Malware ng SNOW

Isang dating hindi dokumentadong kumpol ng banta, na sinusubaybayan bilang UNC6692, ang natukoy na gumagamit ng mga advanced na pamamaraan ng social engineering sa pamamagitan ng Microsoft Teams upang mag-deploy ng isang custom na malware framework na kilala bilang SNOW Malware. Patuloy na nagpapanggap ang mga umaatake bilang mga tauhan ng IT help desk, at hinihikayat ang mga target na tanggapin ang mga imbitasyon sa chat na nagmumula sa mga panlabas na account.

Ang panlilinlang na ito ay pinatitibay ng isang koordinadong kampanya ng email bombing, kung saan ang mga biktima ay binabaha ng mga spam message upang lumikha ng pagkaapurahan at kalituhan. Di-nagtagal pagkatapos, ang umaatake ay nagsisimula ng pakikipag-ugnayan sa pamamagitan ng Teams, na nagpapanggap na suporta sa IT at nag-aalok ng tulong upang malutas ang gawa-gawang isyu. Ang dual-layered manipulation tactic na ito ay lubos na nagpapataas ng posibilidad ng pagsunod ng mga gumagamit.

Mga Taktika ng Pamana, Modernong Epekto

Ang padron ng operasyon ay sumasalamin sa mga pamamaraang makasaysayang nauugnay sa mga kaakibat ng Black Basta. Sa kabila ng paghinto ng grupo sa mga operasyon ng ransomware, ang mga pamamaraan nito ay nagpapatuloy at nananatiling epektibo. Kinumpirma ng mga mananaliksik sa seguridad na ang pamamaraang ito ay pangunahing tinatarget ang mga ehekutibo at matataas na tauhan, na nagbibigay-daan sa paunang pag-access sa network na maaaring humantong sa paglabas ng data, paggalaw sa gilid, pag-deploy ng ransomware, at pangingikil. Sa mga naobserbahang kaso, ang mga chat na sinimulan ng attacker ay naganap sa loob ng ilang segundo ng bawat isa, na nagbibigay-diin sa automation at koordinasyon.

Mapanlinlang na Punto ng Pagpasok: Ang Pekeng Pag-aayos

Hindi tulad ng mga tradisyunal na pag-atake na umaasa lamang sa mga tool sa remote management tulad ng Quick Assist o Supremo Remote Desktop, ipinakikilala ng kampanyang ito ang isang binagong kadena ng impeksyon. Ang mga biktima ay inaatasan na mag-click sa isang phishing link na ibinahagi sa pamamagitan ng Teams, na ipinapakita bilang isang 'Mailbox Repair and Sync Utility v2.1.5.'

Ang link ay nagti-trigger sa pag-download ng isang malisyosong AutoHotkey script na naka-host sa isang serbisyo ng cloud storage na kontrolado ng attacker. Tinitiyak ng isang mekanismo ng gatekeeper ang paghahatid ng payload sa mga nilalayong target lamang, na nakakatulong na maiwasan ang awtomatikong pagsusuri sa seguridad. Bukod pa rito, bine-verify ng script ang paggamit ng browser at ipinapatupad ang paggamit ng Microsoft Edge sa pamamagitan ng patuloy na mga babala, na tinitiyak ang pagiging tugma sa mga kasunod na malisyosong bahagi.

SNOWBELT: Ang Tahimik na Backdoor ng Browser

Nagsasagawa ng pagmamanman ang unang script bago i-deploy ang SNOWBELT, isang malisyosong extension ng browser na nakabatay sa Chromium. Naka-install sa pamamagitan ng isang headless Edge process gamit ang mga partikular na command-line parameter, ang SNOWBELT ay gumagana bilang isang covert backdoor. Pinapadali nito ang pag-download ng mga karagdagang payload, kabilang ang SNOWGLAZE, SNOWBASIN, mga karagdagang AutoHotkey script, at isang compressed archive na naglalaman ng isang portable Python environment.

Kasabay nito, ang phishing interface ay nagpapakita ng isang 'Configuration Management Panel' na may tampok na 'Health Check'. Hinihikayat ng interface na ito ang mga user na maglagay ng mga kredensyal ng mailbox sa ilalim ng pagkukunwari ng authentication, ngunit sa halip ay kinukuha at inilalabas nito ang sensitibong data sa imprastrakturang kontrolado ng attacker.

Modular Malware Ecosystem: Pagsusuri sa SNOW Framework

Ang SNOW malware suite ay gumagana bilang isang koordinadong, modular na ecosystem na idinisenyo para sa persistence, control, at stealth:

• Ang SNOWBELT ay gumaganap bilang isang command relay na nakabatay sa JavaScript, na tumatanggap ng mga tagubilin mula sa attacker at nagpapasa ng mga ito para sa pagpapatupad.
• Ang SNOWGLAZE ay gumagana bilang isang Python-based tunneling utility, na nagtatatag ng isang ligtas na koneksyon sa WebSocket sa pagitan ng nakompromisong network at ng Command-and-Control server ng attacker.
• Ang SNOWBASIN ay nagsisilbing isang persistent backdoor, na nagbibigay-daan sa remote command execution, file transfers, screenshot capture, at self-removal, habang gumagana bilang isang local HTTP server sa maraming port.

Pagkatapos ng Pagsasamantala: Pagpapalawak ng Kontrol at Pagkuha ng Datos

Kasunod ng unang kompromiso, ang aktor ng banta ay nagsasagawa ng isang serye ng mga aksyon upang palalimin ang pag-access at kumuha ng mahalagang impormasyon:

Isinasagawa ang pagmamanman sa network sa pamamagitan ng pag-scan sa mga kritikal na port, na sinusundan ng paggalaw sa gilid gamit ang mga administratibong tool at mga sesyon ng remote desktop na tinatahak ang mga nakompromisong system.

Nakakamit ang pagtaas ng pribilehiyo sa pamamagitan ng pagkuha ng sensitibong memorya ng proseso, na nagbibigay-daan sa pagkuha ng kredensyal at hindi awtorisadong pag-access sa mga sistemang mas mataas ang antas.

Ang mga advanced na pamamaraan tulad ng Pass-the-Hash ay ginagamit upang ikompromiso ang mga domain controller, pagkatapos nito ay ginagamit ang mga forensic tool upang mangolekta ng sensitibong data, kabilang ang mga directory database, na pagkatapos ay ini-exfiltrate gamit ang mga file transfer utility.

Cloud Camouflage: Pagsasama ng Malisyosong Trapiko sa mga Lehitimong Serbisyo

Isang natatanging katangian ng kampanyang ito ay ang estratehikong pang-aabuso sa pinagkakatiwalaang imprastraktura ng cloud. Ang mga malisyosong payload, data exfiltration, at mga komunikasyon sa Command-and-Control ay pawang idinadaan sa mga lehitimong platform ng cloud. Ang pamamaraang ito ay nagbibigay-daan sa aktibidad ng banta na tuluyang humalo sa normal na trapiko ng enterprise, na epektibong nilalampasan ang mga tradisyonal na filter ng seguridad batay sa reputasyon o pagtuklas ng anomalya.

Nagbabagong Tanawin ng Banta: Tiwala bilang Pangunahing Target

Itinatampok ng kampanyang UNC6692 ang isang makabuluhang ebolusyon sa mga estratehiya sa cyberattack, na pinagsasama ang social engineering, mga pinagkakatiwalaang tool sa enterprise, at modular malware. Sa pamamagitan ng pagsasamantala sa tiwala ng gumagamit sa malawakang ginagamit na mga platform at serbisyo, pinapataas ng mga umaatake ang mga rate ng tagumpay habang binabawasan ang pagtuklas. Ang pagtitiyaga ng mga lumang taktika kasama ng mga makabagong mekanismo ng paghahatid ay nagbibigay-diin sa isang kritikal na katotohanan: ang mga epektibong estratehiya sa pag-atake ay maaaring tumagal nang matagal kahit mawala na ang kanilang mga orihinal na operator.