Пријави инцидент
Пријави инцидент
Преглед на приватноста

Оваа веб-страница користи колачиња за да ви обезбеди најдобро можно корисничко искуство. Информациите за колачињата се складираат во вашиот прелистувач и извршуваат функции како препознавање кога се враќате на нашата веб-страница и им помагаат на нашите програмери да разберат кои делови од веб-страницата ви се најинтересни и најкорисни.

Строго неопходни колачиња

Строго неопходните колачиња треба да бидат овозможени во секое време за да можеме да ги зачуваме вашите поставки за колачиња.

Powered by  GDPR Cookie Compliance

UNC6692 се претставува како ИТ хелпдеск преку Microsoft Teams за да распореди SNOW малициозен софтвер

Објавено: 24.04.2026

Претходно недокументиран кластер на закани познат како UNC6692 е забележан како користи тактики на социјален инженеринг преку Microsoft Teams за да распореди сопствен пакет на малициозен софтвер на компромитирани системи.

„Како и кај многу други упади во последниве години, UNC6692 во голема мера се потпира на претставување како вработени од ИТ хелпдеск, убедувајќи ја жртвата да прифати покана за разговор на Microsoft Teams од сметка надвор од нивната организација“, соопшти компанијата Mandiant, во сопственост на Google, во извештај објавен денес.

UNC6692 е поврзан со голема е-пошта кампања дизајнирана да го преплави сандачето на целта со огромен број спам пораки, создавајќи лажно чувство на итност. Потоа напаѓачот ѝ пристапува на жртвата преку Microsoft Teams, испраќајќи порака во која тврди дека е од ИТ поддршката и нуди помош за проблемот со „бомбардирање“ на е-поштата.

Вреди да се напомене дека оваа комбинација на преплавување на е-пошта, проследено со претставување како хелпдеск преку Microsoft Teams, одамна е тактика што ја користеле поранешни поврзани лица со Black Basta. Иако групата ги прекина своите ransomware операции рано минатата година, овој модел на напад не покажува знаци на забавување.

Во извештај објавен минатата недела, ReliaQuest откри дека овој пристап се користи за таргетирање директори и вработени на високи позиции со цел иницијален пристап до корпоративни мрежи, што може да доведе до кражба на податоци, странично движење низ системите, поставување ransomware и изнуда. Во некои случаи, разговорите биле започнати со разлика од само 29 секунди.

Целта на разговорот е да се измамат жртвите да инсталираат легитимни алатки за далечинско следење и управување (RMM), како Quick Assist или Supremo Remote Desktop, за да се овозможи директен пристап, кој потоа се злоупотребува за испорака на дополнителни злонамерни компоненти.

„Од 1 март до 1 април 2026 година, 77% од забележаните инциденти биле насочени кон вработени на високи позиции, што е пораст од 59% во првите два месеци од 2026 година“, изјавија истражувачите на ReliaQuest, Џон Дилген и Алекса Феминела. „Оваа активност покажува дека најефикасните тактики на една заканувачка група можат да опстојат долго по нејзиното исчезнување.“

Од друга страна, синџирот на напад опишан од Mandiant отстапува од овој пристап, бидејќи жртвата се упатува да кликне на фишинг линк споделен преку Teams разговор за да инсталира локален „patch“ со цел решавање на проблемот со спам. По кликнувањето, се презема AutoHotkey скрипта од AWS S3 складиште контролирано од напаѓачот. Фишинг страницата е именувана како „Mailbox Repair and Sync Utility v2.1.5“.

Скриптата е дизајнирана да изврши почетно извидување, а потоа да инсталира SNOWBELT — злонамерна екстензија за прелистувач базирана на Chromium — во Edge прелистувачот, стартувајќи го во headless режим со командната опција „–load-extension“.

„Напаѓачот користел ‘gatekeeper’ скрипта дизајнирана да осигура дека малициозниот товар ќе биде испорачан само до наменетите цели, додека воедно се избегнуваат автоматизирани безбедносни sandbox системи“, изјавија истражувачите на Mandiant, Џеј Пи Глаб, Туфаил Ахмед, Џош Кели и Мухамед Умаир.

„Скриптата исто така го проверува прелистувачот на жртвата. Ако корисникот не користи Microsoft Edge, страницата прикажува постојан предупредувачки overlay. Користејќи ја SNOWBELT екстензијата, UNC6692 презема дополнителни датотеки, вклучувајќи SNOWGLAZE, SNOWBASIN, AutoHotkey скрипти и ZIP архива што содржи пренослива Python извршна датотека и потребни библиотеки.“

Фишинг страницата е исто така дизајнирана да прикажува Configuration Management Panel со истакнато копче „Health Check“, кое при кликнување ги поттикнува корисниците да ги внесат своите податоци за е-пошта наводно за автентикација, но всушност тие се користат за собирање и испраќање на податоците во друг Amazon S3 bucket.

SNOW малициозниот екосистем е модуларен пакет алатки кои работат заедно за да ги постигнат целите на напаѓачот. Додека SNOWBELT е JavaScript-базиран бекдор кој прима команди и ги проследува до SNOWBASIN за извршување, SNOWGLAZE е Python-базиран тунелатор кој создава безбеден, автентициран WebSocket тунел помеѓу внатрешната мрежа на жртвата и серверот за команда и контрола (C2) на напаѓачот.

Третата компонента е SNOWBASIN, кој функционира како постојан бекдор за овозможување далечинско извршување на команди преку „cmd.exe“ или „powershell.exe“, снимање на екранот, upload/download на датотеки и самоуништување. Тој работи како локален HTTP сервер на портите 8000, 8001 или 8002.

Некои од другите активности по компромитацијата што ги извршува UNC6692 по добивање почетен пристап се следниве:

  • Користење Python скрипта за скенирање на локалната мрежа за портите 135, 445 и 3389 со цел странично движење, воспоставување PsExec сесија до системот на жртвата преку SNOWGLAZE тунел, и иницирање RDP сесија преку истиот тунел кон резервен сервер.
  • Користење локална администраторска сметка за извлекување на меморијата од LSASS процесот преку Windows Task Manager со цел ескалација на привилегии.
  • Користење на техниката Pass-The-Hash за странично движење кон домен контролери преку хешови на лозинки од привилегирани корисници, преземање и извршување FTK Imager за собирање чувствителни податоци (на пр. Active Directory база), зачувување во папката \Downloads и нивно изнесување преку алатката LimeWire за upload на датотеки.

„Кампањата на UNC6692 покажува интересна еволуција во тактиките, особено во користењето на социјален инженеринг, сопствен малициозен софтвер и злонамерна екстензија за прелистувач, искористувајќи ја вродената доверба на жртвите во различни корпоративни софтверски провајдери“, соопшти технолошката компанија. „Клучен елемент на оваа стратегија е систематската злоупотреба на легитимни cloud услуги за испорака и изнесување на податоци, како и за инфраструктурата за команда и контрола (C2). Со хостирање на малициозни компоненти на доверливи cloud платформи, напаѓачите често можат да ги заобиколат традиционалните филтри базирани на репутација и да се вклопат во големиот обем на легитимен cloud сообраќај.“

Ова откритие доаѓа во време кога Cato Networks опиша кампања базирана на voice phishing која користи слично претставување како хелпдеск преку Microsoft Teams, насочувајќи ги жртвите да извршат WebSocket-базиран тројанец наречен PhantomBackdoor преку обфусцирана PowerShell скрипта преземена од надворешен сервер.

„Овој инцидент покажува како претставувањето како хелпдеск преку состанок на Microsoft Teams може да го замени традиционалниот фишинг и сепак да доведе до истиот исход: фазно извршување на PowerShell проследено со WebSocket бекдор“, соопшти компанијата за сајбер-безбедност.

„Одбранбените тимови треба да ги третираат алатките за соработка како примарни површини за напад, преку воведување процедури за верификација на хелпдеск, заострување на контролите за надворешни Teams комуникации и screen-sharing, како и зацврстување (hardening) на PowerShell.“

Злоупотребата на Microsoft Teams преку претставување како ИТ или хелпдеск персонал со цел да се манипулираат жртвите да им дадат далечински пристап на напаѓачите не остана незабележана од Microsoft. Компанијата предупреди дека заканувачките актери иницираат комуникации меѓу различни tenant-и преку платформата, со цел да воспостават интерактивна контрола преку Quick Assist или други алатки за далечинска поддршка, што овозможува извршување на злонамерен код.

Откако ќе се добие почетен пристап, напаѓачите вршат извидување, инсталираат дополнителни компоненти за воспоставување излезни енкриптирани врски кон инфраструктура за команда и контрола (C2), поставуваат резервен канал за далечински пристап преку Level RMM за да обезбедат постојаност дури и ако оригиналните елементи бидат откриени и отстранети, и на крај ги изнесуваат податоците користејќи ја алатката за синхронизација на датотеки Rclone.

„Овој пристапен пат може да се користи за изведување странично движење поткрепено со креденцијали преку нативни административни протоколи како Windows Remote Management (WinRM), овозможувајќи им на заканувачките актери да се префрлат кон ресурси со висока вредност, вклучително и домен контролери“, соопшти технолошката компанија.

„Во забележаните упади, дополнителен комерцијален софтвер за далечинско управување и алатки за пренос на податоци, како Rclone, биле користени за проширување на пристапот низ корпоративната околина и за подготовка на деловно релевантни информации за пренос кон надворешно cloud складиште. Овој синџир на напад во голема мера се потпира на легитимни апликации и административни протоколи, што им овозможува на напаѓачите да се вклопат во очекуваната активност во организацијата за време на повеќе фази од упадот.“

Извори:

  • The Hacker News – UNC6692 Impersonates IT Helpdesk via Microsoft Teams to Deploy SNOW Malware The Hacker News