Multilicenčná zľavová ponuka
Databáza hrozieb Malvér Škodlivý softvér SNOW

Škodlivý softvér SNOW

Do roku Mezo v roku Malvér, Pokročilá perzistentná hrozba (APT)
Preložiť do:

Bol identifikovaný doteraz nezdokumentovaný klaster hrozieb sledovaný ako UNC6692, ktorý využíva pokročilé techniky sociálneho inžinierstva prostredníctvom služby Microsoft Teams na nasadenie vlastného malvéru známeho ako SNOW Malware. Útočníci sa neustále vydávajú za pracovníkov IT technickej podpory a presviedčajú ciele, aby prijali pozvánky do chatu pochádzajúce z externých účtov.

Tento klam je posilnený koordinovanou kampaňou bombardovania e-mailami, v rámci ktorej sú obete zaplavené spamovými správami s cieľom vytvoriť naliehavosť a zmätok. Krátko nato útočník nadviaže kontakt prostredníctvom služby Teams, vydáva sa za IT podporu a ponúka pomoc pri riešení vykonštruovaného problému. Táto dvojvrstvová manipulačná taktika výrazne zvyšuje pravdepodobnosť dodržiavania pravidiel zo strany používateľov.

Staršie taktiky, moderný vplyv

Operačný model odzrkadľuje techniky historicky spájané s pridruženými skupinami Black Basta. Napriek tomu, že skupina ukončila operácie s ransomvérom, jej metódy pretrvávajú a zostávajú účinné. Bezpečnostní výskumníci potvrdili, že tento prístup sa primárne zameriava na manažérov a vedúcich pracovníkov, čo umožňuje počiatočný prístup k sieti, ktorý môže viesť k úniku údajov, laterálnemu presunu, nasadeniu ransomvéru a vydieraniu. V pozorovaných prípadoch sa chaty iniciované útočníkom odohrávali v priebehu niekoľkých sekúnd, čo zdôrazňuje automatizáciu a koordináciu.

Klamlivý vstupný bod: Falošná oprava

Na rozdiel od tradičných útokov, ktoré sa spoliehajú výlučne na nástroje na vzdialenú správu, ako sú Quick Assist alebo Supremo Remote Desktop, táto kampaň zavádza upravený reťazec infekcie. Obete sú nasmerované na kliknutie na phishingový odkaz zdieľaný prostredníctvom služby Teams, ktorý je prezentovaný ako „Nástroj na opravu a synchronizáciu poštových schránok v2.1.5“.

Odkaz spustí stiahnutie škodlivého skriptu AutoHotkey, ktorý je hostovaný na cloudovej úložnej službe ovládanej útočníkom. Mechanizmus gatekeeper zabezpečuje doručenie užitočného zaťaženia iba určeným cieľom, čím pomáha vyhnúť sa automatizovanej bezpečnostnej analýze. Skript navyše overuje používanie prehliadača a vynucuje používanie prehliadača Microsoft Edge prostredníctvom trvalých upozornení, čím zabezpečuje kompatibilitu s následnými škodlivými komponentmi.

SNOWBELT: Tiché zadné vrátka prehliadača

Počiatočný skript vykonáva prieskum pred nasadením SNOWBELT, škodlivého rozšírenia prehliadača založeného na prehliadači Chromium. SNOWBELT, ktoré sa inštaluje prostredníctvom bezhlavého procesu Edge s použitím špecifických parametrov príkazového riadku, funguje ako skryté zadné vrátka. Umožňuje sťahovanie ďalších dát vrátane SNOWGLAZE, SNOWBASIN, ďalších skriptov AutoHotkey a komprimovaného archívu obsahujúceho prenosné prostredie Python.

Súčasne phishingové rozhranie zobrazuje „Panel správy konfigurácie“ s funkciou „Kontrola stavu“. Toto rozhranie vyzýva používateľov na zadanie prihlasovacích údajov k poštovej schránke pod rúškom overenia, ale namiesto toho zachytáva a odosiela citlivé údaje do infraštruktúry ovládanej útočníkom.

Modulárny ekosystém malvéru: Rozdelenie frameworku SNOW

Sada škodlivého softvéru SNOW funguje ako koordinovaný, modulárny ekosystém navrhnutý pre vytrvalosť, kontrolu a nenápadnosť:

  • SNOWBELT funguje ako príkazový relé založený na JavaScripte, prijíma pokyny od útočníka a preposiela ich na vykonanie.
  • SNOWGLAZE funguje ako tunelovací nástroj založený na jazyku Python, ktorý vytvára zabezpečené WebSocket pripojenie medzi napadnutou sieťou a útočníkovim Command-and-Control serverom.
  • SNOWBASIN slúži ako perzistentné zadné vrátka, ktoré umožňujú vzdialené vykonávanie príkazov, prenos súborov, snímanie snímok obrazovky a samoodstránenie, pričom funguje ako lokálny HTTP server na viacerých portoch.

Post-exploitácia: Rozšírenie kontroly a extrakcia údajov

Po počiatočnom napadnutí útočník vykoná sériu akcií na prehĺbenie prístupu a získanie cenných informácií:

Prieskum siete sa vykonáva skenovaním kritických portov, po ktorom nasleduje laterálny pohyb pomocou administratívnych nástrojov a relácií vzdialenej plochy tunelovaných cez napadnuté systémy.

Eskalácia privilégií sa dosahuje extrahovaním citlivej pamäte procesov, čo umožňuje získavanie poverení a neoprávnený prístup k systémom vyššej úrovne.

Na kompromitáciu radičov domény sa používajú pokročilé techniky, ako napríklad Pass-the-Hash, po ktorých sa nasadia forenzné nástroje na zhromažďovanie citlivých údajov vrátane databáz adresárov, ktoré sa potom získajú pomocou nástrojov na prenos súborov.

Cloudová kamufláž: Miešanie škodlivej prevádzky s legitímnymi službami

Charakteristickým znakom tejto kampane je strategické zneužívanie dôveryhodnej cloudovej infraštruktúry. Škodlivé dáta, úniky dát a komunikácia typu Command-and-Control sú smerované cez legitímne cloudové platformy. Tento prístup umožňuje, aby sa hrozby bezproblémovo prelínali s bežnou podnikovou prevádzkou a efektívne obchádzali tradičné bezpečnostné filtre založené na reputácii alebo detekcii anomálií.

Vyvíjajúca sa hrozba: Dôvera ako primárny cieľ

Kampaň UNC6692 zdôrazňuje významný vývoj v stratégiách kybernetických útokov, ktoré kombinujú sociálne inžinierstvo, dôveryhodné podnikové nástroje a modulárny malvér. Zneužívaním dôvery používateľov v široko používané platformy a služby útočníci zvyšujú mieru úspešnosti a zároveň minimalizujú detekciu. Pretrvávanie zastaraných taktík spolu s inovatívnymi mechanizmami realizácie podčiarkuje kritickú realitu: účinné stratégie útokov môžu pretrvať dlho po tom, čo ich pôvodní operátori zmiznú.

Trendy

Najviac videné

Načítava...