Programe malware SNOW
Un cluster de amenințări nedocumentat anterior, urmărit ca UNC6692, a fost identificat utilizând tehnici avansate de inginerie socială prin intermediul Microsoft Teams pentru a implementa un framework personalizat de malware, cunoscut sub numele de SNOW Malware. Atacatorii se dau în mod constant de personalul de asistență IT, convingând țintele să accepte invitații la chat provenite de la conturi externe.
Această înșelăciune este întărită de o campanie coordonată de bombardare prin e-mail, în care victimele sunt inundate cu mesaje spam pentru a crea urgență și confuzie. La scurt timp după aceea, atacatorul inițiază contactul prin intermediul Teams, dându-se drept suport IT și oferind asistență pentru a rezolva problema fabricată. Această tactică de manipulare cu două straturi crește semnificativ probabilitatea ca utilizatorii să respecte regulile.
Cuprins
Tactici Moștenite, Impact Modern
Modelul operațional reflectă tehnicile asociate istoric cu afiliații Black Basta. În ciuda faptului că grupul a încetat operațiunile ransomware, metodele sale persistă și rămân eficiente. Cercetătorii în domeniul securității au confirmat că această abordare vizează în principal directorii și personalul superior, permițând accesul inițial la rețea care poate duce la exfiltrarea datelor, deplasarea laterală, implementarea ransomware și extorcare. În cazurile observate, chat-urile inițiate de atacatori au avut loc la câteva secunde distanță una de cealaltă, subliniind automatizarea și coordonarea.
Punct de intrare înșelător: Remedierea falsă
Spre deosebire de atacurile tradiționale care se bazează exclusiv pe instrumente de gestionare la distanță, cum ar fi Quick Assist sau Supremo Remote Desktop, această campanie introduce un lanț de infectare modificat. Victimele sunt direcționate să dea clic pe un link de phishing partajat prin intermediul Teams, prezentat ca „Utilitar de reparare și sincronizare a cutiilor poștale v2.1.5”.
Linkul declanșează descărcarea unui script AutoHotkey malițios găzduit pe un serviciu de stocare în cloud controlat de atacatori. Un mecanism de control al accesului asigură livrarea sarcinii utile doar către țintele dorite, ajutând la evitarea analizei automate de securitate. În plus, scriptul verifică utilizarea browserului și impune utilizarea Microsoft Edge prin avertismente persistente, asigurând compatibilitatea cu componentele malițioase ulterioare.
SNOWBELT: Backdoor-ul silențios al browserului
Scriptul inițial efectuează o recunoaștere înainte de a implementa SNOWBELT, o extensie de browser malițioasă bazată pe Chromium. Instalată printr-un proces Edge headless folosind parametri specifici din linia de comandă, SNOWBELT funcționează ca un backdoor ascuns. Acesta facilitează descărcarea de sarcini suplimentare, inclusiv SNOWGLAZE, SNOWBASIN, alte scripturi AutoHotkey și o arhivă comprimată care conține un mediu Python portabil.
Simultan, interfața de phishing prezintă un „Panou de gestionare a configurației” cu o funcție de „Verificare a stării de funcționare”. Această interfață solicită utilizatorilor să introducă datele de autentificare ale căsuței poștale sub pretextul autentificării, dar în schimb capturează și exfiltrează date sensibile către infrastructura controlată de atacatori.
Ecosistem modular de programe malware: Defalcarea cadrului SNOW
Suita de programe malware SNOW funcționează ca un ecosistem modular, coordonat, conceput pentru persistență, control și ascundere:
- SNOWBELT acționează ca un releu de comenzi bazat pe JavaScript, primind instrucțiuni de la atacator și transmițându-le spre execuție.
- SNOWGLAZE funcționează ca un utilitar de tunelare bazat pe Python, stabilind o conexiune WebSocket securizată între rețeaua compromisă și serverul de comandă și control al atacatorului.
- SNOWBASIN servește ca un backdoor persistent, permițând executarea comenzilor de la distanță, transferul de fișiere, captura de capturi de ecran și auto-eliminarea, funcționând în același timp ca un server HTTP local pe mai multe porturi.
Post-exploatare: Extinderea controlului și extragerea datelor
După compromiterea inițială, atacatorul execută o serie de acțiuni pentru a aprofunda accesul și a extrage informații valoroase:
Recunoașterea rețelei se efectuează prin scanarea porturilor critice, urmată de mișcare laterală folosind instrumente administrative și sesiuni desktop la distanță tunelate prin sistemele compromise.
Escaladarea privilegiilor se realizează prin extragerea memoriei sensibile a proceselor, permițând recoltarea acreditărilor și accesul neautorizat la sistemele de nivel superior.
Tehnici avansate precum Pass-the-Hash sunt utilizate pentru a compromite controlerele de domeniu, după care sunt implementate instrumente criminalistice pentru a colecta date sensibile, inclusiv baze de date de directoare, care sunt apoi exfiltrate folosind utilitare de transfer de fișiere.
Camuflaj în cloud: Combinarea traficului rău intenționat cu servicii legitime
O caracteristică definitorie a acestei campanii este abuzul strategic al infrastructurii cloud de încredere. Sarcinile utile rău intenționate, exfiltrarea datelor și comunicațiile de tip Comandă și Control sunt toate rutate prin platforme cloud legitime. Această abordare permite ca activitatea amenințătoare să se îmbine perfect cu traficul normal al companiei, ocolind efectiv filtrele de securitate tradiționale bazate pe reputație sau detectarea anomaliilor.
Peisajul amenințărilor în evoluție: Încrederea ca țintă principală
Campania UNC6692 evidențiază o evoluție semnificativă a strategiilor de atac cibernetic, combinând ingineria socială, instrumente de încredere pentru întreprinderi și programe malware modulare. Prin exploatarea încrederii utilizatorilor în platforme și servicii utilizate pe scară largă, atacatorii cresc ratele de succes, reducând în același timp detectarea. Persistența tacticilor tradiționale, alături de mecanisme inovatoare de implementare, subliniază o realitate critică: strategiile de atac eficiente pot rezista mult timp după ce operatorii lor originali dispar.
