SNOW恶意软件

一个此前未被记录的威胁集群（编号为UNC6692）已被发现，该集群利用高级社交工程技术，通过Microsoft Teams部署名为SNOW Malware的定制恶意软件框架。攻击者持续冒充IT服务台人员，诱骗目标用户接受来自外部账户的聊天邀请。

这种欺骗手段通过精心策划的电子邮件轰炸活动得到强化，攻击者向受害者发送大量垃圾邮件，制造紧迫感和混乱。随后，攻击者通过 Teams 发起联系，冒充 IT 支持人员，并主动提供帮助以解决捏造的问题。这种双层操控策略显著提高了用户屈服的可能性。

传统战术，现代影响

该行动模式与黑巴斯塔（Black Basta）组织成员以往使用的手段如出一辙。尽管该组织已停止勒索软件活动，但其手法依然有效。安全研究人员证实，这种攻击方式主要针对高管和高级人员，通过这种方式获取初始网络访问权限，进而可能导致数据泄露、横向移动、勒索软件部署和敲诈勒索。在观察到的案例中，攻击者发起的聊天记录几乎在几秒钟内相继出现，凸显了其自动化和协同性。

欺骗性入口：虚假修复

与仅依赖远程管理工具（例如 Quick Assist 或 Supremo Remote Desktop）的传统攻击不同，此次攻击活动引入了一种修改后的感染链。受害者会被诱导点击通过 Teams 分享的钓鱼链接，该链接伪装成“邮箱修复和同步实用程序 v2.1.5”。

该链接会触发恶意 AutoHotkey 脚本的下载，该脚本托管在攻击者控制的云存储服务上。一种“守门人”机制确保有效载荷仅传递给预期目标，从而帮助绕过自动化安全分析。此外，该脚本还会验证浏览器使用情况，并通过持续警告强制使用 Microsoft Edge 浏览器，以确保与后续恶意组件的兼容性。

雪带：静默浏览器后门

初始脚本会在部署基于 Chromium 的恶意浏览器扩展程序 SNOWBELT 之前进行侦察。SNOWBELT 通过无头 Edge 进程使用特定的命令行参数进行安装，充当隐蔽的后门。它有助于下载其他有效载荷，包括 SNOWGLAZE、SNOWBASIN、其他 AutoHotkey 脚本以及包含可移植 Python 环境的压缩包。

与此同时，钓鱼界面会显示一个带有“健康检查”功能的“配置管理面板”。该界面会诱导用户输入邮箱凭据，伪装成身份验证，但实际上却会捕获敏感数据并将其泄露到攻击者控制的基础架构中。

模块化恶意软件生态系统：SNOW框架解析

SNOW恶意软件套件作为一个协调的模块化生态系统运行，旨在实现持久性、控制性和隐蔽性：

• SNOWBELT 充当基于 JavaScript 的命令中继，接收来自攻击者的指令并将其转发以执行。
• SNOWGLAZE 是一个基于 Python 的隧道实用程序，它在被入侵的网络和攻击者的命令与控制服务器之间建立安全的 WebSocket 连接。
• SNOWBASIN 是一个持久后门，能够执行远程命令、文件传输、屏幕截图和自我删除，同时在多个端口上作为本地 HTTP 服务器运行。

后渗透：扩大控制范围并提取数据

在取得初步突破后，攻击者会执行一系列操作来加深访问权限并窃取有价值的信息：

网络侦察是通过扫描关键端口进行的，然后使用管理工具和通过被入侵系统建立的远程桌面会话进行横向移动。

权限提升是通过提取敏感进程内存来实现的，从而可以窃取凭证并未经授权访问更高级别的系统。

攻击者会使用哈希传递等高级技术来入侵域控制器，然后部署取证工具来收集敏感数据（包括目录数据库），最后使用文件传输工具将这些数据导出。

云伪装：将恶意流量与合法服务混合

此次攻击活动的一个显著特点是战略性地滥用可信云基础设施。恶意载荷、数据窃取和命令控制通信均通过合法的云平台进行。这种方法使得威胁活动能够与正常的企业流量无缝融合，有效绕过基于信誉或异常检测的传统安全过滤器。

不断演变的威胁形势：信任成为首要目标

UNC6692攻击活动凸显了网络攻击策略的重大演变，它融合了社会工程学、可信企业工具和模块化恶意软件。攻击者利用用户对广泛使用的平台和服务的信任，提高了攻击成功率，同时最大限度地降低了被检测到的可能性。传统攻击手段的持续存在与创新的传播机制并存，凸显了一个关键现实：即使最初的攻击者消失很久，有效的攻击策略依然可以继续存在。