Rabattoffert för flera licenser
Hotdatabas Skadlig programvara SNOW-skadlig programvara

SNOW-skadlig programvara

Med Mezo år Skadlig programvara, Advanced Persistent Threat (APT)
Översätt till:

Ett tidigare odokumenterat hotkluster, spårat som UNC6692, har identifierats genom att utnyttja avancerade sociala ingenjörskonsttekniker via Microsoft Teams för att distribuera ett anpassat ramverk för skadlig kod som kallas SNOW Malware. Angriparna utger sig konsekvent för att vara IT-helpdeskpersonal och övertalar mål att acceptera chattinbjudningar från externa konton.

Detta bedrägeri förstärks av en samordnad e-postbombningskampanj, där offren översvämmas med skräppostmeddelanden för att skapa brådska och förvirring. Kort därefter initierar angriparen kontakt via Teams, utger sig för att vara IT-support och erbjuder hjälp med att lösa det påhittade problemet. Denna dubbla manipulationstaktik ökar avsevärt sannolikheten för att användarna följer reglerna.

Äldre taktiker, modern inverkan

Det operativa mönstret speglar tekniker som historiskt sett förknippats med Black Basta-anslutna bolag. Trots att gruppen upphör med ransomware-verksamheten kvarstår deras metoder och är fortfarande effektiva. Säkerhetsforskare har bekräftat att denna metod främst riktar sig mot chefer och högre personal, vilket möjliggör initial nätverksåtkomst som kan leda till datautvinning, lateral förflyttning, ransomware-distribution och utpressning. I observerade fall inträffade angriparinitierade chattar inom några sekunder från varandra, vilket understryker automatisering och samordning.

Bedräglig ingångspunkt: Den falska fixen

Till skillnad från traditionella attacker som enbart förlitar sig på fjärrhanteringsverktyg som Quick Assist eller Supremo Remote Desktop, introducerar den här kampanjen en modifierad infektionskedja. Offren uppmanas att klicka på en nätfiskelänk som delas via Teams, presenterad som ett "Mailbox Repair and Sync Utility v2.1.5".

Länken utlöser nedladdningen av ett skadligt AutoHotkey-skript som finns på en angriparstyrd molnlagringstjänst. En gatekeeper-mekanism säkerställer att nyttolasten endast levereras till avsedda mål, vilket hjälper till att undvika automatiserad säkerhetsanalys. Dessutom verifierar skriptet webbläsaranvändning och upprätthåller användningen av Microsoft Edge genom ihållande varningar, vilket säkerställer kompatibilitet med efterföljande skadliga komponenter.

SNOWBELTE: Den tysta webbläsarens bakdörr

Det initiala skriptet utför rekognoscering innan det driftsätter SNOWBELT, ett skadligt Chromium-baserat webbläsartillägg. SNOWBELT installeras via en headless Edge-process med specifika kommandoradsparametrar och fungerar som en hemlig bakdörr. Det underlättar nedladdning av ytterligare nyttolaster, inklusive SNOWGLAZE, SNOWBASIN, ytterligare AutoHotkey-skript och ett komprimerat arkiv som innehåller en portabel Python-miljö.

Samtidigt presenterar nätfiskegränssnittet en "konfigurationshanteringspanel" med en "hälsokontroll"-funktion. Detta gränssnitt uppmanar användare att ange inloggningsuppgifter för e-postlådor under täckmantel av autentisering, men samlar istället in och exfiltrerar känslig data till angriparkontrollerad infrastruktur.

Modulärt ekosystem för skadlig kod: Nedbrytning av SNOW-ramverket

SNOW-programvarupaketet för skadlig kod fungerar som ett samordnat, modulärt ekosystem utformat för beständighet, kontroll och smygande åtgärder:

  • SNOWBELT fungerar som ett JavaScript-baserat kommandorelä som tar emot instruktioner från angriparen och vidarebefordrar dem för körning.
  • SNOWGLAZE fungerar som ett Python-baserat tunnelverktyg som upprättar en säker WebSocket-anslutning mellan det komprometterade nätverket och angriparens Command-and-Control-server.
  • SNOWBASIN fungerar som en beständig bakdörr, vilket möjliggör fjärrkörning av kommandon, filöverföringar, skärmdumpstagning och självborttagning, samtidigt som den fungerar som en lokal HTTP-server på flera portar.

Efter exploatering: Utökad kontroll och extrahering av data

Efter den initiala intrånget utför hotaktören en serie åtgärder för att fördjupa åtkomsten och utvinna värdefull information:

Nätverksrekognosering utförs genom att skanna kritiska portar, följt av lateral förflyttning med hjälp av administrativa verktyg och fjärrskrivbordssessioner som tunnlas genom komprometterade system.

Privilegieupptrappning uppnås genom att extrahera känsligt processminne, vilket möjliggör insamling av autentiseringsuppgifter och obehörig åtkomst till system på högre nivå.

Avancerade tekniker som Pass-the-Hash används för att kompromettera domänkontrollanter, varefter forensiska verktyg används för att samla in känsliga data, inklusive katalogdatabaser, som sedan exfiltreras med hjälp av filöverföringsverktyg.

Molnkamouflage: Att blanda skadlig trafik med legitima tjänster

Ett utmärkande kännetecken för denna kampanj är det strategiska missbruket av betrodd molninfrastruktur. Skadliga nyttolaster, dataexfiltrering och kommando-och-kontrollkommunikation dirigeras alla via legitima molnplattformar. Denna metod gör att hotaktivitet kan blandas sömlöst med normal företagstrafik och effektivt kringgå traditionella säkerhetsfilter baserade på rykte eller avvikelsedetektering.

Föränderligt hotlandskap: Förtroende som det primära målet

Kampanjen UNC6692 belyser en betydande utveckling inom cyberattackstrategier, där man kombinerar social ingenjörskonst, pålitliga företagsverktyg och modulär skadlig kod. Genom att utnyttja användarnas förtroende för allmänt använda plattformar och tjänster ökar angripare framgångsgraden samtidigt som de minimerar upptäckt. Att äldre taktiker kvarstår tillsammans med innovativa leveransmekanismer understryker en kritisk verklighet: effektiva attackstrategier kan bestå långt efter att deras ursprungliga operatörer försvinner.

Trendigt

Mest sedda

Läser in...