【安全圈】UNC6692 通過(guò)微軟 Teams 冒充 IT 服務(wù)臺(tái)部署 SNOW 惡意軟件

關(guān)鍵詞

惡意軟件

一個(gè)此前未被記錄的威脅活動(dòng)集群 UNC6692，被發(fā)現(xiàn)通過(guò)微軟 Teams 利用社會(huì)工程策略，在受入侵主機(jī)上部署一套定制的惡意軟件。

谷歌旗下的Mandiant在今日發(fā)布的一份報(bào)告中指出：“與近年來(lái)的許多其他入侵事件一樣，UNC6692 嚴(yán)重依賴冒充 IT 服務(wù)臺(tái)員工，誘使受害者接受來(lái)自組織外部賬戶的微軟 Teams 聊天邀請(qǐng)。”

UNC6692 與一場(chǎng)大規(guī)模的電子郵件活動(dòng)有關(guān)，該活動(dòng)旨在用大量垃圾郵件淹沒(méi)目標(biāo)的收件箱，制造一種緊迫感。隨后，威脅行為者通過(guò)微軟 Teams 聯(lián)系目標(biāo)，聲稱自己來(lái)自 IT 支持團(tuán)隊(duì)，可為電子郵件轟炸問(wèn)題提供幫助。

值得注意的是，用垃圾郵件轟炸受害者收件箱，隨后通過(guò)微軟 Teams 冒充服務(wù)臺(tái)，這種策略長(zhǎng)期以來(lái)一直被前 Black Basta 組織成員采用。盡管該組織在去年年初停止了勒索軟件業(yè)務(wù)，但這一策略并未有放緩的跡象。

在上周發(fā)布的一份報(bào)告中，ReliaQuest 透露，這種方法正被用于針對(duì)企業(yè)高管和高級(jí)員工，以獲取企業(yè)網(wǎng)絡(luò)的初始訪問(wèn)權(quán)限，從而進(jìn)行潛在的數(shù)據(jù)盜竊、橫向移動(dòng)、部署勒索軟件和實(shí)施勒索。在某些情況下，聊天邀請(qǐng)間隔僅 29 秒。

對(duì)話的目的是誘騙受害者安裝 Quick Assist 或 Supremo Remote Desktop 等合法的遠(yuǎn)程監(jiān)控和管理（RMM）工具，以實(shí)現(xiàn)直接訪問(wèn)，然后利用這些工具投放更多有效載荷。

ReliaQuest 的研究人員約翰?迪爾根（John Dilgen）和亞歷克薩?費(fèi)米內(nèi)拉（Alexa Feminella）表示：“在 2026 年 3 月 1 日至 4 月 1 日期間，77% 的觀測(cè)事件針對(duì)高級(jí)員工，高于 2026 年前兩個(gè)月的 59%。這一活動(dòng)表明，一個(gè)威脅組織最有效的策略可能在該組織消失后仍長(zhǎng)期存在。”

另一方面，Mandiant 詳細(xì)描述的攻擊鏈與上述方法有所不同。受害者被指示點(diǎn)擊通過(guò) Teams 聊天分享的網(wǎng)絡(luò)釣魚鏈接，以安裝本地補(bǔ)丁來(lái)解決垃圾郵件問(wèn)題。點(diǎn)擊鏈接后，會(huì)從威脅行為者控制的亞馬遜云服務(wù)（AWS）S3 存儲(chǔ)桶下載一個(gè) AutoHotkey 腳本。網(wǎng)絡(luò)釣魚頁(yè)面名為 “郵箱修復(fù)與同步工具 v2.1.5”。

該腳本旨在進(jìn)行初步偵察，然后通過(guò) “--load - extension” 命令行開(kāi)關(guān)，以無(wú)頭模式啟動(dòng)，在 Edge 瀏覽器上安裝 SNOWBELT，這是一個(gè)惡意的基于 Chromium 的瀏覽器擴(kuò)展。

Mandiant 的研究人員 JP?格拉布（JP Glab）、圖費(fèi)爾?艾哈邁德（Tufail Ahmed）、喬希?凱利（Josh Kelley）和穆罕默德?烏邁爾（Muhammad Umair）表示：“攻擊者使用了一個(gè)看門狗腳本，旨在確保有效載荷僅交付給目標(biāo)，同時(shí)避開(kāi)自動(dòng)化安全沙箱。該腳本還會(huì)檢查受害者的瀏覽器。如果用戶未使用微軟 Edge，頁(yè)面會(huì)顯示一個(gè)持續(xù)的覆蓋警告。通過(guò) SNOWBELT 擴(kuò)展，UNC6692 下載了包括 SNOWGLAZE、SNOWBASIN、AutoHotkey 腳本，以及一個(gè)包含便攜式 Python 可執(zhí)行文件和所需庫(kù)的 ZIP 存檔在內(nèi)的其他文件。”

網(wǎng)絡(luò)釣魚頁(yè)面還設(shè)計(jì)了一個(gè)配置管理面板，上面有一個(gè)醒目的 “健康檢查” 按鈕。點(diǎn)擊該按鈕會(huì)提示用戶輸入郵箱憑據(jù)，表面上是為了進(jìn)行身份驗(yàn)證，但實(shí)際上是用于收集并將數(shù)據(jù)滲出到另一個(gè)亞馬遜 S3 存儲(chǔ)桶。

SNOW 惡意軟件生態(tài)系統(tǒng)是一個(gè)模塊化工具包，協(xié)同工作以實(shí)現(xiàn)攻擊者的目標(biāo)。SNOWBELT 是一個(gè)基于 JavaScript 的后門程序，接收命令并將其轉(zhuǎn)發(fā)給 SNOWBASIN 執(zhí)行；SNOWGLAZE 是一個(gè)基于 Python 的隧道工具，在受害者內(nèi)部網(wǎng)絡(luò)和攻擊者的命令與控制（C2）服務(wù)器之間創(chuàng)建一個(gè)安全的、經(jīng)過(guò)身份驗(yàn)證的 WebSocket 隧道。

第三個(gè)組件是 SNOWBASIN，它作為一個(gè)持久化后門程序，在端口 8000、8001 或 8002 上作為本地 HTTP 服務(wù)器運(yùn)行。

UNC6692 在獲得初始訪問(wèn)權(quán)限后執(zhí)行的一些其他利用后操作如下：

• 使用 Python 腳本掃描本地網(wǎng)絡(luò)上的端口 135、445 和 3389，以進(jìn)行橫向移動(dòng)，通過(guò) SNOWGLAZE 隧道工具建立到受害者系統(tǒng)的 PsExec 會(huì)話，并通過(guò) SNOWGLAZE 隧道從受害者系統(tǒng)發(fā)起一個(gè)到備份服務(wù)器的遠(yuǎn)程桌面協(xié)議（RDP）會(huì)話。

• 利用本地管理員賬戶，通過(guò) Windows 任務(wù)管理器提取系統(tǒng)的本地安全授權(quán)子系統(tǒng)服務(wù)（LSASS）進(jìn)程內(nèi)存，以提升權(quán)限。

• 使用哈希傳遞（Pass - The - Hash）技術(shù)，利用權(quán)限提升用戶的密碼哈希值橫向移動(dòng)到網(wǎng)絡(luò)的域控制器，下載并運(yùn)行 FTK Imager 捕獲敏感數(shù)據(jù)（如活動(dòng)目錄數(shù)據(jù)庫(kù)文件），并將其寫入 “\Downloads” 文件夾，然后使用 LimeWire 文件上傳工具滲出數(shù)據(jù)。

這家科技巨頭表示：“UNC6692 活動(dòng)展示了策略上的有趣演變，特別是社會(huì)工程、定制惡意軟件和惡意瀏覽器擴(kuò)展的使用，利用了受害者對(duì)多個(gè)不同企業(yè)軟件供應(yīng)商的固有信任。”

“這一策略的關(guān)鍵要素是系統(tǒng)地濫用合法云服務(wù)進(jìn)行有效載荷交付、滲出以及建立命令與控制（C2）基礎(chǔ)設(shè)施。通過(guò)在可信云平臺(tái)上托管惡意組件，攻擊者通常可以繞過(guò)傳統(tǒng)的網(wǎng)絡(luò)信譽(yù)過(guò)濾器，并混入大量合法云流量中。”

與此同時(shí)，Cato Networks）詳細(xì)描述了一場(chǎng)基于語(yǔ)音網(wǎng)絡(luò)釣魚的活動(dòng)，該活動(dòng)在微軟 Teams 上采用類似的冒充服務(wù)臺(tái)策略，引導(dǎo)受害者通過(guò)從外部服務(wù)器獲取的混淆 PowerShell 腳本，執(zhí)行一個(gè)名為 PhantomBackdoor 的基于 WebSocket 的木馬程序。

這家網(wǎng)絡(luò)安全公司表示：“這一事件表明，通過(guò)微軟 Teams 會(huì)議進(jìn)行的服務(wù)臺(tái)冒充如何能夠取代傳統(tǒng)網(wǎng)絡(luò)釣魚，并導(dǎo)致相同的結(jié)果：分階段執(zhí)行 PowerShell 腳本，隨后植入 WebSocket 后門。防御者應(yīng)將協(xié)作工具視為首要攻擊面，實(shí)施服務(wù)臺(tái)驗(yàn)證工作流程，收緊外部 Teams 和屏幕共享控制，并強(qiáng)化 PowerShell 安全設(shè)置。”

安全圈

網(wǎng)羅圈內(nèi)熱點(diǎn) 專注網(wǎng)絡(luò)安全

實(shí)時(shí)資訊一手掌握！

好看你就分享 有用就點(diǎn)個(gè)贊

支持「安全圈」就點(diǎn)個(gè)三連吧！