SNOW kenkėjiška programa
Anksčiau nedokumentuotas grėsmių židinys, sektas kaip UNC6692, buvo identifikuotas naudojant pažangias socialinės inžinerijos technologijas per „Microsoft Teams“, kad būtų įdiegta pritaikyta kenkėjiškų programų sistema, žinoma kaip SNOW kenkėjiška programa. Užpuolikai nuolat apsimetinėja IT pagalbos tarnybos darbuotojais, įtikinėdami taikinius priimti pokalbių kvietimus, siunčiamus iš išorinių paskyrų.
Šią apgaulę sustiprina koordinuota el. laiškų bombardavimo kampanija, kurios metu aukos užtvindomos šlamšto laiškais, siekiant sukelti skubumą ir painiavą. Netrukus po to užpuolikas susisiekia per „Teams“, apsimesdamas IT pagalbos specialistu ir siūlydamas pagalbą išspręsti išgalvotą problemą. Ši dvilypė manipuliavimo taktika žymiai padidina tikimybę, kad vartotojai sutiks su taisyklėmis.
Turinys
Palikimo taktika, modernus poveikis
Šis veikimo modelis atspindi metodus, istoriškai siejamus su „Black Basta“ filialais. Nepaisant to, kad grupuotė nutraukė išpirkos reikalaujančių programų veiklą, jos metodai išliko ir išlieka veiksmingi. Saugumo tyrėjai patvirtino, kad šis metodas pirmiausia taikomasi į vadovus ir vyresniuosius darbuotojus, suteikiant pradinę prieigą prie tinklo, kuri gali lemti duomenų nutekėjimą, horizontalią judėjimą, išpirkos reikalaujančių programų diegimą ir turto prievartavimą. Stebėtais atvejais užpuoliko inicijuoti pokalbiai vyko per kelias sekundes vienas nuo kito, o tai pabrėžia automatizavimą ir koordinavimą.
Apgaulingas įėjimo taškas: netikras sprendimas
Skirtingai nuo tradicinių atakų, kurios remiasi vien nuotolinio valdymo įrankiais, tokiais kaip „Quick Assist“ arba „Supremo Remote Desktop“, ši kampanija pristato modifikuotą užkrėtimo grandinę. Aukos nukreipiamos spustelėti sukčiavimo nuorodą, bendrinamą per „Teams“, kuri pateikiama kaip „Mailbox Repair and Sync Utility v2.1.5“.
Nuoroda suaktyvina kenkėjiško „AutoHotkey“ scenarijaus, esančio užpuoliko kontroliuojamoje debesies saugyklos paslaugoje, atsisiuntimą. Vartų sargo mechanizmas užtikrina, kad naudingoji informacija būtų teikiama tik numatytiems taikiniams, taip padedant išvengti automatinės saugumo analizės. Be to, scenarijus tikrina naršyklės naudojimą ir nuolatiniais įspėjimais užtikrina „Microsoft Edge“ naudojimą, taip užtikrindamas suderinamumą su vėlesniais kenkėjiškais komponentais.
SNOWBELT: Tyliosios naršyklės galinės durys
Pradinis scenarijus atlieka žvalgybą prieš diegdamas SNOWBELT – kenkėjišką „Chromium“ pagrindu sukurtą naršyklės plėtinį. Įdiegiamas per neinvazinį „Edge“ procesą, naudojant specialius komandinės eilutės parametrus, SNOWBELT veikia kaip slaptos užkardos. Jis palengvina papildomų naudingųjų programų, įskaitant SNOWGLAZE, SNOWBASIN, kitus „AutoHotkey“ scenarijus ir suspaustą archyvą, kuriame yra nešiojama „Python“ aplinka, atsisiuntimą.
Tuo pačiu metu sukčiavimo sąsaja pateikia „Konfigūracijos valdymo skydą“ su „Būklės patikrinimo“ funkcija. Ši sąsaja ragina vartotojus įvesti pašto dėžutės kredencialus, apsimetant autentifikavimu, tačiau vietoj to fiksuoja ir išfiltruoja jautrius duomenis į užpuoliko kontroliuojamą infrastruktūrą.
Modulinė kenkėjiškų programų ekosistema: SNOW sistemos suskirstymas
Kenkėjiškų programų rinkinys „SNOW“ veikia kaip koordinuota, modulinė ekosistema, sukurta atkaklumui, kontrolei ir slaptumui užtikrinti:
- „SNOWBELT“ veikia kaip „JavaScript“ pagrindu veikianti komandų perdavimo sistema, gaunanti instrukcijas iš užpuoliko ir persiunčianti jas vykdymui.
- „SNOWGLAZE“ veikia kaip „Python“ pagrindu sukurta tuneliavimo programa, užmezganti saugų „WebSocket“ ryšį tarp pažeisto tinklo ir užpuoliko komandų ir valdymo serverio.
- „SNOWBASIN“ veikia kaip nuolatinis galinis durų įrankis, leidžiantis nuotoliniu būdu vykdyti komandas, perduoti failus, daryti ekrano kopijas ir savarankiškai pašalinti failus, tuo pačiu metu veikiant kaip vietinis HTTP serveris keliuose prievaduose.
Po išnaudojimo: kontrolės išplėtimas ir duomenų išgavimas
Po pradinio įsilaužimo grėsmės vykdytojas atlieka veiksmų seriją, kad padidintų prieigą ir išgautų vertingą informaciją:
Tinklo žvalgyba atliekama nuskaitant svarbiausius prievadus, o po to stebimas šoninis judėjimas naudojant administravimo įrankius ir nuotolinio darbalaukio sesijas, tuneliuojamas per pažeistas sistemas.
Privilegijų eskalavimas pasiekiamas išgaunant jautrią procesų atmintį, įgalinant kredencialų rinkimą ir neteisėtą prieigą prie aukštesnio lygio sistemų.
Pažangūs metodai, tokie kaip maišos perdavimas (Pass-the-Hash), naudojami domeno valdikliams pažeisti, po to pasitelkiamos teismo ekspertizės priemonės, skirtos rinkti neskelbtinus duomenis, įskaitant katalogų duomenų bazes, kurie vėliau išfiltruojami naudojant failų perdavimo programas.
Debesų maskavimas: kenkėjiško srauto ir teisėtų paslaugų derinimas
Šios kampanijos išskirtinis bruožas – strateginis patikimos debesijos infrastruktūros piktnaudžiavimas. Kenkėjiški duomenys, duomenų nutekėjimas ir komandų bei kontrolės ryšiai nukreipiami per teisėtas debesijos platformas. Toks metodas leidžia grėsmių veiklai sklandžiai susilieti su įprastu įmonės srautu, efektyviai apeinant tradicinius saugumo filtrus, pagrįstus reputacija ar anomalijų aptikimu.
Besikeičiantis grėsmių kraštovaizdis: pasitikėjimas kaip pagrindinis taikinys
UNC6692 kampanija pabrėžia reikšmingą kibernetinių atakų strategijų evoliuciją, kurioje derinama socialinė inžinerija, patikimi įmonių įrankiai ir modulinė kenkėjiška programinė įranga. Pasinaudodami vartotojų pasitikėjimu plačiai naudojamomis platformomis ir paslaugomis, užpuolikai padidina sėkmės rodiklius ir sumažina aptikimo tikimybę. Senovinių taktikų išlikimas kartu su novatoriškais įgyvendinimo mechanizmais pabrėžia esminę realybę: veiksmingos atakų strategijos gali išlikti ilgai po to, kai išnyksta jų pirminiai operatoriai.
