Вредоносная программа SNOW
Выявлен ранее не описанный кластер угроз, зарегистрированный под номером UNC6692, использующий передовые методы социальной инженерии через Microsoft Teams для развертывания собственной вредоносной программы, известной как SNOW Malware. Злоумышленники постоянно выдают себя за сотрудников службы поддержки ИТ, убеждая жертв принимать приглашения в чат, поступающие с внешних учетных записей.
Этот обман подкрепляется скоординированной кампанией массовых рассылок спама по электронной почте, в ходе которой жертв заваливают спамом, чтобы создать ощущение срочности и замешательства. Вскоре после этого злоумышленник инициирует контакт через Teams, выдавая себя за сотрудника ИТ-поддержки и предлагая помощь в решении сфабрикованной проблемы. Эта двухуровневая тактика манипуляции значительно повышает вероятность того, что пользователь подчинится.
Оглавление
Традиционная тактика, современное влияние
Схема действий отражает методы, исторически связанные с филиалами Black Basta. Несмотря на то, что группа прекратила операции по распространению программ-вымогателей, ее методы сохраняются и остаются эффективными. Исследователи в области безопасности подтвердили, что этот подход в основном нацелен на руководителей и высокопоставленных сотрудников, обеспечивая первоначальный доступ к сети, который может привести к утечке данных, горизонтальному перемещению, развертыванию программ-вымогателей и вымогательству. В наблюдавшихся случаях чаты, инициированные злоумышленниками, происходили с интервалом в несколько секунд, что подчеркивает автоматизацию и координацию действий.
Обманчивая точка входа: фальшивое решение
В отличие от традиционных атак, основанных исключительно на инструментах удаленного управления, таких как Quick Assist или Supremo Remote Desktop, эта кампания использует модифицированную цепочку заражения. Жертвам предлагается перейти по фишинговой ссылке, отправленной через Teams и представленной как «Утилита для восстановления и синхронизации почтовых ящиков версии 2.1.5».
Ссылка запускает загрузку вредоносного скрипта AutoHotkey, размещенного в контролируемом злоумышленником облачном хранилище. Механизм контроля гарантирует доставку полезной нагрузки только на нужные цели, помогая обойти автоматический анализ безопасности. Кроме того, скрипт проверяет использование браузера и принудительно принуждает к использованию Microsoft Edge посредством постоянных предупреждений, обеспечивая совместимость с последующими вредоносными компонентами.
SNOWBELT: Тайный бэкдор браузера
Первоначальный скрипт проводит разведку перед развертыванием SNOWBELT, вредоносного расширения для браузера на основе Chromium. Устанавливаемый через процесс Edge без графического интерфейса с использованием определенных параметров командной строки, SNOWBELT функционирует как скрытый бэкдор. Он облегчает загрузку дополнительных полезных нагрузок, включая SNOWGLAZE, SNOWBASIN, другие скрипты AutoHotkey и сжатый архив, содержащий портативную среду Python.
Одновременно с этим, фишинговый интерфейс представляет собой «Панель управления конфигурацией» с функцией «Проверка состояния». Этот интерфейс предлагает пользователям ввести учетные данные почтового ящика под видом аутентификации, но вместо этого перехватывает и передает конфиденциальные данные в инфраструктуру, контролируемую злоумышленником.
Модульная экосистема вредоносного ПО: анализ структуры SNOW.
Пакет вредоносных программ SNOW функционирует как скоординированная, модульная экосистема, разработанная для обеспечения устойчивости, контроля и скрытности:
- SNOWBELT действует как ретранслятор команд на основе JavaScript, получая инструкции от злоумышленника и пересылая их для выполнения.
- SNOWGLAZE — это утилита для туннелирования на основе Python, устанавливающая защищенное соединение WebSocket между скомпрометированной сетью и сервером управления злоумышленника.
- SNOWBASIN служит постоянным бэкдором, позволяющим удаленно выполнять команды, передавать файлы, делать снимки экрана и самоудаляться, одновременно работая в качестве локального HTTP-сервера на нескольких портах.
Постэксплуатационный этап: расширение контроля и извлечение данных.
После первоначального взлома злоумышленник выполняет ряд действий для расширения доступа и извлечения ценной информации:
Сетевая разведка проводится путем сканирования критически важных портов, за которым следует перемещение по сети с использованием административных инструментов и сеансов удаленного рабочего стола, осуществляемых через туннели в скомпрометированных системах.
Повышение привилегий достигается путем извлечения конфиденциальной памяти процесса, что позволяет получить доступ к учетным данным и несанкционированно получить доступ к системам более высокого уровня.
Для компрометации контроллеров домена используются передовые методы, такие как Pass-the-Hash, после чего развертываются инструменты криминалистического анализа для сбора конфиденциальных данных, включая базы данных каталогов, которые затем извлекаются с помощью утилит для передачи файлов.
Облачная маскировка: сведение вредоносного трафика к легитимным сервисам.
Отличительной чертой этой кампании является стратегическое злоупотребление доверенной облачной инфраструктурой. Вредоносные программы, утечка данных и коммуникации с центрами управления перенаправляются через легитимные облачные платформы. Такой подход позволяет угрозам незаметно сливаться с обычным корпоративным трафиком, эффективно обходя традиционные фильтры безопасности, основанные на репутации или обнаружении аномалий.
Меняющаяся картина угроз: доверие как главная цель.
Кампания UNC6692 демонстрирует значительную эволюцию стратегий кибератак, сочетающую социальную инженерию, доверенные корпоративные инструменты и модульное вредоносное ПО. Используя доверие пользователей к широко распространенным платформам и сервисам, злоумышленники повышают вероятность успеха, минимизируя при этом обнаружение. Сохранение устаревших тактик наряду с инновационными механизмами распространения подчеркивает критически важную реальность: эффективные стратегии атак могут сохраняться еще долго после того, как их первоначальные операторы исчезнут.
