Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
UNC6692 to nowo opisany klaster zagrożeń, który pokazuje, jak skuteczne stały się współczesne ataki wieloetapowe. W tej kampanii napastnicy łączą socjotechnikę, złośliwe rozszerzenia przeglądarkowe, niestandardowe narzędzia post-eksploatacyjne oraz legalną infrastrukturę chmurową, aby przejąć poświadczenia, utrwalić dostęp i przygotować grunt pod dalszą penetrację środowiska.
To istotna zmiana względem prostych kampanii phishingowych. Zamiast pojedynczego ładunku lub fałszywej strony logowania ofiara wciągana jest w scenariusz przypominający legalną interwencję działu wsparcia IT, co znacząco podnosi skuteczność operacji.
W skrócie
- UNC6692 wykorzystuje email bombing oraz kontakt przez Microsoft Teams w celu wywarcia presji na ofierze.
- Atak prowadzi do pobrania komponentów malware z legalnie wyglądającej infrastruktury AWS S3.
- W kampanii użyto zestawu „Snow”, obejmującego m.in. SNOWBELT, SNOWGLAZE i SNOWBASIN.
- Po uzyskaniu dostępu napastnicy prowadzą rekonesans, pozyskują dane z pamięci LSASS i przemieszczają się lateralnie.
- Celem może być przejęcie systemów o wysokiej wartości, w tym serwerów infrastrukturalnych i kontrolera domeny.
Kontekst / historia
Opisany łańcuch ataku został ujawniony pod koniec kwietnia 2026 roku w analizach opublikowanych przez zespoły threat intelligence i media branżowe. Kampania wyróżnia się tym, że nie zaczyna się od klasycznego phishingu, lecz od wygenerowania chaosu operacyjnego po stronie ofiary.
Pierwszym etapem jest bombardowanie skrzynki e-mail dużą liczbą wiadomości. Następnie napastnik kontaktuje się z użytkownikiem przez Microsoft Teams, podszywając się pod pracownika help desku, który rzekomo ma pomóc w opanowaniu problemu. Taki model działania wykorzystuje zaufanie do narzędzi współpracy i presję czasu, co zwiększa prawdopodobieństwo wykonania poleceń przez użytkownika.
Analiza techniczna
Łańcuch infekcji rozpoczyna się od przesłania ofierze linku w Teams. Link prowadzi do strony HTML, z której pobierany jest binarny plik AutoHotKey o zmienionej nazwie oraz towarzyszący mu skrypt AutoHotKey, hostowane w zasobie AWS S3 kontrolowanym przez napastników. Taka konstrukcja pozwala na uruchomienie skryptu przy użyciu interpretera bez wzbudzania od razu podejrzeń związanych z klasycznym malware.
Na wczesnym etapie kampanii uruchamiany jest rekonesans środowiska oraz instalowany komponent SNOWBELT. Jest to złośliwe rozszerzenie oparte na Chromium, które nie pochodzi z oficjalnego sklepu i pełni funkcję mechanizmu trwałości oraz kanału dostarczania kolejnych modułów.
Następnie pobierane są dalsze elementy zestawu „Snow”. SNOWGLAZE działa jako tuneler oparty na Pythonie, natomiast SNOWBASIN zapewnia trwały backdoor umożliwiający zdalne wykonywanie poleceń. Wraz z nimi dostarczane są dodatkowe skrypty, przenośne środowisko Python i wymagane biblioteki, co pokazuje wysoki poziom przygotowania operacyjnego napastników.
Po ustanowieniu przyczółka operatorzy skanują sieć lokalną pod kątem portów 135, 445 i 3389 oraz enumerują konta z uprawnieniami administratora lokalnego. Kolejny etap obejmuje wykorzystanie uprzywilejowanego konta do zestawienia sesji RDP przez tunel SNOWGLAZE do serwera kopii zapasowych, co wskazuje na celowy dobór systemów o wysokiej wartości operacyjnej.
Następnie dochodzi do pozyskania pamięci procesu LSASS na zainfekowanym systemie pośrednim. Umożliwia to wydobycie poświadczeń, hashy i innych artefaktów uwierzytelniających, które mogą zostać użyte do ruchu bocznego. W opisywanej kampanii kolejnym krokiem jest zastosowanie techniki pass-the-hash w celu uzyskania dostępu do kontrolera domeny i rozszerzenia zasięgu kompromitacji.
Jednym z najważniejszych aspektów tej operacji jest nadużycie legalnej infrastruktury chmurowej. Wykorzystanie AWS S3 do hostowania komponentów i wspierania działań operacyjnych utrudnia wykrywanie na podstawie reputacji adresów lub domen. Ruch związany z atakiem może wyglądać jak zwykła aktywność biznesowa skierowana do popularnych usług chmurowych.
Konsekwencje / ryzyko
Ryzyko związane z kampanią UNC6692 należy ocenić jako wysokie. Atak łączy manipulację psychologiczną, wykorzystanie zaufanych kanałów komunikacji, trwałość na poziomie przeglądarki oraz techniki kradzieży poświadczeń i ruchu lateralnego.
Dla organizacji skutki mogą obejmować pełny kompromis stacji roboczej użytkownika, przejęcie kont uprzywilejowanych, dostęp do serwerów kopii zapasowych oraz naruszenie kontrolera domeny. W praktyce oznacza to zagrożenie dla integralności Active Directory, poufności danych i dostępności kluczowych usług biznesowych.
Modułowa budowa zestawu „Snow” dodatkowo zwiększa ryzyko, ponieważ pozwala operatorom elastycznie dopasować działania do konkretnego środowiska. To utrudnia obronę opartą wyłącznie na statycznych regułach wykrywania.
Rekomendacje
Organizacje powinny traktować komunikatory korporacyjne jako pełnoprawny wektor phishingu i socjotechniki. Microsoft Teams oraz podobne platformy powinny być objęte monitoringiem bezpieczeństwa zbliżonym do ochrony poczty elektronicznej, a komunikacja międzydzierżawna powinna być ograniczana tam, gdzie nie jest niezbędna biznesowo.
W warstwie technicznej warto skupić się na monitorowaniu i blokowaniu następujących zachowań:
- uruchamianie AutoHotKey i innych interpreterów skryptowych w nietypowych kontekstach,
- instalacja nieautoryzowanych rozszerzeń Chromium,
- uruchamianie przenośnych środowisk Python,
- nietypowe połączenia do usług chmurowych,
- próby odczytu pamięci LSASS,
- nietypowe wykorzystanie RDP, SMB i RPC oraz ustanawianie tuneli.
Dobrym kierunkiem są również kontrola aplikacji, blokowanie niezatwierdzonych rozszerzeń przeglądarek, ograniczanie uprawnień lokalnych administratorów i segmentacja sieci. Szczególne znaczenie ma korelowanie telemetrii z przeglądarek, EDR, logów systemowych, aktywności tożsamościowej i ruchu wychodzącego do chmury.
Od strony procesowej konieczne są szkolenia użytkowników. Pracownicy powinni wiedzieć, że help desk nie powinien przekazywać narzędzi naprawczych przez komunikator bez formalnej i wcześniej znanej procedury. Każde żądanie instalacji oprogramowania po kontakcie w Teams powinno być weryfikowane drugim, zaufanym kanałem.
Podsumowanie
Kampania UNC6692 pokazuje, że nowoczesne ataki enterprise coraz częściej opierają się nie na pojedynczej luce, lecz na skutecznym łączeniu wielu znanych technik. Socjotechnika, złośliwe rozszerzenia, skrypty, Python i legalna chmura tworzą tu spójny oraz trudny do wykrycia model kompromitacji.
Dla zespołów bezpieczeństwa to sygnał, że ochrona poczty elektronicznej nie wystarcza. Konieczne są szersza widoczność telemetryczna, lepsza ochrona narzędzi współpracy oraz bardziej restrykcyjna kontrola rozszerzeń przeglądarek i ruchu do usług chmurowych.