Co znajdziesz w tym artykule?
Wprowadzenie do problemu / definicja
Aktywność oznaczona jako UNC6692 pokazuje, że współczesne kampanie intruzów coraz częściej odchodzą od klasycznego phishingu e-mail i przenoszą się do narzędzi codziennej komunikacji firmowej. W tym przypadku napastnicy podszywają się pod pracowników wsparcia IT w Microsoft Teams i wykorzystują presję sytuacyjną, aby skłonić ofiarę do uruchomienia działań, które prowadzą do infekcji.
To szczególnie niebezpieczny model ataku, ponieważ nie wymaga wykorzystywania zaawansowanej luki w samej platformie. Jego skuteczność opiera się przede wszystkim na socjotechnice, zaufaniu do narzędzi korporacyjnych oraz przekonaniu użytkownika, że wykonuje legalne polecenia administracyjne.
W skrócie
UNC6692 to klaster zagrożeń, który kontaktuje się z ofiarami przez Microsoft Teams pod pretekstem pomocy technicznej. Kampania często rozpoczyna się od zalewu skrzynki wiadomościami spamowymi, co ma wywołać chaos i zwiększyć podatność użytkownika na kontakt ze strony rzekomego helpdesku.
Po zdobyciu zaufania ofiary atakujący uruchamiają łańcuch infekcji prowadzący do wdrożenia pakietu malware SNOW. Zestaw ten obejmuje moduły odpowiedzialne za zdalny dostęp, tunelowanie ruchu, wykonywanie poleceń, utrzymanie dostępu i przygotowanie danych do eksfiltracji.
- wejście przez socjotechnikę w Microsoft Teams,
- wykorzystanie fałszywej pomocy technicznej,
- dostarczenie modułowego malware SNOW,
- ruch boczny i kradzież poświadczeń,
- wykorzystanie legalnych usług i narzędzi do ukrycia działań.
Kontekst / historia
Podszywanie się pod helpdesk nie jest nową techniką, ale w ostatnich latach wyraźnie ewoluowało. Zamiast ograniczać się do wiadomości e-mail lub rozmów telefonicznych, napastnicy coraz częściej wykorzystują komunikatory firmowe, narzędzia zdalnej pomocy i środowiska chmurowe, które użytkownicy uznają za wiarygodne.
Model operacyjny obserwowany w kampaniach tego typu zwykle łączy presję psychologiczną z legalnie wyglądającym procesem wsparcia. Ofiara nie tylko otrzymuje wiadomość, ale jest aktywnie prowadzona przez kolejne etapy rzekomej naprawy problemu. To znacząco zwiększa skuteczność ataku i utrudnia jego wykrycie przez tradycyjne szkolenia antyphishingowe oparte głównie na analizie poczty.
Przypadek UNC6692 wpisuje się w ten trend, ale wyróżnia się użyciem własnego, modułowego zestawu malware, który rozszerza możliwości intruza od dostępu początkowego aż po działania post-exploitation i eksfiltrację danych.
Analiza techniczna
Łańcuch ataku zaczyna się od przygotowania ofiary. Napastnicy generują zamieszanie, na przykład przez masowy spam, a następnie kontaktują się przez Teams jako rzekomy dział wsparcia IT. Celem jest stworzenie wrażenia pilnej potrzeby interwencji i skłonienie użytkownika do wykonania poleceń bez dodatkowej weryfikacji.
W opisanym scenariuszu ofiara była kierowana do strony phishingowej podszywającej się pod narzędzie naprawy skrzynki pocztowej. Po interakcji następowało pobranie skryptu AutoHotkey z infrastruktury kontrolowanej przez atakującego. Skrypt pełnił funkcję pierwszego etapu wdrożenia i przygotowywał środowisko do pobrania kolejnych komponentów.
Jednym z kluczowych elementów był SNOWBELT, czyli złośliwe rozszerzenie dla przeglądarki opartej na Chromium. Moduł był ładowany do Microsoft Edge przy użyciu parametrów uruchomieniowych umożliwiających dołączanie rozszerzeń. Taka technika pokazuje, że atakujący coraz częściej nadużywają samego środowiska przeglądarki jako platformy wykonawczej zamiast polegać wyłącznie na klasycznych binariach.
W dalszym etapie pobierane były kolejne moduły, w tym SNOWGLAZE i SNOWBASIN, a także dodatkowe skrypty AutoHotkey i archiwum ZIP zawierające przenośne środowisko Python. Architektura kampanii wskazuje na modularność i możliwość dynamicznego rozbudowywania funkcji w zależności od potrzeb operacji.
Funkcjonalnie poszczególne komponenty pełniły odrębne role:
- SNOWBELT odpowiadał za sterowanie i pośredniczenie w wykonywaniu poleceń,
- SNOWGLAZE zestawiał uwierzytelniony tunel WebSocket pomiędzy środowiskiem ofiary a serwerem dowodzenia,
- SNOWBASIN zapewniał trwałość, zdalne wykonywanie poleceń, zrzuty ekranu, transfer plików i funkcje samo-usunięcia.
Według opisu jeden z modułów działał lokalnie jako serwer HTTP na portach 8000, 8001 lub 8002. Zaobserwowano też mechanizmy typu gatekeeper, których zadaniem było ograniczenie dostarczania ładunku tylko do wybranych ofiar oraz utrudnienie analizy w środowiskach testowych.
Po uzyskaniu dostępu początkowego atakujący przechodzili do działań post-exploitation. Obejmowały one skanowanie sieci pod kątem usług zdalnych i administracyjnych, zestawianie sesji PsExec, tunelowanie RDP, pozyskiwanie pamięci procesu LSASS oraz wykorzystanie techniki Pass-the-Hash do ruchu bocznego. Końcowym etapem było przygotowanie i wyprowadzenie danych z użyciem narzędzi oraz usług wyglądających na legalne.
Konsekwencje / ryzyko
Największe zagrożenie w kampanii UNC6692 wynika z połączenia zaawansowanej socjotechniki, wykorzystania zaufanych kanałów komunikacji i modułowego malware. Taki zestaw utrudnia wykrycie zarówno użytkownikowi, jak i systemom bezpieczeństwa bazującym wyłącznie na reputacji plików lub domen.
Dla organizacji ryzyko obejmuje przejęcie stacji roboczej, kradzież poświadczeń, eskalację uprawnień, ruch boczny do systemów o wysokiej wartości oraz eksfiltrację danych. W środowiskach silnie zintegrowanych z Active Directory lub systemami administracyjnymi nawet pojedyncza udana interakcja użytkownika może stać się punktem wyjścia do szerszej kompromitacji infrastruktury.
Szczególnie groźne jest też to, że atak odbywa się w kanałach postrzeganych jako wewnętrzne i bezpieczne. Użytkownicy znacznie rzadziej kwestionują wiadomość w Teams lub prośbę o użycie narzędzia zdalnej pomocy niż klasyczny e-mail phishingowy, co zwiększa prawdopodobieństwo powodzenia kampanii.
Rekomendacje
Organizacje powinny traktować Microsoft Teams i inne platformy współpracy jako pełnoprawną powierzchnię ataku. Konieczny jest przegląd ustawień dotyczących kontaktów zewnętrznych, komunikacji między tenantami, połączeń głosowych oraz funkcji zdalnej pomocy. Tam, gdzie to możliwe, warto ograniczyć kontakt z nieznanymi tenantami i wdrożyć dodatkowe mechanizmy akceptacji.
Równie ważne jest wdrożenie formalnego procesu weryfikacji działań helpdesku. Każda niezamówiona prośba o uruchomienie narzędzia, kliknięcie linku, instalację komponentu lub podanie danych logowania powinna być potwierdzana niezależnym kanałem, na przykład przez oficjalny numer wsparcia lub system zgłoszeń.
Po stronie technicznej warto zwiększyć poziom monitoringu oraz korelacji zdarzeń na styku tożsamości, endpointów i komunikatorów. Należy zwracać uwagę na nietypowe zachowania związane z sesjami pomocy zdalnej, uruchamianiem interpretera poleceń i komunikacją sieciową.
- monitorowanie uruchamiania QuickAssist.exe, PowerShell i cmd.exe,
- wykrywanie wykonywania kodu z katalogów zapisywalnych przez użytkownika,
- analiza nietypowego ładowania rozszerzeń i komponentów przeglądarki,
- kontrola lokalnych serwerów HTTP i ruchu na portach 8000–8002,
- wdrożenie reguł ASR i polityk WDAC ograniczających nieautoryzowane uruchomienia,
- monitorowanie prób dostępu do LSASS i zachowań charakterystycznych dla Pass-the-Hash,
- szkolenie użytkowników z rozpoznawania fałszywego helpdesku i kontaktów zewnętrznych.
Podsumowanie
Kampania UNC6692 potwierdza, że nowoczesne ataki coraz częściej wykorzystują narzędzia współpracy jako wygodny kanał wejścia do organizacji. Podszywanie się pod helpdesk IT w Microsoft Teams, wsparte presją operacyjną i legalnie wyglądającymi działaniami, tworzy bardzo skuteczną ścieżkę do przejęcia systemów.
Z perspektywy obrony kluczowe jest połączenie kontroli technicznych z procedurami operacyjnymi i realnym treningiem użytkowników. Sama świadomość phishingu e-mail nie wystarcza, jeśli organizacja nie uwzględnia scenariuszy ataku realizowanych przez komunikatory, narzędzia pomocy zdalnej i zaufane usługi chmurowe.
Źródła
- The Hacker News — UNC6692 Impersonates IT Helpdesk via Microsoft Teams to Deploy SNOW Malware — https://thehackernews.com/2026/04/unc6692-impersonates-it-helpdesk-via.html
- Microsoft Security Blog — Cross-tenant helpdesk impersonation to data exfiltration: A human-operated intrusion playbook — https://www.microsoft.com/en-us/security/blog/2026/04/18/crosstenant-helpdesk-impersonation-data-exfiltration-human-operated-intrusion-playbook/
- Google Cloud Blog / Mandiant — Threat Intelligence portal — https://cloud.google.com/blog/topics/threat-intelligence?hl=en
- SC Media — Microsoft Teams, Quick Assist weaponized in helpdesk spoofing intrusions — https://www.scworld.com/brief/microsoft-teams-quick-assist-weaponized-intrusions
- TechRepublic — Hackers Impersonate IT Help Desk on Microsoft Teams to Gain Access, Steal Data — https://www.techrepublic.com/article/news-hackers-microsoft-teams-social-engineering-it-help-desk-scam/