SNOW Malware
Satu kelompok ancaman yang sebelum ini tidak didokumenkan, yang dikesan sebagai UNC6692, telah dikenal pasti memanfaatkan teknik kejuruteraan sosial lanjutan melalui Microsoft Teams untuk menggunakan rangka kerja perisian hasad tersuai yang dikenali sebagai Perisian Hasad SNOW. Penyerang secara konsisten menyamar sebagai kakitangan meja bantuan IT, memujuk sasaran untuk menerima jemputan sembang yang berasal dari akaun luaran.
Penipuan ini diperkukuhkan lagi dengan kempen pengeboman e-mel yang diselaraskan, di mana mangsa dibanjiri mesej spam untuk mewujudkan keadaan segera dan kekeliruan. Tidak lama selepas itu, penyerang memulakan hubungan melalui Teams, menyamar sebagai sokongan IT dan menawarkan bantuan untuk menyelesaikan isu yang direka-reka. Taktik manipulasi dua lapisan ini meningkatkan kemungkinan pematuhan pengguna dengan ketara.
Isi kandungan
Taktik Legasi, Impak Moden
Corak operasi mencerminkan teknik yang secara sejarahnya dikaitkan dengan sekutu Black Basta. Walaupun kumpulan itu menghentikan operasi ransomware, kaedahnya kekal dan berkesan. Penyelidik keselamatan telah mengesahkan bahawa pendekatan ini terutamanya menyasarkan eksekutif dan kakitangan kanan, membolehkan akses rangkaian awal yang boleh menyebabkan penyusupan data, pergerakan sisi, penggunaan ransomware dan pemerasan. Dalam kes yang diperhatikan, sembang yang dimulakan oleh penyerang berlaku dalam beberapa saat antara satu sama lain, menekankan automasi dan koordinasi.
Titik Masuk yang Menipu: Pembaikan Palsu
Tidak seperti serangan tradisional yang hanya bergantung pada alat pengurusan jarak jauh seperti Quick Assist atau Supremo Remote Desktop, kempen ini memperkenalkan rantaian jangkitan yang diubah suai. Mangsa diarahkan untuk mengklik pautan pancingan data yang dikongsi melalui Teams, yang dipaparkan sebagai 'Utiliti Pembaikan dan Penyegerakan Peti Mel v2.1.5.'
Pautan tersebut mencetuskan muat turun skrip AutoHotkey berniat jahat yang dihoskan pada perkhidmatan storan awan yang dikawal oleh penyerang. Mekanisme penjaga pintu memastikan penghantaran muatan hanya kepada sasaran yang dimaksudkan, membantu mengelakkan analisis keselamatan automatik. Selain itu, skrip mengesahkan penggunaan pelayar dan menguatkuasakan penggunaan Microsoft Edge melalui amaran berterusan, memastikan keserasian dengan komponen berniat jahat berikutnya.
SNOWBELT: Pintu Belakang Pelayar Senyap
Skrip awal menjalankan peninjauan sebelum menggunakan SNOWBELT, sambungan pelayar berasaskan Chromium yang berniat jahat. Dipasang melalui proses Edge tanpa kepala menggunakan parameter baris arahan tertentu, SNOWBELT berfungsi sebagai pintu belakang rahsia. Ia memudahkan muat turun muatan tambahan, termasuk SNOWGLAZE, SNOWBASIN, skrip AutoHotkey selanjutnya dan arkib termampat yang mengandungi persekitaran Python mudah alih.
Pada masa yang sama, antara muka pancingan data membentangkan 'Panel Pengurusan Konfigurasi' dengan ciri 'Pemeriksaan Kesihatan'. Antara muka ini meminta pengguna memasukkan kelayakan peti mel di bawah nama pengesahan, tetapi sebaliknya menangkap dan mengeluarkan data sensitif ke infrastruktur yang dikawal oleh penyerang.
Ekosistem Perisian Hasad Modular: Pecahan Rangka Kerja SNOW
Suit perisian hasad SNOW beroperasi sebagai ekosistem modular yang diselaraskan yang direka untuk kegigihan, kawalan dan penyembunyian:
- SNOWBELT bertindak sebagai geganti arahan berasaskan JavaScript, menerima arahan daripada penyerang dan meneruskannya untuk pelaksanaan.
- SNOWGLAZE berfungsi sebagai utiliti terowong berasaskan Python, mewujudkan sambungan WebSocket yang selamat antara rangkaian yang diceroboh dan pelayan Perintah dan Kawalan penyerang.
- SNOWBASIN berfungsi sebagai pintu belakang yang berterusan, membolehkan pelaksanaan arahan jauh, pemindahan fail, tangkapan skrin dan penyingkiran sendiri, sambil beroperasi sebagai pelayan HTTP tempatan pada berbilang port.
Pasca-Eksploitasi: Memperluas Kawalan dan Mengekstrak Data
Berikutan kompromi awal, pelaku ancaman melaksanakan beberapa tindakan untuk memperdalam akses dan mengekstrak maklumat berharga:
Peninjauan rangkaian dijalankan dengan mengimbas port kritikal, diikuti dengan pergerakan lateral menggunakan alat pentadbiran dan sesi desktop jauh yang digali melalui sistem yang terjejas.
Peningkatan keistimewaan dicapai dengan mengekstrak memori proses sensitif, membolehkan penuaian kelayakan dan akses tanpa kebenaran kepada sistem peringkat lebih tinggi.
Teknik lanjutan seperti Pass-the-Hash digunakan untuk menjejaskan pengawal domain, selepas itu alat forensik digunakan untuk mengumpul data sensitif, termasuk pangkalan data direktori, yang kemudiannya diekstrak menggunakan utiliti pemindahan fail.
Penyamaran Awan: Menggabungkan Trafik Berniat Jahat dengan Perkhidmatan Sah
Ciri khas kempen ini ialah penyalahgunaan strategik infrastruktur awan yang dipercayai. Muatan berniat jahat, penyusupan data dan komunikasi Perintah dan Kawalan semuanya dihalakan melalui platform awan yang sah. Pendekatan ini membolehkan aktiviti ancaman bercampur dengan lancar dengan trafik perusahaan biasa, dengan berkesan memintas penapis keselamatan tradisional berdasarkan reputasi atau pengesanan anomali.
Landskap Ancaman yang Berkembang: Kepercayaan sebagai Sasaran Utama
Kempen UNC6692 mengetengahkan evolusi ketara dalam strategi serangan siber, menggabungkan kejuruteraan sosial, alatan perusahaan yang dipercayai dan perisian hasad modular. Dengan mengeksploitasi kepercayaan pengguna dalam platform dan perkhidmatan yang digunakan secara meluas, penyerang meningkatkan kadar kejayaan sambil meminimumkan pengesanan. Kegigihan taktik legasi di samping mekanisme penyampaian inovatif menggariskan realiti kritikal: strategi serangan yang berkesan boleh bertahan lama selepas pengendali asalnya hilang.
