มัลแวร์ SNOW

มีการค้นพบกลุ่มภัยคุกคามที่ไม่เคยมีการบันทึกมาก่อน ซึ่งถูกติดตามในรหัส UNC6692 โดยกลุ่มนี้ใช้เทคนิควิศวกรรมสังคมขั้นสูงผ่าน Microsoft Teams เพื่อติดตั้งเฟรมเวิร์กมัลแวร์แบบกำหนดเองที่เรียกว่า SNOW Malware ผู้โจมตีจะปลอมตัวเป็นเจ้าหน้าที่ฝ่ายสนับสนุนด้านไอทีอย่างต่อเนื่อง และโน้มน้าวให้เป้าหมายยอมรับคำเชิญสนทนาจากบัญชีภายนอก

การหลอกลวงนี้ได้รับการเสริมด้วยการโจมตีทางอีเมลอย่างเป็นระบบ โดยเหยื่อจะถูกโจมตีด้วยข้อความสแปมจำนวนมากเพื่อสร้างความเร่งด่วนและความสับสน หลังจากนั้นไม่นาน ผู้โจมตีจะติดต่อผ่าน Teams โดยแอบอ้างเป็นฝ่ายสนับสนุนด้านไอทีและเสนอความช่วยเหลือในการแก้ไขปัญหาที่สร้างขึ้นมา กลยุทธ์การหลอกลวงสองชั้นนี้ช่วยเพิ่มโอกาสที่ผู้ใช้จะให้ความร่วมมืออย่างมาก

กลยุทธ์ดั้งเดิม สร้างผลกระทบในยุคปัจจุบัน

รูปแบบการปฏิบัติการนี้สะท้อนให้เห็นถึงเทคนิคที่เคยเกี่ยวข้องกับกลุ่ม Black Basta ในอดีต แม้ว่ากลุ่มนี้จะยุติการปฏิบัติการเรียกค่าไถ่แล้ว แต่วิธีการของพวกเขายังคงอยู่และได้ผล นักวิจัยด้านความปลอดภัยยืนยันว่าวิธีการนี้มุ่งเป้าไปที่ผู้บริหารและบุคลากรระดับสูงเป็นหลัก ทำให้สามารถเข้าถึงเครือข่ายได้ในเบื้องต้น ซึ่งอาจนำไปสู่การขโมยข้อมูล การเคลื่อนย้ายไปยังเครือข่ายอื่น การติดตั้งมัลแวร์เรียกค่าไถ่ และการขู่กรรโชก ในกรณีที่พบเห็น การสนทนาที่เริ่มต้นโดยผู้โจมตีเกิดขึ้นภายในเวลาไม่กี่วินาที ซึ่งเน้นย้ำถึงระบบอัตโนมัติและการประสานงาน

จุดเริ่มต้นที่หลอกลวง: การแก้ไขปลอม

แตกต่างจากการโจมตีแบบดั้งเดิมที่อาศัยเพียงเครื่องมือการจัดการระยะไกล เช่น Quick Assist หรือ Supremo Remote Desktop แคมเปญนี้ใช้วิธีการแพร่เชื้อที่ดัดแปลง เหยื่อจะถูกชักนำให้คลิกลิงก์ฟิชชิ่งที่แชร์ผ่าน Teams ซึ่งแสดงเป็น 'โปรแกรมซ่อมแซมและซิงค์กล่องจดหมายเวอร์ชัน 2.1.5'

ลิงก์ดังกล่าวจะกระตุ้นการดาวน์โหลดสคริปต์ AutoHotkey ที่เป็นอันตราย ซึ่งโฮสต์อยู่บนบริการจัดเก็บข้อมูลบนคลาวด์ที่ผู้โจมตีควบคุม กลไกการเฝ้าตรวจสอบจะช่วยให้มั่นใจได้ว่าไฟล์อันตรายจะถูกส่งไปยังเป้าหมายที่ตั้งใจไว้เท่านั้น ช่วยให้หลีกเลี่ยงการวิเคราะห์ความปลอดภัยอัตโนมัติได้ นอกจากนี้ สคริปต์ยังตรวจสอบการใช้งานเบราว์เซอร์และบังคับให้ใช้ Microsoft Edge ผ่านการแจ้งเตือนอย่างต่อเนื่อง เพื่อให้มั่นใจถึงความเข้ากันได้กับส่วนประกอบที่เป็นอันตรายในภายหลัง

SNOWBELT: ช่องโหว่เงียบๆ ในเบราว์เซอร์

สคริปต์เริ่มต้นจะทำการสอดแนมก่อนที่จะติดตั้ง SNOWBELT ซึ่งเป็นส่วนขยายเบราว์เซอร์ที่ใช้ Chromium ที่เป็นอันตราย SNOWBELT ถูกติดตั้งผ่านกระบวนการ Edge แบบไม่มีส่วนติดต่อผู้ใช้โดยใช้พารามิเตอร์บรรทัดคำสั่งเฉพาะ และทำหน้าที่เป็นแบ็กดอร์ที่ซ่อนเร้น มันอำนวยความสะดวกในการดาวน์โหลดเพย์โหลดเพิ่มเติม รวมถึง SNOWGLAZE, SNOWBASIN สคริปต์ AutoHotkey เพิ่มเติม และไฟล์เก็บถาวรแบบบีบอัดที่มีสภาพแวดล้อม Python แบบพกพา

ในขณะเดียวกัน อินเทอร์เฟซฟิชชิ่งจะแสดง "แผงการจัดการการกำหนดค่า" พร้อมคุณสมบัติ "ตรวจสอบสถานะ" อินเทอร์เฟซนี้จะแจ้งให้ผู้ใช้ป้อนข้อมูลประจำตัวกล่องจดหมายภายใต้หน้ากากของการตรวจสอบสิทธิ์ แต่แท้จริงแล้วจะดักจับและส่งข้อมูลสำคัญไปยังโครงสร้างพื้นฐานที่ผู้โจมตีควบคุมอยู่

ระบบนิเวศมัลแวร์แบบโมดูลาร์: การวิเคราะห์เฟรมเวิร์ก SNOW

ชุดมัลแวร์ SNOW ทำงานในรูปแบบระบบนิเวศแบบโมดูลาร์ที่ประสานงานกัน ออกแบบมาเพื่อการคงอยู่ การควบคุม และการซ่อนตัว:

• SNOWBELT ทำหน้าที่เป็นตัวส่งต่อคำสั่งโดยใช้ JavaScript โดยรับคำสั่งจากผู้โจมตีและส่งต่อคำสั่งเหล่านั้นเพื่อดำเนินการ
• SNOWGLAZE ทำงานเป็นยูทิลิตี้สร้างอุโมงค์ที่ใช้ Python โดยสร้างการเชื่อมต่อ WebSocket ที่ปลอดภัยระหว่างเครือข่ายที่ถูกบุกรุกและเซิร์ฟเวอร์ควบคุมและสั่งการของผู้โจมตี
• SNOWBASIN ทำหน้าที่เป็นแบ็กดอร์ถาวร ซึ่งช่วยให้สามารถเรียกใช้คำสั่งจากระยะไกล ถ่ายโอนไฟล์ จับภาพหน้าจอ และลบตัวเองได้ ในขณะที่ทำงานเป็นเซิร์ฟเวอร์ HTTP ในพื้นที่บนพอร์ตหลายพอร์ต

หลังการโจมตี: การขยายการควบคุมและการดึงข้อมูล

หลังจากเจาะระบบได้ในเบื้องต้น ผู้โจมตีจะดำเนินการหลายขั้นตอนเพื่อขยายการเข้าถึงและดึงข้อมูลที่มีค่าออกมา:

การสอดแนมเครือข่ายจะดำเนินการโดยการสแกนพอร์ตที่สำคัญ ตามด้วยการเคลื่อนที่ในแนวนอนโดยใช้เครื่องมือการดูแลระบบและการเชื่อมต่อเดสก์ท็อประยะไกลที่ส่งผ่านระบบที่ถูกบุกรุก

การยกระดับสิทธิ์ทำได้โดยการดึงข้อมูลหน่วยความจำของกระบวนการที่สำคัญออกมา ซึ่งจะทำให้สามารถเก็บรวบรวมข้อมูลประจำตัวและเข้าถึงระบบระดับสูงโดยไม่ได้รับอนุญาตได้

มีการใช้เทคนิคขั้นสูง เช่น Pass-the-Hash เพื่อเจาะระบบควบคุมโดเมน จากนั้นจึงใช้เครื่องมือทางนิติวิทยาศาสตร์เพื่อรวบรวมข้อมูลที่ละเอียดอ่อน รวมถึงฐานข้อมูลไดเร็กทอรี ซึ่งจะถูกดึงออกมาโดยใช้ยูทิลิตี้การถ่ายโอนไฟล์

การพรางตัวบนคลาวด์: การผสานทราฟฟิกที่เป็นอันตรายเข้ากับบริการที่ถูกต้องตามกฎหมาย

ลักษณะเด่นของแคมเปญนี้คือการใช้ประโยชน์จากโครงสร้างพื้นฐานคลาวด์ที่น่าเชื่อถืออย่างมีกลยุทธ์ มัลแวร์ การขโมยข้อมูล และการสื่อสารเพื่อควบคุมและสั่งการ ล้วนถูกส่งผ่านแพลตฟอร์มคลาวด์ที่ถูกต้องตามกฎหมาย วิธีการนี้ทำให้กิจกรรมคุกคามสามารถผสมผสานเข้ากับการรับส่งข้อมูลปกติขององค์กรได้อย่างราบรื่น โดยหลีกเลี่ยงตัวกรองความปลอดภัยแบบดั้งเดิมที่อิงตามชื่อเสียงหรือการตรวจจับความผิดปกติได้อย่างมีประสิทธิภาพ

ภูมิทัศน์ภัยคุกคามที่เปลี่ยนแปลงไป: ความไว้วางใจคือเป้าหมายหลัก

แคมเปญ UNC6692 แสดงให้เห็นถึงวิวัฒนาการที่สำคัญในกลยุทธ์การโจมตีทางไซเบอร์ โดยผสมผสานวิศวกรรมสังคม เครื่องมือที่องค์กรไว้วางใจ และมัลแวร์แบบโมดูลาร์ ด้วยการใช้ประโยชน์จากความไว้วางใจของผู้ใช้ในแพลตฟอร์มและบริการที่ใช้กันอย่างแพร่หลาย ผู้โจมตีจึงเพิ่มอัตราความสำเร็จในขณะที่ลดการตรวจจับให้น้อยที่สุด การคงอยู่ของกลยุทธ์แบบเดิมควบคู่ไปกับกลไกการส่งมอบแบบใหม่เน้นย้ำถึงความเป็นจริงที่สำคัญ: กลยุทธ์การโจมตีที่มีประสิทธิภาพสามารถคงอยู่ได้นานหลังจากที่ผู้ดำเนินการดั้งเดิมหายไปแล้ว