SNOW Злонамерни софтвер

Идентификован је претходно недокументовани кластер претњи, праћен као UNC6692, који користи напредне технике социјалног инжењеринга путем Microsoft Teams-а за примену прилагођеног оквира за злонамерни софтвер познатог као SNOW Malware. Нападачи се стално представљају као особље ИТ службе за помоћ, убеђујући мете да прихвате позиве за ћаскање које потичу са спољних налога.

Ова обмана је појачана координисаном кампањом бомбардовања имејловима, где се жртве засипају спам порукама како би се створила хитност и забуна. Убрзо након тога, нападач иницира контакт путем Тимса, представљајући се као ИТ подршка и нудећи помоћ у решавању измишљеног проблема. Ова двослојна тактика манипулације значајно повећава вероватноћу да ће корисници поштовати прописе.

Застареле тактике, модерни утицај

Оперативни образац одражава технике које су историјски повезане са сарадницима групе Black Basta. Упркос томе што је група престала са операцијама са ransomware-ом, њене методе опстају и остају ефикасне. Истраживачи безбедности потврдили су да овај приступ првенствено циља руководиоце и више особље, омогућавајући почетни приступ мрежи који може довести до крађе података, бочног кретања, распоређивања ransomware-а и изнуде. У посматраним случајевима, ћаскања која су покренули нападачи одвијала су се у року од неколико секунди, што наглашава аутоматизацију и координацију.

Обмањујућа улазна тачка: Лажна поправка

За разлику од традиционалних напада који се ослањају искључиво на алате за даљинско управљање као што су Quick Assist или Supremo Remote Desktop, ова кампања уводи модификовани ланац инфекције. Жртве се упућују да кликну на фишинг линк који се дели путем Teams-а, представљен као „Услужни програм за поправку и синхронизацију поштанског сандучета v2.1.5“.

Линк покреће преузимање злонамерног AutoHotkey скрипта који се налази на сервису за складиштење у облаку који контролише нападач. Механизам чувара капије осигурава испоруку корисног терета само предвиђеним циљевима, помажући у избегавању аутоматизоване безбедносне анализе. Поред тога, скрипта проверава коришћење прегледача и намеће употребу Microsoft Edge-а путем сталних упозорења, осигуравајући компатибилност са накнадним злонамерним компонентама.

SNOWBELT: Тихи задњи улаз у прегледач

Почетни скрипт врши извиђање пре него што покрене SNOWBELT, злонамерно проширење за прегледач засновано на Chromium-у. Инсталирано путем Edge процеса без икаквог управљања коришћењем одређених параметара командне линије, SNOWBELT функционише као прикривени бекдор. Омогућава преузимање додатних корисних садржаја, укључујући SNOWGLAZE, SNOWBASIN, додатне AutoHotkey скрипте и компресовану архиву која садржи преносиво Python окружење.

Истовремено, фишинг интерфејс представља „Панел за управљање конфигурацијом“ са функцијом „Провера исправности“. Овај интерфејс подстиче кориснике да унесу акредитиве поштанског сандучета под маском аутентификације, али уместо тога снима и извлачи осетљиве податке у инфраструктуру коју контролише нападач.

Модуларни екосистем злонамерног софтвера: анализа SNOW оквира

Пакет злонамерних програма SNOW функционише као координисан, модуларни екосистем дизајниран за истрајност, контролу и прикривеност:

• SNOWBELT делује као релеј команде заснован на ЈаваСкрипту, примајући инструкције од нападача и прослеђујући их на извршење.
• SNOWGLAZE функционише као услужни програм за тунелирање базиран на Пајтону, успостављајући безбедну WebSocket везу између угрожене мреже и нападачевог сервера за командну и контролну мрежу.
• SNOWBASIN служи као трајна задња врата (backdoor), омогућавајући даљинско извршавање команди, пренос датотека, снимање екрана и самоуклањање, док ради као локални HTTP сервер на више портова.

Пост-експлоатација: Проширење контроле и издвајање података

Након почетног компромитовања, претња извршава низ акција како би продубио приступ и извукао вредне информације:

Извиђање мреже се спроводи скенирањем критичних портова, након чега следи латерално кретање коришћењем административних алата и сесија удаљене радне површине тунелираних кроз компромитоване системе.

Ескалација привилегија се постиже издвајањем осетљиве меморије процеса, омогућавајући прикупљање акредитива и неовлашћени приступ системима вишег нивоа.

Напредне технике попут Pass-the-Hash-а користе се за компромитовање контролера домена, након чега се примењују форензички алати за прикупљање осетљивих података, укључујући базе података директоријума, који се затим екстрахују помоћу услужних програма за пренос датотека.

Камуфлажа у облаку: Мешање злонамерног саобраћаја са легитимним услугама

Одлика ове кампање је стратешка злоупотреба поуздане клауд инфраструктуре. Злонамерни корисни терет, крађа података и комуникација типа „Command-and-Control“ се усмеравају преко легитимних клауд платформи. Овај приступ омогућава претњама да се беспрекорно уклопе са нормалним пословним саобраћајем, ефикасно заобилазећи традиционалне безбедносне филтере засноване на репутацији или детекцији аномалија.

Еволуција пејзажа претњи: Поверење као примарна мета

Кампања UNC6692 истиче значајну еволуцију у стратегијама сајбер напада, комбинујући друштвени инжењеринг, поуздане пословне алате и модуларни злонамерни софтвер. Искоришћавањем поверења корисника у широко коришћене платформе и услуге, нападачи повећавају стопу успеха, а истовремено минимизирају откривање. Опстанак наслеђених тактика уз иновативне механизме испоруке наглашава кључну стварност: ефикасне стратегије напада могу трајати дуго након што њихови оригинални оператери нестану.