Popust za več licenc
Podjetje o grožnjah Zlonamerna programska oprema Zlonamerna programska oprema SNOW

Zlonamerna programska oprema SNOW

Do leta Mezo leta Zlonamerna programska oprema, Napredna trajna grožnja (APT)
Prevedi v:

Odkrita je bila prej nedokumentirana gruča groženj, sledena kot UNC6692, ki izkorišča napredne tehnike socialnega inženiringa prek storitve Microsoft Teams za uvedbo prilagojenega ogrodja zlonamerne programske opreme, znanega kot SNOW Malware. Napadalci se dosledno izdajajo za osebje službe za IT-podporo in prepričujejo tarče, da sprejmejo povabila na klepet, ki izvirajo iz zunanjih računov.

To prevaro krepi usklajena kampanja bombardiranja z e-pošto, kjer so žrtve zasute z neželenimi sporočili, da bi ustvarili nujnost in zmedo. Kmalu zatem napadalec vzpostavi stik prek storitve Teams, se predstavi kot IT-podpornik in ponudi pomoč pri reševanju izmišljene težave. Ta dvoplastna manipulacijska taktika znatno poveča verjetnost skladnosti uporabnikov.

Zastarele taktike, sodoben vpliv

Operativni vzorec odraža tehnike, ki so bile v preteklosti povezane s podružnicami skupine Black Basta. Kljub temu, da je skupina prenehala z operacijami izsiljevalske programske opreme, njene metode vztrajajo in so učinkovite. Varnostni raziskovalci so potrdili, da je ta pristop namenjen predvsem vodstvenim delavcem in višjim uslužbencem, kar omogoča začetni dostop do omrežja, ki lahko vodi do izsiljevanja podatkov, lateralnega premikanja, namestitve izsiljevalske programske opreme in izsiljevanja. V opazovanih primerih so se klepeti, ki jih je sprožil napadalec, odvijali v nekaj sekundah drug za drugim, kar poudarja avtomatizacijo in koordinacijo.

Zavajajoča vstopna točka: Lažna rešitev

Za razliko od tradicionalnih napadov, ki se zanašajo izključno na orodja za oddaljeno upravljanje, kot sta Quick Assist ali Supremo Remote Desktop, ta kampanja uvaja spremenjeno verigo okužb. Žrtve so usmerjene h kliku na lažno povezavo, ki je deljena prek storitve Teams in je predstavljena kot »Pripomoček za popravilo in sinhronizacijo poštnega nabiralnika v2.1.5«.

Povezava sproži prenos zlonamernega skripta AutoHotkey, ki gostuje v storitvi shranjevanja v oblaku, ki jo nadzoruje napadalec. Mehanizem varuha dostopa zagotavlja dostavo koristnega tovora le predvidenim ciljem, kar pomaga preprečiti avtomatizirano varnostno analizo. Poleg tega skript preverja uporabo brskalnika in s trajnimi opozorili vsiljuje uporabo brskalnika Microsoft Edge, kar zagotavlja združljivost s poznejšimi zlonamernimi komponentami.

SNOWBELT: Tiha zadnja vrata brskalnika

Začetni skript izvede izvidnico, preden namesti SNOWBELT, zlonamerno razširitev brskalnika, ki temelji na Chromiumu. SNOWBELT, ki se namesti prek procesa Edge brez glave z uporabo določenih parametrov ukazne vrstice, deluje kot prikrita zadnja vrata. Omogoča prenos dodatnih koristnih tovorov, vključno s SNOWGLAZE, SNOWBASIN, nadaljnjimi skripti AutoHotkey in stisnjenim arhivom, ki vsebuje prenosljivo okolje Python.

Hkrati vmesnik za lažno predstavljanje ponuja »Nadzorno ploščo za upravljanje konfiguracije« s funkcijo »Preverjanje zdravja«. Ta vmesnik pod pretvezo preverjanja pristnosti pozove uporabnike k vnosu poverilnic za poštni predal, vendar namesto tega zajame in izvleče občutljive podatke v infrastrukturo, ki jo nadzoruje napadalec.

Modularni ekosistem zlonamerne programske opreme: razčlenitev ogrodja SNOW

Zlonamerna programska oprema SNOW deluje kot usklajen, modularen ekosistem, zasnovan za vztrajnost, nadzor in prikritost:

  • SNOWBELT deluje kot rele ukazov, ki temelji na JavaScriptu, prejema navodila od napadalca in jih posreduje v izvedbo.
  • SNOWGLAZE deluje kot pripomoček za tuneliranje, ki temelji na Pythonu in vzpostavlja varno povezavo WebSocket med ogroženim omrežjem in napadalčevim strežnikom Command-and-Control.
  • SNOWBASIN služi kot trajna zadnja vrata, ki omogočajo oddaljeno izvajanje ukazov, prenos datotek, zajemanje posnetkov zaslona in samoodstranjevanje, hkrati pa deluje kot lokalni strežnik HTTP na več vratih.

Post-izkoriščanje: Razširitev nadzora in pridobivanje podatkov

Po začetni ogrožitvi akter grožnje izvede vrsto dejanj za poglobitev dostopa in pridobitev dragocenih informacij:

Izvidovanje omrežja se izvaja s skeniranjem kritičnih vrat, ki mu sledi bočno premikanje z uporabo skrbniških orodij in sej oddaljenega namizja, ki se tunelirajo skozi ogrožene sisteme.

Eskalacija privilegijev se doseže z izvlečenjem občutljivega procesnega pomnilnika, kar omogoča pridobivanje poverilnic in nepooblaščen dostop do sistemov višje ravni.

Napredne tehnike, kot je Pass-the-Hash, se uporabljajo za ogrožanje krmilnikov domen, nato pa se uporabijo forenzična orodja za zbiranje občutljivih podatkov, vključno z bazami podatkov imenikov, ki se nato izvlečejo s pripomočki za prenos datotek.

Kamuflaža v oblaku: mešanje zlonamernega prometa z legitimnimi storitvami

Opredeljujoča značilnost te kampanje je strateška zloraba zaupanja vredne infrastrukture v oblaku. Zlonamerni koristni tovor, izseljevanje podatkov in komunikacija Command-and-Control se usmerjajo prek legitimnih platform v oblaku. Ta pristop omogoča, da se grožnja neopazno zlije z običajnim poslovnim prometom in učinkovito zaobide tradicionalne varnostne filtre, ki temeljijo na ugledu ali zaznavanju anomalij.

Razvoj krajine groženj: zaupanje kot glavna tarča

Kampanja UNC6692 poudarja pomemben razvoj strategij kibernetskih napadov, ki združujejo socialni inženiring, zaupanja vredna orodja za podjetja in modularno zlonamerno programsko opremo. Z izkoriščanjem zaupanja uporabnikov v široko uporabljene platforme in storitve napadalci povečajo stopnjo uspešnosti, hkrati pa zmanjšajo odkrivanje. Vztrajnost starejših taktik skupaj z inovativnimi mehanizmi izvajanja poudarja ključno resničnost: učinkovite strategije napadov lahko trajajo še dolgo po tem, ko njihovi prvotni izvajalci izginejo.

Sorodne objave

V trendu

Najbolj gledan

Nalaganje...