SNOW Malware
Një grumbull kërcënimesh i padokumentuar më parë, i gjurmuar si UNC6692, është identifikuar duke përdorur teknika të përparuara të inxhinierisë sociale përmes Microsoft Teams për të vendosur një kornizë të personalizuar të malware-it të njohur si SNOW Malware. Sulmuesit vazhdimisht imitojnë personelin e ndihmës teknike të IT-së, duke i bindur objektivat të pranojnë ftesa për biseda që burojnë nga llogari të jashtme.
Ky mashtrim përforcohet nga një fushatë e koordinuar bombardimi me email, ku viktimat përmbyten me mesazhe spam për të krijuar urgjencë dhe konfuzion. Pak më pas, sulmuesi fillon kontaktin nëpërmjet Teams, duke u paraqitur si mbështetje IT dhe duke ofruar ndihmë për të zgjidhur problemin e sajuar. Kjo taktikë manipulimi me dy shtresa rrit ndjeshëm gjasat e pajtueshmërisë së përdoruesit.
Tabela e Përmbajtjes
Taktika të Trashëguara, Ndikim Modern
Modeli operativ pasqyron teknikat e lidhura historikisht me bashkëpunëtorët e Black Basta. Pavarësisht se grupi ndërpreu operacionet e ransomware-it, metodat e tij vazhdojnë dhe mbeten efektive. Studiuesit e sigurisë kanë konfirmuar se kjo qasje synon kryesisht drejtuesit dhe personelin e lartë, duke mundësuar aksesin fillestar në rrjet që mund të çojë në nxjerrjen e të dhënave, lëvizjen anësore, vendosjen e ransomware-it dhe zhvatjen. Në rastet e vëzhguara, bisedat e iniciuara nga sulmuesi ndodhën brenda sekondave nga njëra-tjetra, duke nënvizuar automatizimin dhe koordinimin.
Pika Hyrëse Mashtruese: Rregullimi i Rremë
Ndryshe nga sulmet tradicionale që mbështeten vetëm në mjetet e menaxhimit në distancë, siç janë Quick Assist ose Supremo Remote Desktop, kjo fushatë prezanton një zinxhir të modifikuar infeksioni. Viktimat udhëzohen të klikojnë një lidhje phishing të ndarë nëpërmjet Teams, e cila paraqitet si një 'Mailbox Repair and Sync Utility v2.1.5'.
Lidhja shkakton shkarkimin e një skripti keqdashës AutoHotkey të vendosur në një shërbim ruajtjeje në cloud të kontrolluar nga sulmuesi. Një mekanizëm "gatekeeper" siguron dërgimin e ngarkesës vetëm te objektivat e synuar, duke ndihmuar në shmangien e analizës së automatizuar të sigurisë. Përveç kësaj, skripti verifikon përdorimin e shfletuesit dhe detyron përdorimin e Microsoft Edge përmes paralajmërimeve të vazhdueshme, duke siguruar përputhshmëri me komponentët e mëvonshëm keqdashës.
SNOWBELT: Dera e pasme e shfletuesit të heshtur
Skripti fillestar kryen zbulim përpara se të vendosë SNOWBELT, një zgjerim dashakeq i shfletuesit të bazuar në Chromium. I instaluar nëpërmjet një procesi Edge pa kokë duke përdorur parametra specifikë të linjës së komandës, SNOWBELT funksionon si një derë e fshehtë e pasme. Ai lehtëson shkarkimin e ngarkesave shtesë, duke përfshirë SNOWGLAZE, SNOWBASIN, skripte të tjera AutoHotkey dhe një arkiv të kompresuar që përmban një mjedis portativ Python.
Njëkohësisht, ndërfaqja e phishing paraqet një 'Panel të Menaxhimit të Konfigurimit' me një funksion 'Kontroll Shëndetësor'. Kjo ndërfaqe i nxit përdoruesit të futin kredencialet e kutisë postare nën maskën e autentifikimit, por në vend të kësaj kap dhe nxjerr të dhëna të ndjeshme në infrastrukturën e kontrolluar nga sulmuesi.
Ekosistemi Modular i Malware-it: Ndarja e Kornizës SNOW
Paketa e programeve keqdashëse SNOW funksionon si një ekosistem modular i koordinuar, i projektuar për qëndrueshmëri, kontroll dhe fshehtësi:
- SNOWBELT vepron si një rele komandash e bazuar në JavaScript, duke marrë udhëzime nga sulmuesi dhe duke i përcjellë ato për ekzekutim.
- SNOWGLAZE funksionon si një program tunelimi i bazuar në Python, duke krijuar një lidhje të sigurt WebSocket midis rrjetit të kompromentuar dhe serverit Command-and-Control të sulmuesit.
- SNOWBASIN shërben si një derë e pasme e vazhdueshme, duke mundësuar ekzekutimin e komandave në distancë, transferimin e skedarëve, kapjen e pamjeve të ekranit dhe vetë-heqjen, ndërsa vepron si një server lokal HTTP në porta të shumta.
Pas-Shfrytëzimit: Zgjerimi i Kontrollit dhe Nxjerrja e të Dhënave
Pas kompromentimit fillestar, aktori kërcënues ekzekuton një sërë veprimesh për të thelluar aksesin dhe për të nxjerrë informacione të vlefshme:
Zbulimi i rrjetit kryhet duke skanuar portet kritike, e ndjekur nga lëvizja anësore duke përdorur mjete administrative dhe seanca në distancë të desktopit të tuneluara përmes sistemeve të kompromentuara.
Përshkallëzimi i privilegjeve arrihet duke nxjerrë memorien e ndjeshme të procesit, duke mundësuar mbledhjen e kredencialeve dhe aksesin e paautorizuar në sisteme të nivelit më të lartë.
Teknika të avancuara si Pass-the-Hash përdoren për të kompromentuar kontrolluesit e domeneve, pas së cilës vendosen mjete mjeko-ligjore për të mbledhur të dhëna të ndjeshme, duke përfshirë bazat e të dhënave të direktorive, të cilat më pas nxirren duke përdorur shërbimet e transferimit të skedarëve.
Kamuflimi i reve: Përzierja e trafikut të dëmshëm me shërbime legjitime
Një karakteristikë përcaktuese e kësaj fushate është abuzimi strategjik i infrastrukturës së besueshme të cloud-it. Ngarkesat keqdashëse, nxjerrja e të dhënave dhe komunikimet e Komandës dhe Kontrollit kalojnë të gjitha përmes platformave legjitime të cloud-it. Kjo qasje lejon që aktiviteti i kërcënimit të përzihet pa probleme me trafikun normal të ndërmarrjes, duke anashkaluar në mënyrë efektive filtrat tradicionalë të sigurisë bazuar në zbulimin e reputacionit ose anomalive.
Peizazhi i Kërcënimeve në Zhvillim: Besimi si Objektivi Kryesor
Fushata UNC6692 nxjerr në pah një evolucion të rëndësishëm në strategjitë e sulmeve kibernetike, duke kombinuar inxhinierinë sociale, mjetet e besueshme të ndërmarrjeve dhe malware modulare. Duke shfrytëzuar besimin e përdoruesve në platformat dhe shërbimet e përdorura gjerësisht, sulmuesit rrisin shkallën e suksesit duke minimizuar zbulimin. Vazhdimësia e taktikave të trashëguara së bashku me mekanizmat inovativë të ofrimit nënvizon një realitet kritik: strategjitë efektive të sulmit mund të zgjasin shumë kohë pasi operatorët e tyre origjinalë të zhduken.
