Vairāku licenču atlaides piedāvājums
Draudu datu bāze Ļaunprātīga programmatūra SNOW ļaunprogrammatūra

SNOW ļaunprogrammatūra

Līdz Mezo. gadam Ļaunprātīga programmatūra, Advanced Persistent Threat (APT). gadā
Tulkot uz:

Izmantojot uzlabotas sociālās inženierijas metodes, izmantojot Microsoft Teams, lai izvietotu pielāgotu ļaunprogrammatūras ietvaru, kas pazīstams kā SNOW ļaunprogrammatūra, ir identificēts iepriekš nedokumentēts apdraudējumu klasteris ar numuru UNC6692. Uzbrucēji pastāvīgi uzdodas par IT atbalsta dienesta darbiniekiem, pārliecinot mērķus pieņemt tērzēšanas ielūgumus no ārējiem kontiem.

Šo maldināšanu pastiprina koordinēta e-pasta bombardēšanas kampaņa, kuras laikā upuri tiek pārpludināti ar surogātpasta ziņojumiem, lai radītu steidzamību un apjukumu. Neilgi pēc tam uzbrucējs sazinās, izmantojot Teams, izliekoties par IT atbalsta dienestu un piedāvājot palīdzību safabricētās problēmas risināšanā. Šī divslāņu manipulācijas taktika ievērojami palielina lietotāju atbilstības iespējamību.

Mantotā taktika, mūsdienu ietekme

Darbības modelis atspoguļo metodes, kas vēsturiski saistītas ar Black Basta filiālēm. Lai gan grupa pārtrauc izspiedējvīrusu darbības, tās metodes joprojām pastāv un ir efektīvas. Drošības pētnieki ir apstiprinājuši, ka šī pieeja galvenokārt ir vērsta uz vadītājiem un vecākajiem darbiniekiem, nodrošinot sākotnēju piekļuvi tīklam, kas var novest pie datu noplūdes, sānu pārvietošanās, izspiedējvīrusu izvietošanas un izspiešanas. Novērotajos gadījumos uzbrucēju uzsāktas sarunas notika dažu sekunžu laikā, uzsverot automatizāciju un koordināciju.

Maldinošs ieejas punkts: viltus labojums

Atšķirībā no tradicionālajiem uzbrukumiem, kas balstās tikai uz attālās pārvaldības rīkiem, piemēram, Quick Assist vai Supremo Remote Desktop, šī kampaņa ievieš modificētu inficēšanas ķēdi. Cietušie tiek mudināti noklikšķināt uz pikšķerēšanas saites, kas kopīgota, izmantojot Teams, un tiek parādīta kā “Pastkastes labošanas un sinhronizācijas utilīta v2.1.5”.

Saite aktivizē ļaunprātīga AutoHotkey skripta lejupielādi, kas tiek mitināts uzbrucēja kontrolētā mākoņkrātuves pakalpojumā. Vārtu glabāšanas mehānisms nodrošina vērtuma piegādi tikai paredzētajiem mērķiem, palīdzot izvairīties no automatizētas drošības analīzes. Turklāt skripts pārbauda pārlūkprogrammas lietojumu un nodrošina Microsoft Edge lietošanu, izmantojot pastāvīgus brīdinājumus, nodrošinot saderību ar turpmākajiem ļaunprātīgajiem komponentiem.

SNOWBELT: Klusā pārlūka aizmugurējā durvis

Sākotnējais skripts veic izlūkošanu pirms SNOWBELT, ļaunprātīga Chromium pārlūkprogrammas paplašinājuma, izvietošanas. SNOWBELT, kas tiek instalēts, izmantojot bezgalvas Edge procesu ar īpašiem komandrindas parametriem, darbojas kā slepenas aizmugurējās durvis. Tas atvieglo papildu vērtuma lejupielādi, tostarp SNOWGLAZE, SNOWBASIN, citus AutoHotkey skriptus un saspiestu arhīvu, kas satur pārnēsājamu Python vidi.

Vienlaikus pikšķerēšanas saskarne piedāvā “Konfigurācijas pārvaldības paneli” ar “Veselības pārbaudes” funkciju. Šī saskarne aicina lietotājus ievadīt pastkastes akreditācijas datus, aizbildinoties ar autentifikāciju, bet tā vietā uztver un nodod sensitīvus datus uzbrucēja kontrolētai infrastruktūrai.

Modulāra ļaunprogrammatūras ekosistēma: SNOW ietvara sadalījums

SNOW ļaunprogrammatūras komplekts darbojas kā koordinēta, modulāra ekosistēma, kas paredzēta noturībai, kontrolei un slepenībai:

  • SNOWBELT darbojas kā uz JavaScript balstīta komandu pārraide, saņemot instrukcijas no uzbrucēja un pārsūtot tās izpildei.
  • SNOWGLAZE darbojas kā Python bāzēta tunelēšanas utilīta, izveidojot drošu WebSocket savienojumu starp apdraudēto tīklu un uzbrucēja komandvadības serveri.
  • SNOWBASIN kalpo kā pastāvīgas aizmugurējās durvis, kas nodrošina attālinātu komandu izpildi, failu pārsūtīšanu, ekrānuzņēmumu uzņemšanu un pašizņemšanu, vienlaikus darbojoties kā lokāls HTTP serveris vairākās pieslēgvietās.

Pēc ekspluatācijas: kontroles paplašināšana un datu ieguve

Pēc sākotnējās apdraudējuma nodarīšanas apdraudējuma dalībnieks veic virkni darbību, lai padziļinātu piekļuvi un iegūtu vērtīgu informāciju:

Tīkla izlūkošana tiek veikta, skenējot kritiskās pieslēgvietas, kam seko sānu pārvietošanās, izmantojot administratīvos rīkus un attālās darbvirsmas sesijas, kas tiek tunelētas caur apdraudētām sistēmām.

Privilēģiju eskalācija tiek panākta, iegūstot sensitīvu procesa atmiņu, nodrošinot akreditācijas datu iegūšanu un nesankcionētu piekļuvi augstāka līmeņa sistēmām.

Domēnu kontrolleru kompromitēšanai tiek izmantotas tādas uzlabotas metodes kā Pass-the-Hash, pēc tam tiek izvietoti kriminālistikas rīki, lai apkopotu sensitīvus datus, tostarp direktoriju datubāzes, kuras pēc tam tiek izfiltrētas, izmantojot failu pārsūtīšanas utilītas.

Mākoņu maskēšanās: ļaunprātīgas datplūsmas apvienošana ar likumīgiem pakalpojumiem

Šīs kampaņas raksturīga iezīme ir uzticamas mākoņinfrastruktūras stratēģiska ļaunprātīga izmantošana. Ļaunprātīgas slodzes, datu noplūde un komandvadības saziņa tiek maršrutēta caur likumīgām mākoņplatformām. Šī pieeja ļauj apdraudējumu aktivitātēm nemanāmi saplūst ar parasto uzņēmuma datplūsmu, efektīvi apejot tradicionālos drošības filtrus, kuru pamatā ir reputācija vai anomāliju noteikšana.

Mainīgā apdraudējumu ainava: uzticēšanās kā galvenais mērķis

UNC6692 kampaņa izceļ ievērojamu kiberuzbrukumu stratēģiju attīstību, apvienojot sociālo inženieriju, uzticamus uzņēmumu rīkus un modulāru ļaunprogrammatūru. Izmantojot lietotāju uzticēšanos plaši izmantotajām platformām un pakalpojumiem, uzbrucēji palielina veiksmes rādītājus, vienlaikus samazinot atklāšanas iespējas. Mantoto taktiku noturība līdzās inovatīviem piegādes mehānismiem uzsver kritisku realitāti: efektīvas uzbrukumu stratēģijas var pastāvēt ilgi pēc tam, kad to sākotnējie lietotāji pazūd.

Tendences

Visvairāk skatīts

Notiek ielāde...