Hakerzy podszywają się pod pracowników Microsoft Teams, aby wdrożyć złośliwe oprogramowanie SNOW
Nowo zidentyfikowana grupa zagrożeń wykorzystuje Microsoft Teams do udawania pracowników działu pomocy technicznej IT, bombardowania firmowych skrzynek odbiorczych spamem, a następnie wdrażania niestandardowego pakietu złośliwego oprogramowania w sieciach korporacyjnych. Google Threat Intelligence Group i Mandiant ujawniły kampanię, przypisując ją do klastra, który śledzą jako UNC6692.
Jak UNC6692 dostaje się do sieci
Zgodnie z raportem, atak rozpoczyna się od masowego bombardowania wiadomości e-mail https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware skierowanego przeciwko celowi, zalewającego jego skrzynkę odbiorczą w celu wywołania poczucia kryzysu. Następnie atakujący kontaktuje się za pośrednictwem Microsoft Teams z zewnętrznego konta, podając się za wsparcie IT i oferując naprawienie problemu ze spamem.
Dodatkowe raporty https://cybersecuritynews.com/microsoft-teams-breach-organizations/ przekazały, że pracownicy, którzy zaakceptują zaproszenie do czatu, otrzymują link phishingowy, który przenosi ich na przekonującą fałszywą stronę o nazwie "Mailbox Repair and Sync Utility v2.1.5"
Fałszywy przycisk Health Check na tej stronie zbiera dane uwierzytelniające skrzynki pocztowej i wysyła je prosto do kontrolowanego przez atakującego wiadra AWS S3. Według Mandiant, skrypt AutoHotKey również pobiera się po cichu w tle i rozpoczyna instalację zestawu narzędzi złośliwego oprogramowania grupy.
Co właściwie robi SNOW
Zestaw narzędzi składa się z trzech komponentów, zgodnie z ustaleniami raportu https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware. SNOWBELT to złośliwe rozszerzenie przeglądarki Chromium, które podszywa się pod "MS Heartbeat" lub "System Heartbeat" i działa jako główny backdoor.
SNOWGLAZE to tunel oparty na Pythonie, który przesyła ruch przez maszynę ofiary do serwera dowodzenia i kontroli grupy za pośrednictwem WebSocket. Zawija dane w zakodowany w Base64 JSON, aby wyglądały jak standardowy zaszyfrowany ruch internetowy.
SNOWBASIN znajduje się pod tym wszystkim jako trwały backdoor, dając atakującemu zdalne wykonywanie poleceń, przechwytywanie zrzutów ekranu i dostęp do plików na żądanie. Mandiant twierdzi, że razem te trzy komponenty dają UNC6692 ciche, trwałe przyczółki, które wtapiają się w rutynową aktywność przeglądarki i sieci.
Co dalej
Z początkowego przyczółka grupa skanuje sieć lokalną w poszukiwaniu otwartych portów i kieruje się w stronę kontrolerów domeny za pomocą Pass-the-Hash ze skradzionymi skrótami haseł NTLM. Według Mandiant, grupa wyodrębnia pamięć procesową LSASS z serwera kopii zapasowych i eksfiltruje ją za pośrednictwem LimeWire, wyciągając dane uwierzytelniające ze środowiska ofiary w celu przetwarzania offline.
Po wejściu na kontroler domeny, Mandiant twierdzi, że UNC6692 używa FTK Imager do wyciągnięcia pliku bazy danych Active Directory, wraz z Security Account Manager i SYSTEM registry hives, a następnie ponownie eksfiltruje wszystko przez LimeWire przed wykonaniem zrzutów ekranu kontrolera domeny.
Raport ujawnia, że Microsoft Teams wyświetla ostrzeżenie, gdy przychodzą wiadomości spoza organizacji. Wszelkie niezamówione zewnętrzne prośby o wsparcie powinny zostać zweryfikowane za pośrednictwem znanego kanału wewnętrznego przed przyznaniem jakiegokolwiek dostępu.
