SNOW Malware
È stato identificato un gruppo di minacce precedentemente non documentato, identificato con il codice UNC6692, che sfrutta tecniche avanzate di ingegneria sociale tramite Microsoft Teams per diffondere un framework malware personalizzato noto come SNOW Malware. Gli aggressori si spacciano sistematicamente per personale dell'assistenza IT, convincendo le vittime ad accettare inviti a chat provenienti da account esterni.
Questo inganno è rafforzato da una campagna coordinata di email bombing, in cui le vittime vengono inondate di messaggi di spam per creare un senso di urgenza e confusione. Poco dopo, l'aggressore avvia un contatto tramite Teams, fingendosi un tecnico dell'assistenza IT e offrendo aiuto per risolvere il problema inesistente. Questa tattica manipolativa a due livelli aumenta significativamente la probabilità che l'utente acconsenta.
Sommario
Tattiche tradizionali, impatto moderno
Lo schema operativo rispecchia le tecniche storicamente associate agli affiliati di Black Basta. Nonostante il gruppo abbia cessato le operazioni di ransomware, i suoi metodi persistono e rimangono efficaci. I ricercatori di sicurezza hanno confermato che questo approccio prende di mira principalmente dirigenti e personale di alto livello, consentendo l'accesso iniziale alla rete che può portare all'esfiltrazione dei dati, alla mobilità laterale, all'installazione di ransomware e all'estorsione. Nei casi osservati, le chat avviate dagli aggressori si sono svolte a distanza di pochi secondi l'una dall'altra, a sottolineare l'automazione e il coordinamento.
Punto di ingresso ingannevole: la falsa soluzione
A differenza degli attacchi tradizionali che si basano esclusivamente su strumenti di gestione remota come Quick Assist o Supremo Remote Desktop, questa campagna introduce una catena di infezione modificata. Le vittime vengono indotte a cliccare su un link di phishing condiviso tramite Teams, presentato come "Utilità di riparazione e sincronizzazione della casella di posta v2.1.5".
Il link attiva il download di uno script AutoHotkey dannoso ospitato su un servizio di archiviazione cloud controllato dall'attaccante. Un meccanismo di controllo garantisce che il payload venga consegnato solo ai destinatari previsti, contribuendo a eludere le analisi di sicurezza automatizzate. Inoltre, lo script verifica il browser utilizzato e impone l'uso di Microsoft Edge tramite avvisi persistenti, garantendo la compatibilità con i successivi componenti dannosi.
SNOWBELT: La backdoor silenziosa del browser
Lo script iniziale effettua una ricognizione prima di distribuire SNOWBELT, un'estensione del browser dannosa basata su Chromium. Installato tramite un processo Edge headless utilizzando specifici parametri da riga di comando, SNOWBELT funziona come una backdoor nascosta. Facilita il download di payload aggiuntivi, tra cui SNOWGLAZE, SNOWBASIN, altri script AutoHotkey e un archivio compresso contenente un ambiente Python portatile.
Contemporaneamente, l'interfaccia di phishing presenta un "Pannello di gestione della configurazione" con una funzione di "Verifica dello stato". Questa interfaccia invita gli utenti a inserire le credenziali della casella di posta elettronica con il pretesto dell'autenticazione, ma in realtà cattura ed esfiltra dati sensibili verso un'infrastruttura controllata dagli aggressori.
Ecosistema modulare del malware: analisi dettagliata del framework SNOW
La suite di malware SNOW opera come un ecosistema coordinato e modulare, progettato per la persistenza, il controllo e la furtività:
- SNOWBELT funge da relè di comandi basato su JavaScript, ricevendo istruzioni dall'attaccante e inoltrandole per l'esecuzione.
- SNOWGLAZE funziona come un'utility di tunneling basata su Python, stabilendo una connessione WebSocket sicura tra la rete compromessa e il server di comando e controllo dell'attaccante.
- SNOWBASIN funge da backdoor persistente, consentendo l'esecuzione di comandi da remoto, il trasferimento di file, l'acquisizione di screenshot e l'autorimozione, operando al contempo come server HTTP locale su più porte.
Post-sfruttamento: ampliamento del controllo ed estrazione dei dati
In seguito alla compromissione iniziale, l'attore della minaccia esegue una serie di azioni per approfondire l'accesso ed estrarre informazioni preziose:
La ricognizione di rete viene condotta mediante la scansione delle porte critiche, seguita da movimenti laterali utilizzando strumenti amministrativi e sessioni di desktop remoto instradate attraverso i sistemi compromessi.
L'escalation dei privilegi si ottiene estraendo la memoria di processo sensibile, consentendo la raccolta di credenziali e l'accesso non autorizzato a sistemi di livello superiore.
Tecniche avanzate come Pass-the-Hash vengono utilizzate per compromettere i controller di dominio, dopodiché vengono impiegati strumenti forensi per raccogliere dati sensibili, inclusi i database delle directory, che vengono poi esfiltrati utilizzando utility di trasferimento file.
Cloud Camouflage: fondere il traffico malevolo con i servizi legittimi
Una caratteristica distintiva di questa campagna è l'abuso strategico di infrastrutture cloud affidabili. Payload dannosi, esfiltrazione di dati e comunicazioni di comando e controllo vengono instradati attraverso piattaforme cloud legittime. Questo approccio consente alle attività malevole di integrarsi perfettamente con il normale traffico aziendale, aggirando di fatto i tradizionali filtri di sicurezza basati sulla reputazione o sul rilevamento delle anomalie.
Scenario delle minacce in evoluzione: la fiducia come obiettivo primario
La campagna UNC6692 mette in luce una significativa evoluzione nelle strategie di attacco informatico, che combina ingegneria sociale, strumenti aziendali affidabili e malware modulari. Sfruttando la fiducia degli utenti in piattaforme e servizi ampiamente utilizzati, gli aggressori aumentano le probabilità di successo riducendo al minimo il rilevamento. La persistenza di tattiche tradizionali accanto a meccanismi di diffusione innovativi sottolinea una realtà cruciale: le strategie di attacco efficaci possono sopravvivere a lungo anche dopo la scomparsa dei loro autori originali.
