Напаѓачка група користи Microsoft Teams за дистрибуција на новиот малвер „Snow“

Напаѓачка група следена под името UNC6692 користи социјален инженеринг за да дистрибуира нов, специјално изработен малверски пакет наречен „Snow“, кој вклучува екстензија за прелистувач, алатка за тунелирање и бекдор.

Целта на напаѓачите е кражба на чувствителни податоци по длабока мрежна компромитација преку кражба на креденцијали и преземање на домен контрола.

Според истражувачите од Google Mandiant, напаѓачите користат техника наречена „email bombing“ за да создадат чувство на итност, по што ги контактираат жртвите преку Microsoft Teams, претставувајќи се како ИТ поддршка.

Во неодамнешен извештај на Microsoft се нагласува дека ваквата техника сè повеќе се користи во сајбер-криминал, при што корисниците се измамуваат да им дозволат далечински пристап на напаѓачите преку алатки како Quick Assist или други решенија за remote access.

Во случајот со UNC6692, жртвата добива инструкција да кликне на линк за инсталација на „поправка“ која наводно блокира спам пораки. Во реалност, таа инсталира dropper кој извршува AutoHotkey скрипти и го вчитува „SnowBelt“ – злонамерна екстензија за Chrome.

Екстензијата се извршува во headless Microsoft Edge инстанца, така што жртвата не забележува никаква активност, додека истовремено се креираат и закажани задачи (scheduled tasks) и shortcut во startup folder за одржување на перзистентност.

„SnowBelt“ служи како механизам за перзистентност и како посредник за команди што операторот ги испраќа до Python-базиран бекдор наречен „SnowBasin“.

Командите се доставуваат преку WebSocket тунел воспоставен од алатка за тунелирање наречена „SnowGlaze“, со цел да се прикрие комуникацијата помеѓу инфицираниот систем и командно-контролната (C2) инфраструктура.

SnowGlaze исто така овозможува SOCKS прокси функционалност, со што може да се пренасочува произволен TCP сообраќај преку компромитираниот хост.

SnowBasin работи локален HTTP сервер и извршува CMD или PowerShell команди испратени од напаѓачот на инфицираниот систем, а резултатите ги враќа преку истиот комуникациски канал.

Малверот поддржува далечински shell пристап, ексфилтрација на податоци, преземање фајлови, правење слики од екран (screenshot) и основни операции за управување со датотеки.

Операторот исто така може да издаде команда за само-терминација, со која се исклучува бекдорот на инфицираниот хост.

Mandiant откри дека по компромитирањето, напаѓачите извршиле интерно извидување (internal reconnaissance), скенирајќи сервиси како SMB и RDP за да идентификуваат дополнителни цели, по што се движеле латерално низ мрежата.

Напаѓачите извршиле dump на LSASS меморијата за да извлечат креденцијални податоци и користеле техники „pass-the-hash“ за автентикација на други хостови, сè додека не стигнале до домен контролерите.

Во финалната фаза на нападот, заканувачот користел FTK Imager за екстракција на Active Directory базата, заедно со SYSTEM, SAM и SECURITY registry хивовите.

Овие фајлови биле ексфилтрирани од мрежата преку LimeWire, со што напаѓачите добиле пристап до чувствителни креденцијали низ целиот домен.

Извештајот обезбедува обемни индикатори на компромитација (IoCs), како и YARA правила за помош при детекција на „Snow“ алатките.

Извори:

• Bleeping Computer – Threat actor uses Microsoft Teams to deploy new “Snow” malware Bleeping Computer