultságok eszkalációját az érzékeny folyamatmemória kinyerésével érik el, lehetővé téve a hitelesítő adatok gyűjtését és a magasabb szintű rendszerekhez való jogosulatlan hozzáférést.

Fejlett technikákat, például a Pass-the-Hash-t használnak a tartományvezérlők feltörésére, majd forenzikus eszközöket vetnek be érzékeny adatok, többek között címtár-adatbázisok gyűjtésére, amelyeket aztán fájlátviteli segédprogramok segítségével kinyernek.

Felhő álcázás: Kártékony forgalom és legitim szolgáltatások ötvözése

A kampány meghatározó jellemzője a megbízható felhőinfrastruktúra stratégiai visszaélése. A rosszindulatú hasznos adatok, az adatlopás és a parancs-és-vezérléses kommunikáció mind legitim felhőplatformokon keresztül történik. Ez a megközelítés lehetővé teszi, hogy a fenyegetési tevékenységek zökkenőmentesen beolvadjanak a normál vállalati forgalomba, hatékonyan megkerülve a reputáción vagy anomáliadetektáláson alapuló hagyományos biztonsági szűrőket.

Változó fenyegetési környezet: A bizalom mint elsődleges célpont

Az UNC6692 kampány a kibertámadási stratégiák jelentős fejlődését emeli ki, amely ötvözi a társadalmi manipulációt, a megbízható vállalati eszközöket és a moduláris rosszindulatú programokat. A felhasználók széles körben használt platformokba és szolgáltatásokba vetett bizalmának kihasználásával a támadók növelhetik a sikerességi arányt, miközben minimalizálják az észlelést. A hagyományos taktikák fennmaradása az innovatív kézbesítési mechanizmusok mellett rávilágít egy kritikus valóságra: a hatékony támadási stratégiák sokáig fennmaradhatnak azután is, hogy eredeti üzemeltetőik eltűntek.