Un grup de amenințare folosește Microsoft Teams pentru a distribui noul malware „Snow”
Un grup de amenințare, cunoscut sub numele de UNC6692, utilizează ingineria socială pentru a desfășura o nouă suită de malware personalizată numită „Snow”, care include o extensie de browser, un tunel și o ușă din spate. Potrivit bleepingcomputer.com, scopul lor este de a fura date sensibile după o compromitere profundă a rețelei, prin furtul de acreditive și preluarea domeniului.
Cercetătorii de la Mandiant, parte a Google, au declarat că atacatorii folosesc tactici de „bombardare prin email” pentru a crea urgență, apoi contactează țintele prin Microsoft Teams, făcându-se că sunt agenți de asistență IT. Un raport recent de la Microsoft a subliniat popularitatea în creștere a acestei tactici în spațiul criminalității cibernetice, înșelând utilizatorii să ofere atacatorilor acces de la distanță prin Quick Assist sau alte instrumente de acces de la distanță.
👉 Modul de operare al malware-ului „Snow”
În cazul UNC6692, victima este indusă să facă clic pe un link pentru a instala un patch care ar bloca spamul prin email. În realitate, victimele primesc un dropper care execută scripturi AutoHotkey, încărcând „SnowBelt”, o extensie Chrome malițioasă. Extensia se execută pe o instanță headless Microsoft Edge, astfel încât victima să nu observe nimic, în timp ce sunt create sarcini programate și un shortcut în folderul de startup pentru persistență.
„SnowBelt” servește ca un mecanism de persistență și un mecanism de relay pentru comenzile trimise de operator către o ușă din spate bazată pe Python numită „SnowBasin”. Comenzile sunt livrate printr-un tunel WebSocket stabilit de un instrument de tunelare numit „SnowGlaze”, pentru a masca comunicațiile între gazdă și infrastructura de comandă și control (C2). SnowGlaze facilitează de asemenea operațiuni SOCKS proxy, permițând rutarea traficului TCP arbitrar prin gazda infectată.
👉 Funcționalitățile și operațiunile malware-ului „SnowBasin”
„SnowBasin” rulează un server HTTP local și execută comenzi CMD sau PowerShell furnizate de atacator pe sistemul infectat, reluând rezultatele operatorului prin aceeași canalizare. Malware-ul suportă acces shell de la distanță, exfiltrarea de date, descărcarea de fișiere, captarea de screenshot-uri și operațiuni de bază de gestionare a fișierelor. Operatorul poate de asemenea emite un command de auto-terminare pentru a închide ușa din spate pe gazdă.
Mandiant a constatat că, după compromitere, atacatorii au realizat recunoașteri interne, scanând pentru servicii precum SMB și RDP pentru a identifica ținte suplimentare, urmând să se deplaseze lateral în rețea. Atacatorii au dumpat memoria LSASS pentru a extrage materiale de acreditive și au folosit tehnici de pass-the-hash pentru a se autentifica la gazde suplimentare, ajungând în cele din urmă la controlerele de domeniu.
În ultima etapă a atacului, actorul de amenințare a desfășurat FTK Imager pentru a extrage baza de date Active Directory, împreună cu registrii SYSTEM, SAM și SECURITY. Aceste fișiere au fost exfiltrate din rețea folosind LimeWire, oferind atacatorilor acces la date sensibile de acreditive în întreaga rețea.
Raportul oferă indicatori extinși de compromitere (IoC-uri) și reguli YARA pentru a ajuta la detectarea setului de instrumente „Snow”. AI a combinat patru zero-days într-un singur exploit care a ocolit atât sandbox-urile renderer-ului cât și ale sistemului de operare. O nouă valvă de exploatări se apropie.
La Autonomous Validation Summit (12 și 14 mai), veți putea observa cum validarea autonomă, bogată în contexte, găsește ce este exploatabil, dovedește că măsurile de control sunt eficiente și închide bucla de remediere.
Microsoft a raportat că atacurile de phishing pe Microsoft Teams vizează angajații cu malware A0Backdoor, în timp ce exploatarea Teams în atacurile de impersonare a ajuns să fie din ce în ce mai frecventă. O suită de plugin-uri WordPress a fost, de asemenea, compromisă pentru a distribui malware către mii de site-uri. TeamPCP a desfășurat un wiper destinat Iranului în atacurile Kubernetes, iar malware-ul Slopoly generat de AI a fost utilizat în atacul ransomware Interlock.