UNC6692 atakuje przez Microsoft Teams i wdraża malware SNOW pod przykrywką helpdesku IT

Co znajdziesz w tym artykule?

1 Wprowadzenie do problemu / definicja
2 W skrócie
3 Kontekst / historia
4 Analiza techniczna
5 Konsekwencje / ryzyko
6 Rekomendacje
7 Podsumowanie
8 Źródła

Wprowadzenie do problemu / definicja

Kampania przypisywana klastrowi aktywności UNC6692 pokazuje, że komunikatory firmowe stały się pełnoprawnym wektorem ataku. W tym scenariuszu napastnicy wykorzystują Microsoft Teams do podszywania się pod pracowników wsparcia IT, a następnie nakłaniają ofiarę do uruchomienia fałszywego narzędzia naprawczego, które instaluje zestaw malware określany jako SNOW.

To model ataku łączący socjotechnikę, nadużycie zaufanych usług chmurowych oraz wykorzystanie legalnych funkcji systemowych. Efektem może być trwały dostęp do środowiska ofiary, przejęcie poświadczeń i szybkie przejście do działań post-exploitation.

W skrócie

UNC6692 kontaktuje się z ofiarą przez Microsoft Teams, podszywając się pod helpdesk IT.
Atak bywa poprzedzony spamem lub presją komunikacyjną, aby zwiększyć szansę na reakcję użytkownika.
Ofiara jest kierowana do fałszywego narzędzia „naprawy skrzynki”, które pobiera skrypt AutoHotkey.
Następnie instalowane są moduły SNOWBELT, SNOWGLAZE i SNOWBASIN.
Kampania obejmuje kradzież poświadczeń, tunelowanie ruchu, zdalne wykonywanie poleceń, ruch lateralny i eksfiltrację danych.

Kontekst / historia

Podszywanie się pod dział wsparcia IT nie jest nową techniką, jednak w ostatnim czasie wyraźnie rośnie znaczenie komunikatorów korporacyjnych jako kanału inicjowania ataków. Dla użytkownika wiadomość w Teams często wydaje się bardziej wiarygodna niż klasyczny e-mail phishingowy, ponieważ funkcjonuje w środowisku kojarzonym z komunikacją wewnętrzną.

Wcześniejsze kampanie tego typu często opierały się na legalnych narzędziach zdalnego wsparcia, takich jak Quick Assist lub różne platformy RMM. W przypadku UNC6692 widać jednak ewolucję podejścia: napastnicy nie ograniczają się do przejęcia sesji zdalnej, ale wdrażają własny, modularny zestaw malware, co zwiększa ich elastyczność i utrudnia wykrycie.

Istotnym elementem tła jest także selekcja ofiar. Ataki tego rodzaju są szczególnie niebezpieczne dla kadry menedżerskiej, administratorów oraz użytkowników mających dostęp do wrażliwych danych i systemów o wysokim poziomie uprzywilejowania.

Analiza techniczna

Łańcuch infekcji rozpoczyna się od kontaktu przez Microsoft Teams z konta zewnętrznego, które imituje dział wsparcia IT. Celem jest przekonanie ofiary do kliknięcia odsyłacza prowadzącego do spreparowanej strony udającej narzędzie naprawcze związane z pocztą lub konfiguracją konta.

Po uruchomieniu strony pobierany jest skrypt AutoHotkey hostowany w chmurze. Skrypt wykonuje wstępny rekonesans środowiska i sprawdza, czy urządzenie oraz przeglądarka odpowiadają założeniom operatora. Jeśli warunki są spełnione, uruchamiany jest komponent SNOWBELT.

SNOWBELT to złośliwe rozszerzenie oparte na Chromium, ładowane do Microsoft Edge przy użyciu parametru --load-extension. Taki mechanizm pozwala osadzić funkcje backdoora bez potrzeby natychmiastowego wdrażania klasycznego binarnego ładunku na pierwszym etapie ataku.

Ekosystem SNOW składa się z kilku współpracujących modułów:

SNOWBELT – backdoor w JavaScript, odpowiedzialny za wykonywanie poleceń i pośredniczenie w komunikacji.
SNOWGLAZE – moduł tunelujący oparty na Pythonie, zestawiający uwierzytelniony tunel WebSocket między siecią ofiary a infrastrukturą C2.
SNOWBASIN – trwały backdoor pozwalający na wykonywanie poleceń przez cmd.exe lub powershell.exe, przechwytywanie zrzutów ekranu, transfer plików i kontrolowane zakończenie działania.

Według dostępnych analiz SNOWBASIN może działać lokalnie jako serwer HTTP na portach 8000, 8001 lub 8002. To upraszcza komunikację między modułami i wspiera modularny charakter całej operacji.

W kampanii istotną rolę odgrywa także kradzież poświadczeń. Fałszywa strona prezentuje elementy przypominające panel diagnostyczny, w tym przycisk „Health Check”, który w praktyce służy do wyłudzenia danych logowania do skrzynki pocztowej. Poświadczenia są następnie przekazywane do infrastruktury kontrolowanej przez napastnika.

Po uzyskaniu przyczółka operatorzy przechodzą do klasycznych działań post-exploitation. Obejmują one skanowanie sieci lokalnej, tunelowanie ruchu, uruchamianie sesji RDP, pozyskiwanie pamięci procesu LSASS, wykorzystanie technik takich jak Pass-the-Hash, ruch lateralny do kontrolerów domeny oraz eksfiltrację danych związanych z Active Directory i innymi zasobami biznesowymi.

Konsekwencje / ryzyko

Ryzyko związane z kampanią UNC6692 należy ocenić jako wysokie. Atak łączy skuteczną socjotechnikę z własnym zestawem malware i technikami kojarzonymi z zaawansowanymi operacjami intruzyjnymi, w tym z działaniami poprzedzającymi ransomware lub szantaż oparty na wycieku danych.

przejęcie poświadczeń do usług pocztowych i kont korporacyjnych,
ustanowienie trwałego dostępu do stacji roboczej użytkownika,
uzyskanie zdalnej kontroli nad systemem,
przemieszczenie się do serwerów administracyjnych i zapasowych,
kompromitacja kontrolerów domeny,
wyciek danych biznesowych oraz artefaktów katalogowych,
przygotowanie środowiska do dalszego wymuszenia finansowego.

Szczególnie narażone są organizacje dopuszczające szeroką komunikację z tenantów zewnętrznych w Teams oraz firmy, w których użytkownicy przywykli do nieformalnego modelu zdalnego wsparcia IT. Problem pogłębia fakt, że wiele etapów ataku może przypominać legalną aktywność administracyjną.

Rekomendacje

Organizacje powinny traktować platformy współpracy jako krytyczną powierzchnię ataku. Ochrona nie może ograniczać się wyłącznie do poczty elektronicznej, ponieważ nowoczesne kampanie coraz częściej wykorzystują Teams, czaty i narzędzia wsparcia zdalnego.

Ograniczyć kontakt z tenantów zewnętrznych w Microsoft Teams do przypadków biznesowo uzasadnionych.
Wdrożyć formalny proces potwierdzania działań helpdesku i zgłoszeń serwisowych niezależnym kanałem.
Blokować lub monitorować uruchamianie Edge z parametrem --load-extension.
Wykrywać niestandardowe użycie AutoHotkey, Pythona, PowerShella, RDP, PsExec i WinRM.
Monitorować próby dostępu do LSASS, lokalne serwery HTTP na nietypowych portach i pobieranie plików z niezatwierdzonych zasobów chmurowych.
Wzmocnić ochronę kont uprzywilejowanych przez segmentację, MFA i zasady PAM.
Korelować sygnały z poczty, Teams, EDR i logów tożsamości, aby szybciej wykrywać sekwencje charakterystyczne dla tego typu kampanii.
Szkolić użytkowników, zwłaszcza kadrę menedżerską i administratorów, w zakresie socjotechniki prowadzonej przez komunikatory.

Podsumowanie

Kampania UNC6692 potwierdza, że Microsoft Teams stał się atrakcyjnym kanałem wejścia dla zaawansowanych operacji cyberprzestępczych. Najgroźniejszy jest tu nie pojedynczy komponent malware, lecz cały model działania: wywołanie presji, podszycie się pod helpdesk, wykorzystanie zaufanego kanału komunikacji i szybkie przejście do eskalacji uprawnień oraz ruchu lateralnego.

Dla zespołów bezpieczeństwa oznacza to konieczność rozszerzenia strategii ochrony poza e-mail. Skuteczna obrona wymaga objęcia kontrolami, monitoringiem i szkoleniami również komunikatorów korporacyjnych, narzędzi zdalnego wsparcia oraz legalnych usług chmurowych, które coraz częściej są wykorzystywane jako nośnik złośliwych operacji.