SNOW惡意軟體
一個先前未被記錄的威脅集群(編號為UNC6692)已被發現,該集群利用高級社交工程技術,透過Microsoft Teams部署名為SNOW Malware的客製化惡意軟體框架。攻擊者持續冒充IT服務台人員,誘騙目標使用者接受外部帳號的聊天邀請。
這種欺騙手段透過精心策劃的電子郵件轟炸活動得到強化,攻擊者向受害者發送大量垃圾郵件,製造緊迫感和混亂。隨後,攻擊者透過 Teams 發起聯繫,冒充 IT 支援人員,並主動提供協助以解決捏造的問題。這種雙層操控策略顯著提高了使用者屈服的可能性。
目錄
傳統戰術,現代影響
此行動模式與黑巴斯塔(Black Basta)組織成員過去所使用的手段如出一轍。儘管該組織已停止勒索軟體活動,但其手法依然有效。安全研究人員證實,這種攻擊方式主要針對高階主管和高階人員,透過這種方式取得初始網路存取權限,進而可能導致資料外洩、橫向移動、勒索軟體部署和敲詐勒索。在觀察到的案例中,攻擊者發起的聊天記錄幾乎在幾秒鐘內相繼出現,凸顯了其自動化和協同性。
欺騙性入口:虛假修復
與僅依賴遠端管理工具(例如 Quick Assist 或 Supremo Remote Desktop)的傳統攻擊不同,此次攻擊活動引入了一種修改後的感染鏈。受害者會被誘導點擊通過 Teams 分享的釣魚鏈接,該鏈接偽裝成“郵箱修復和同步實用程序 v2.1.5”。
該連結會觸發惡意 AutoHotkey 腳本的下載,該腳本託管在攻擊者控制的雲端儲存服務上。一種「守門人」機制確保有效載荷僅傳遞給預期目標,從而幫助繞過自動化安全分析。此外,該腳本還會驗證瀏覽器使用情況,並透過持續警告強制使用 Microsoft Edge 瀏覽器,以確保與後續惡意元件的兼容性。
雪帶:靜默瀏覽器後門
初始腳本會在部署基於 Chromium 的惡意瀏覽器擴充功能 SNOWBELT 之前進行偵察。 SNOWBELT 透過無頭 Edge 進程使用特定的命令列參數進行安裝,充當隱藏的後門。它有助於下載其他有效載荷,包括 SNOWGLAZE、SNOWBASIN、其他 AutoHotkey 腳本以及包含可移植 Python 環境的壓縮套件。
同時,釣魚介面會顯示一個具有「健康檢查」功能的「配置管理面板」。該介面會誘導使用者輸入郵箱憑證,偽裝成身份驗證,但實際上會捕獲敏感資料並將其洩漏到攻擊者控制的基礎架構中。
模組化惡意軟體生態系統:SNOW框架解析
SNOW惡意軟體套件作為一個協調的模組化生態系統運行,旨在實現持久性、控制性和隱蔽性:
- SNOWBELT 充當基於 JavaScript 的命令中繼,接收來自攻擊者的指令並將其轉發以執行。
- SNOWGLAZE 是一個基於 Python 的隧道實用程序,它在被入侵的網路和攻擊者的命令與控制伺服器之間建立安全的 WebSocket 連線。
- SNOWBASIN 是一個持久性後門,能夠執行遠端命令、檔案傳輸、螢幕截圖和自我刪除,同時在多個連接埠上作為本地 HTTP 伺服器運行。
後滲透:擴大控制範圍並擷取數據
在取得初步突破後,攻擊者會執行一系列操作來加深存取權限並竊取有價值的資訊:
網路偵察是透過掃描關鍵連接埠進行的,然後使用管理工具和透過被入侵系統建立的遠端桌面會話進行橫向移動。
權限提升是透過提取敏感進程記憶體來實現的,從而可以竊取憑證並未經授權存取更高層級的系統。
攻擊者會使用雜湊傳遞等進階技術來入侵網域控制器,然後部署取證工具來收集敏感資料(包括目錄資料庫),最後使用檔案傳輸工具將這些資料匯出。
雲端偽裝:將惡意流量與合法服務混合
這次攻擊活動的一個顯著特徵是策略性地濫用可信任雲端基礎設施。惡意載荷、資料竊取和命令控制通訊均透過合法的雲端平台進行。這種方法使得威脅活動能夠與正常的企業流量無縫融合,有效繞過基於信譽或異常檢測的傳統安全過濾器。
不斷演變的威脅情勢:信任成為首要目標
UNC6692攻擊活動凸顯了網路攻擊策略的重大演變,它融合了社會工程、可信任企業工具和模組化惡意軟體。攻擊者利用使用者對廣泛使用的平台和服務的信任,提高了攻擊成功率,同時最大限度地降低了被偵測到的可能性。傳統攻擊手段的持續存在與創新的傳播機制並存,凸顯了一個關鍵現實:即使最初的攻擊者消失很久,有效的攻擊策略仍然可以繼續存在。
