Шкідливе програмне забезпечення SNOW
Було виявлено раніше недокументований кластер загроз, що відстежувався як UNC6692, який використовує передові методи соціальної інженерії через Microsoft Teams для розгортання спеціальної системи шкідливого програмного забезпечення, відомої як SNOW Malware. Зловмисники постійно видають себе за співробітників служби ІТ-довідки, переконуючи цілі приймати запрошення до чату, що надходять із зовнішніх облікових записів.
Цей обман підкріплюється скоординованою кампанією з розсилання електронних листів, під час якої жертв засипають спам-повідомленнями, щоб створити терміновість та плутанину. Невдовзі після цього зловмисник ініціює зв'язок через Teams, видаючи себе за ІТ-підтримку та пропонуючи допомогу у вирішенні сфабрикованої проблеми. Така двошарова тактика маніпуляції значно підвищує ймовірність дотримання вимог користувачами.
Зміст
Застарілі тактики, сучасний вплив
Оперативна схема відображає методи, історично пов'язані з афілійованими особами Black Basta. Незважаючи на те, що група припинила операції з вимаганням програм, її методи зберігаються та залишаються ефективними. Дослідники з безпеки підтвердили, що цей підхід в першу чергу спрямований на керівників та старший персонал, забезпечуючи початковий доступ до мережі, який може призвести до витоку даних, горизонтального переміщення, розгортання програм-вимагачів та вимагання. У спостережуваних випадках чати, ініційовані зловмисниками, відбувалися протягом кількох секунд один за одним, що підкреслює автоматизацію та координацію.
Оманлива точка входу: фальшиве виправлення
На відміну від традиційних атак, що покладаються виключно на інструменти віддаленого керування, такі як Quick Assist або Supremo Remote Desktop, ця кампанія запроваджує модифікований ланцюг зараження. Жертвам пропонується натиснути фішингове посилання, поширене через Teams, представлене як «Утиліта для відновлення та синхронізації поштових скриньок версії 2.1.5».
Посилання запускає завантаження шкідливого скрипта AutoHotkey, розміщеного на контрольованому зловмисником хмарному сховищі. Механізм гейткіпера забезпечує доставку корисного навантаження лише цільовим користувачам, допомагаючи уникнути автоматизованого аналізу безпеки. Крім того, скрипт перевіряє використання браузера та забезпечує використання Microsoft Edge за допомогою постійних попереджень, забезпечуючи сумісність із наступними шкідливими компонентами.
SNOWBELT: Безшумний бекдор для браузера
Початковий скрипт проводить розвідку перед розгортанням SNOWBELT, шкідливого розширення для браузера на базі Chromium. SNOWBELT, встановлений через безголовий процес Edge з використанням певних параметрів командного рядка, функціонує як прихований бекдор. Він спрощує завантаження додаткових корисних навантажень, включаючи SNOWGLAZE, SNOWBASIN, інші скрипти AutoHotkey та стиснутий архів, що містить портативне середовище Python.
Одночасно фішинговий інтерфейс пропонує «Панель керування конфігурацією» з функцією «Перевірка справності». Цей інтерфейс пропонує користувачам ввести облікові дані поштової скриньки під виглядом автентифікації, але замість цього захоплює та витягує конфіденційні дані до інфраструктури, контрольованої зловмисником.
Модульна екосистема шкідливого програмного забезпечення: аналіз фреймворку SNOW
Набір шкідливих програм SNOW працює як скоординована, модульна екосистема, розроблена для забезпечення стійкості, контролю та прихованості:
- SNOWBELT діє як ретранслятор команд на основі JavaScript, отримуючи інструкції від зловмисника та пересилаючи їх на виконання.
- SNOWGLAZE функціонує як утиліта для тунелювання на основі Python, встановлюючи безпечне WebSocket-з'єднання між скомпрометованою мережею та командно-контрольним сервером зловмисника.
- SNOWBASIN служить постійним бекдором, що дозволяє віддалене виконання команд, передачу файлів, створення знімків екрана та самовидалення, працюючи водночас як локальний HTTP-сервер на кількох портах.
Після експлуатації: розширення контролю та вилучення даних
Після початкової компрометації зловмисник виконує низку дій для поглиблення доступу та вилучення цінної інформації:
Розвідка мережі проводиться шляхом сканування критичних портів, після чого відбувається латеральний рух за допомогою адміністративних інструментів та сеансів віддаленого робочого столу, що тунелюються через скомпрометовані системи.
Ескалація привілеїв досягається шляхом вилучення конфіденційної пам'яті процесів, що дозволяє збирати облікові дані та отримувати несанкціонований доступ до систем вищого рівня.
Такі передові методи, як Pass-the-Hash, використовуються для компрометації контролерів домену, після чого розгортаються інструменти криміналістики для збору конфіденційних даних, включаючи бази даних каталогів, які потім вилучаються за допомогою утиліт передачі файлів.
Хмарний камуфляж: поєднання шкідливого трафіку з легітимними сервісами
Визначальною рисою цієї кампанії є стратегічне зловживання довіреною хмарною інфраструктурою. Шкідливі корисні навантаження, витік даних та комунікації системи управління та контролю маршрутизуються через легітимні хмарні платформи. Такий підхід дозволяє загрозам безперешкодно поєднуватися зі звичайним корпоративним трафіком, ефективно обходячи традиційні фільтри безпеки, засновані на репутації або виявленні аномалій.
Еволюція ландшафту загроз: довіра як основна ціль
Кампанія UNC6692 підкреслює значну еволюцію стратегій кібератак, поєднуючи соціальну інженерію, надійні корпоративні інструменти та модульне шкідливе програмне забезпечення. Використовуючи довіру користувачів до широко використовуваних платформ і сервісів, зловмисники підвищують рівень успіху, мінімізуючи при цьому виявлення. Збереження застарілих тактик поряд з інноваційними механізмами реалізації підкреслює критичну реальність: ефективні стратегії атак можуть існувати довго після зникнення їхніх початкових операторів.
