Oprogramowanie złośliwe SNOW
Zidentyfikowano wcześniej nieudokumentowany klaster zagrożeń, śledzony jako UNC6692, wykorzystujący zaawansowane techniki socjotechniczne za pośrednictwem Microsoft Teams do wdrożenia niestandardowej struktury złośliwego oprogramowania znanej jako SNOW Malware. Atakujący konsekwentnie podszywają się pod personel pomocy technicznej IT, przekonując ofiary do akceptowania zaproszeń do czatu pochodzących z kont zewnętrznych.
To oszustwo jest wzmacniane przez skoordynowaną kampanię bombardowania e-mailami, w ramach której ofiary są zasypywane spamem, aby wywołać poczucie pilności i dezorientacji. Wkrótce potem atakujący nawiązuje kontakt za pośrednictwem Teams, podszywając się pod pracownika wsparcia IT i oferując pomoc w rozwiązaniu sfabrykowanego problemu. Ta dwuwarstwowa taktyka manipulacji znacznie zwiększa prawdopodobieństwo, że użytkownik zastosuje się do poleceń.
Spis treści
Taktyki Legacy, Współczesny Wpływ
Schemat działania odzwierciedla techniki historycznie kojarzone z podmiotami powiązanymi z Black Basta. Pomimo zaprzestania przez grupę ataków ransomware, jej metody są nadal stosowane i skuteczne. Badacze bezpieczeństwa potwierdzili, że to podejście jest skierowane głównie do kadry kierowniczej i kadry kierowniczej wyższego szczebla, umożliwiając wstępny dostęp do sieci, który może prowadzić do eksfiltracji danych, migracji bocznej, wdrażania ransomware i wymuszeń. W zaobserwowanych przypadkach czaty inicjowane przez atakujących odbywały się w odstępie kilku sekund, co podkreśla automatyzację i koordynację.
Mylący punkt wejścia: Fałszywa poprawka
W przeciwieństwie do tradycyjnych ataków, które opierają się wyłącznie na narzędziach do zdalnego zarządzania, takich jak Quick Assist czy Supremo Remote Desktop, ta kampania wprowadza zmodyfikowany łańcuch infekcji. Ofiary są nakłaniane do kliknięcia linku phishingowego udostępnianego za pośrednictwem Teams, prezentowanego jako „Narzędzie do naprawy i synchronizacji skrzynek pocztowych w wersji 2.1.5”.
Link uruchamia pobieranie złośliwego skryptu AutoHotkey hostowanego w usłudze przechowywania danych w chmurze kontrolowanej przez atakującego. Mechanizm gatekeeper zapewnia dostarczanie danych tylko do zamierzonych celów, pomagając uniknąć automatycznej analizy bezpieczeństwa. Ponadto skrypt weryfikuje użycie przeglądarki i wymusza korzystanie z Microsoft Edge za pomocą stałych ostrzeżeń, zapewniając zgodność z kolejnymi złośliwymi komponentami.
SNOWBELT: Ciche tylne wejście do przeglądarki
Początkowy skrypt przeprowadza rekonesans przed wdrożeniem SNOWBELT, złośliwego rozszerzenia przeglądarki opartego na Chromium. Instalowany za pomocą bezgłowego procesu Edge z wykorzystaniem określonych parametrów wiersza poleceń, SNOWBELT działa jako ukryty backdoor. Ułatwia pobieranie dodatkowych ładunków, w tym SNOWGLAZE, SNOWBASIN, kolejnych skryptów AutoHotkey oraz skompresowanego archiwum zawierającego przenośne środowisko Pythona.
Jednocześnie interfejs phishingowy prezentuje „Panel zarządzania konfiguracją” z funkcją „kontroli stanu”. Interfejs ten prosi użytkowników o podanie danych uwierzytelniających skrzynkę pocztową pod pretekstem uwierzytelnienia, ale zamiast tego przechwytuje i eksfiltruje poufne dane do infrastruktury kontrolowanej przez atakującego.
Modułowy ekosystem złośliwego oprogramowania: awaria frameworka SNOW
Pakiet oprogramowania złośliwego SNOW działa jako skoordynowany, modułowy ekosystem zaprojektowany z myślą o trwałości, kontroli i ukryciu:
- SNOWBELT działa jako przekaźnik poleceń oparty na JavaScript, odbierając instrukcje od atakującego i przekazując je w celu wykonania.
- SNOWGLAZE to narzędzie tunelujące oparte na języku Python, które nawiązuje bezpieczne połączenie WebSocket między zainfekowaną siecią a serwerem Command-and-Control atakującego.
- SNOWBASIN działa jako trwałe tylne wejście, umożliwiające zdalne wykonywanie poleceń, przesyłanie plików, robienie zrzutów ekranu i samodzielne usuwanie, działając jednocześnie jako lokalny serwer HTTP na wielu portach.
Po eksploatacji: rozszerzanie kontroli i ekstrakcja danych
Po początkowym włamaniu sprawca zagrożenia podejmuje szereg działań mających na celu pogłębienie dostępu i wydobycie cennych informacji:
Rozpoznanie sieci odbywa się poprzez skanowanie najważniejszych portów, po czym następuje ruch poziomy przy użyciu narzędzi administracyjnych i sesji pulpitu zdalnego przesyłanych tunelowo przez zainfekowane systemy.
Podniesienie uprawnień odbywa się poprzez wyodrębnienie wrażliwej pamięci procesu, co umożliwia zbieranie danych uwierzytelniających i nieautoryzowany dostęp do systemów wyższego poziomu.
Do naruszania zabezpieczeń kontrolerów domeny stosuje się zaawansowane techniki, takie jak Pass-the-Hash. Następnie wdrażane są narzędzia kryminalistyczne służące do zbierania poufnych danych, w tym baz danych katalogów, które są następnie eksfiltrowane przy użyciu narzędzi do transferu plików.
Kamuflaż chmurowy: łączenie złośliwego ruchu z legalnymi usługami
Cechą charakterystyczną tej kampanii jest strategiczne nadużywanie zaufanej infrastruktury chmurowej. Złośliwe ładunki, eksfiltracja danych i komunikacja typu Command-and-Control są kierowane przez legalne platformy chmurowe. Takie podejście pozwala na płynne wkomponowanie zagrożeń w normalny ruch korporacyjny, skutecznie omijając tradycyjne filtry bezpieczeństwa oparte na reputacji lub wykrywaniu anomalii.
Zmieniający się krajobraz zagrożeń: zaufanie jako główny cel
Kampania UNC6692 uwydatnia znaczącą ewolucję strategii cyberataków, łączących socjotechnikę, sprawdzone narzędzia korporacyjne i modułowe złośliwe oprogramowanie. Wykorzystując zaufanie użytkowników do powszechnie używanych platform i usług, atakujący zwiększają skuteczność, minimalizując jednocześnie wykrywalność. Utrzymywanie się tradycyjnych taktyk w połączeniu z innowacyjnymi mechanizmami dostarczania ataków podkreśla kluczową kwestię: skuteczne strategie ataków mogą przetrwać długo po zniknięciu ich pierwotnych operatorów.
