Kortingsaanbieding voor meerdere licenties
Bedreigingsdatabase Malware SNOW-malware

SNOW-malware

Tegen Mezo in Malware, Geavanceerde aanhoudende dreiging (APT)
Vertalen naar:

Een voorheen ongedocumenteerde dreigingscluster, geregistreerd onder de naam UNC6692, is geïdentificeerd. Deze cluster maakt gebruik van geavanceerde social engineering-technieken via Microsoft Teams om een op maat gemaakt malwareframework, bekend als SNOW Malware, te verspreiden. De aanvallers doen zich steevast voor als IT-helpdeskmedewerkers en overtuigen slachtoffers om chatuitnodigingen van externe accounts te accepteren.

Deze misleiding wordt versterkt door een gecoördineerde e-mailbombardementcampagne, waarbij slachtoffers worden overspoeld met spamberichten om urgentie en verwarring te creëren. Kort daarna neemt de aanvaller contact op via Teams, doet zich voor als IT-ondersteuning en biedt hulp aan om het verzonnen probleem op te lossen. Deze dubbele manipulatietactiek vergroot de kans dat gebruikers gehoor geven aan de instructies aanzienlijk.

Traditionele tactieken, moderne impact

Het operationele patroon vertoont overeenkomsten met technieken die historisch gezien geassocieerd worden met aan Black Basta gelieerde groeperingen. Hoewel de groep haar ransomware-activiteiten heeft gestaakt, blijven haar methoden effectief. Beveiligingsonderzoekers hebben bevestigd dat deze aanpak zich voornamelijk richt op leidinggevenden en senior medewerkers, waardoor ze toegang krijgen tot het netwerk. Dit kan leiden tot data-exfiltratie, laterale verplaatsing, de implementatie van ransomware en afpersing. In waargenomen gevallen vonden door aanvallers geïnitieerde chats binnen enkele seconden na elkaar plaats, wat wijst op automatisering en coördinatie.

Misleidend toegangspunt: De neppe oplossing

In tegenstelling tot traditionele aanvallen die uitsluitend gebruikmaken van tools voor beheer op afstand zoals Quick Assist of Supremo Remote Desktop, introduceert deze campagne een aangepaste infectieketen. Slachtoffers worden ertoe aangezet te klikken op een phishinglink die via Teams wordt gedeeld en die wordt gepresenteerd als een 'Mailbox Repair and Sync Utility v2.1.5'.

De link activeert de download van een kwaadaardig AutoHotkey-script dat wordt gehost op een door de aanvaller beheerde cloudopslagservice. Een beveiligingsmechanisme zorgt ervoor dat de payload alleen bij de beoogde doelwitten terechtkomt, waardoor geautomatiseerde beveiligingsanalyses worden omzeild. Bovendien controleert het script het browsergebruik en dwingt het het gebruik van Microsoft Edge af door middel van aanhoudende waarschuwingen, waardoor compatibiliteit met latere kwaadaardige componenten wordt gewaarborgd.

SNOWBELT: De stille browser-achterdeur

Het eerste script voert verkenning uit voordat SNOWBELT, een kwaadaardige, op Chromium gebaseerde browserextensie, wordt geïnstalleerd. SNOWBELT wordt geïnstalleerd via een Edge-proces zonder grafische interface met behulp van specifieke commandoregelparameters en functioneert als een verborgen backdoor. Het maakt het downloaden van extra payloads mogelijk, waaronder SNOWGLAZE, SNOWBASIN, verdere AutoHotkey-scripts en een gecomprimeerd archief met een draagbare Python-omgeving.

Tegelijkertijd toont de phishing-interface een 'Configuratiebeheerpaneel' met een 'Gezondheidscontrole'-functie. Deze interface vraagt gebruikers om inloggegevens voor hun mailbox in te voeren onder het mom van authenticatie, maar onderschept en doorsluist in werkelijkheid gevoelige gegevens naar een door de aanvaller beheerde infrastructuur.

Modulair malware-ecosysteem: een analyse van het SNOW-framework

De SNOW-malwaresuite functioneert als een gecoördineerd, modulair ecosysteem dat is ontworpen voor persistentie, controle en onzichtbaarheid:

  • SNOWBELT fungeert als een op JavaScript gebaseerd commandorelais, dat instructies van de aanvaller ontvangt en doorstuurt voor uitvoering.
  • SNOWGLAZE functioneert als een op Python gebaseerd tunnelprogramma dat een veilige WebSocket-verbinding tot stand brengt tussen het gecompromitteerde netwerk en de command-and-controlserver van de aanvaller.
  • SNOWBASIN fungeert als een permanente backdoor, waarmee op afstand commando's kunnen worden uitgevoerd, bestanden kunnen worden overgedragen, schermafbeeldingen kunnen worden gemaakt en de backdoor zichzelf kan verwijderen, terwijl het tegelijkertijd als een lokale HTTP-server op meerdere poorten draait.

Na de exploitatie: controle uitbreiden en gegevens extraheren

Na de eerste inbreuk voert de aanvaller een reeks acties uit om de toegang te verdiepen en waardevolle informatie te bemachtigen:

Netwerkverkenning wordt uitgevoerd door kritieke poorten te scannen, gevolgd door laterale verplaatsing met behulp van beheertools en externe bureaubladsessies die via gecompromitteerde systemen worden getunneld.

Privilege-escalatie wordt bereikt door het extraheren van gevoelig procesgeheugen, waardoor het mogelijk wordt om inloggegevens te verzamelen en ongeautoriseerde toegang te verkrijgen tot systemen op een hoger niveau.

Geavanceerde technieken zoals Pass-the-Hash worden gebruikt om domeincontrollers te compromitteren, waarna forensische tools worden ingezet om gevoelige gegevens te verzamelen, waaronder directorydatabases, die vervolgens worden geëxfiltreerd met behulp van hulpprogramma's voor bestandsoverdracht.

Cloud Camouflage: Kwaadwillig verkeer vermengen met legitieme diensten

Een kenmerkend aspect van deze campagne is het strategische misbruik van vertrouwde cloudinfrastructuur. Kwaadaardige payloads, data-exfiltratie en command-and-control-communicatie worden allemaal via legitieme cloudplatformen geleid. Deze aanpak zorgt ervoor dat dreigingsactiviteiten naadloos opgaan in het normale bedrijfsverkeer, waardoor traditionele beveiligingsfilters op basis van reputatie of anomaliedetectie effectief worden omzeild.

Veranderend dreigingslandschap: vertrouwen als primair doelwit

De UNC6692-campagne illustreert een belangrijke evolutie in cyberaanvalstrategieën, waarbij social engineering, vertrouwde bedrijfsystemen en modulaire malware worden gecombineerd. Door het vertrouwen van gebruikers in veelgebruikte platforms en diensten te misbruiken, verhogen aanvallers hun succespercentage en minimaliseren ze de kans op detectie. Het voortbestaan van traditionele tactieken naast innovatieve verspreidingsmechanismen onderstreept een cruciale realiteit: effectieve aanvalsstrategieën kunnen lang na het verdwijnen van de oorspronkelijke uitvoerders blijven bestaan.

Trending

Meest bekeken

Bezig met laden...