Rabatttilbud for flere lisenser
Trusseldatabase Skadelig programvare SNOW-skadevare

SNOW-skadevare

Med Mezo i Skadelig programvare, Advanced Persistent Threat (APT)
Oversett til:

En tidligere udokumentert trusselklynge, sporet som UNC6692, har blitt identifisert ved å utnytte avanserte sosialtekniske teknikker gjennom Microsoft Teams for å distribuere et tilpasset rammeverk for skadelig programvare kjent som SNOW Malware. Angriperne utgir seg konsekvent for å være IT-hjelpedeskpersonell og overtaler mål til å godta chat-invitasjoner som kommer fra eksterne kontoer.

Dette bedraget forsterkes av en koordinert e-postbombekampanje, der ofrene blir oversvømmet med spammeldinger for å skape hastverk og forvirring. Kort tid etterpå tar angriperen kontakt via Teams, utgir seg for å være IT-støtte og tilbyr hjelp til å løse det oppdiktede problemet. Denne dobbeltlagede manipulasjonstaktikken øker sannsynligheten for at brukeren etterlever reglene betydelig.

Legacy-taktikker, moderne innvirkning

Det operasjonelle mønsteret speiler teknikker som historisk sett er assosiert med tilknyttede selskaper til Black Basta. Til tross for at gruppen har opphørt ransomware-operasjoner, vedvarer metodene deres og er fortsatt effektive. Sikkerhetsforskere har bekreftet at denne tilnærmingen primært retter seg mot ledere og ledende ansatte, noe som muliggjør initial nettverkstilgang som kan føre til datautvinning, lateral bevegelse, ransomware-distribusjon og utpressing. I observerte tilfeller skjedde angriperinitierte samtaler med få sekunders mellomrom, noe som understreker automatisering og koordinering.

Villedende inngangspunkt: Den falske løsningen

I motsetning til tradisjonelle angrep som utelukkende bruker verktøy for fjernadministrasjon som Quick Assist eller Supremo Remote Desktop, introduserer denne kampanjen en modifisert infeksjonskjede. Ofrene blir bedt om å klikke på en phishing-lenke som deles via Teams, presentert som et «Mailbox Repair and Sync Utility v2.1.5».

Lenken utløser nedlasting av et ondsinnet AutoHotkey-skript som ligger på en angriperkontrollert skylagringstjeneste. En gatekeeper-mekanisme sikrer at nyttelasten kun leveres til tiltenkte mål, noe som bidrar til å unngå automatisert sikkerhetsanalyse. I tillegg verifiserer skriptet nettleserbruk og håndhever bruken av Microsoft Edge gjennom vedvarende advarsler, noe som sikrer kompatibilitet med påfølgende ondsinnede komponenter.

SNOWBELT: Den stille nettleserbakdøren

Det første skriptet utfører rekognosering før det distribueres SNOWBELT, en ondsinnet Chromium-basert nettleserutvidelse. SNOWBELT installeres via en headless Edge-prosess ved hjelp av spesifikke kommandolinjeparametere, og fungerer som en skjult bakdør. Det forenkler nedlasting av ytterligere nyttelaster, inkludert SNOWGLAZE, SNOWBASIN, ytterligere AutoHotkey-skript og et komprimert arkiv som inneholder et portabelt Python-miljø.

Samtidig presenterer phishing-grensesnittet et «konfigurasjonspanel» med en «helsesjekk»-funksjon. Dette grensesnittet ber brukere om å legge inn postbokslegitimasjon under dekke av autentisering, men i stedet fanger og ekspanderer sensitive data til angriperkontrollert infrastruktur.

Modulært økosystem for skadelig programvare: Oversikt over SNOW-rammeverket

SNOW-programvaren for skadelig programvare fungerer som et koordinert, modulært økosystem designet for utholdenhet, kontroll og skjult beskyttelse:

  • SNOWBELT fungerer som et JavaScript-basert kommandorelé, som mottar instruksjoner fra angriperen og videresender dem for utførelse.
  • SNOWGLAZE fungerer som et Python-basert tunneleringsverktøy, og etablerer en sikker WebSocket-forbindelse mellom det kompromitterte nettverket og angriperens Command-and-Control-server.
  • SNOWBASIN fungerer som en vedvarende bakdør, som muliggjør ekstern kommandokjøring, filoverføringer, skjermbildeopptak og selvfjerning, samtidig som den opererer som en lokal HTTP-server på flere porter.

Etterutnyttelse: Utvidelse av kontroll og uttrekking av data

Etter den første kompromitteringen utfører trusselaktøren en rekke handlinger for å gi dypere tilgang og utvinne verdifull informasjon:

Nettverksrekognosering utføres ved å skanne kritiske porter, etterfulgt av lateral bevegelse ved hjelp av administrative verktøy og eksterne skrivebordsøkter som tunneleres gjennom kompromitterte systemer.

Rettighetseskalering oppnås ved å trekke ut sensitivt prosessminne, noe som muliggjør innhenting av legitimasjonsinformasjon og uautorisert tilgang til systemer på høyere nivå.

Avanserte teknikker som Pass-the-Hash brukes til å kompromittere domenekontrollere, hvoretter rettsmedisinske verktøy distribueres for å samle inn sensitive data, inkludert katalogdatabaser, som deretter eksfiltreres ved hjelp av filoverføringsverktøy.

Skykamuflasje: Blanding av ondsinnet trafikk med legitime tjenester

Et definerende kjennetegn ved denne kampanjen er strategisk misbruk av pålitelig skyinfrastruktur. Ondsinnede nyttelaster, datautvinning og kommando-og-kontroll-kommunikasjon rutes alle gjennom legitime skyplattformer. Denne tilnærmingen lar trusselaktivitet blandes sømløst med normal bedriftstrafikk, og omgår effektivt tradisjonelle sikkerhetsfiltre basert på omdømme eller avviksdeteksjon.

Utviklende trussellandskap: Tillit som hovedmål

UNC6692-kampanjen fremhever en betydelig utvikling innen strategier for nettangrep, og kombinerer sosial manipulering, pålitelige bedriftsverktøy og modulær skadelig programvare. Ved å utnytte brukertilliten til mye brukte plattformer og tjenester øker angriperne suksessraten samtidig som de minimerer deteksjon. Vedvarende bruk av eldre taktikker sammen med innovative leveringsmekanismer understreker en kritisk realitet: effektive angrepsstrategier kan vare lenge etter at de opprinnelige operatørene forsvinner.

Trender

Mest sett

Laster inn...