Hackerek a Microsoft Teams munkatársainak adják ki magukat, hogy SNOW malware-t telepítsenek

Egy újonnan azonosított fenyegető csoport a Microsoft Teams segítségével informatikai helpdesk munkatársaknak adja ki magát, spamekkel bombázza a vállalati postaládákat, majd egyedi kártevőcsomagot telepít a vállalati hálózatokra. A Google Threat Intelligence Group és a Mandiant nyilvánosságra hozta a kampányt, és egy általuk UNC6692 néven nyomon követett csoportnak tulajdonította.

Hogyan jut be az UNC6692

A jelentés szerint a támadás egy tömeges e-mail bombázással kezdődik a célpont ellen, elárasztva a postaládájukat, hogy válságérzetet keltsenek. A támadó ezután a Microsoft Teams-en keresztül egy külső fiókból jelentkezik, magát informatikai ügyfélszolgálatnak kiadva, és felajánlva a spam-probléma megoldását.

További jelentés továbbította, hogy a chat-meghívást elfogadó alkalmazottak egy adathalász linket kapnak, amely egy meggyőzően hamis oldalra vezeti őket, amelynek címe "Mailbox Repair and Sync Utility v2.1.5"

Az oldalon található hamis Health Check (Egészségügyi ellenőrzés) gomb begyűjti a postafiókjuk hitelesítő adatait, és egyenesen egy támadó által ellenőrzött AWS S3 vödörbe küldi azokat. A Mandiant szerint egy AutoHotKey szkript is csendben letöltődik a háttérben, és elkezdi telepíteni a csoport malware eszközkészletét.

Mit csinál valójában a SNOW

A jelentés megállapításai szerint az eszközkészlet három összetevőből áll. A SNOWBELT egy rosszindulatú Chromium böngészőbővítmény, amely "MS Heartbeat" vagy "System Heartbeat" néven álcázza magát, és elsődleges hátsó ajtóként működik.

A SNOWGLAZE egy Python-alapú alagútépítő, amely WebSocket-en keresztül az áldozat gépén keresztül tolja a forgalmat a csoport parancs- és vezérlő szerverére. Az adatokat Base64-kódolt JSON-ba csomagolja, hogy úgy tűnjön, mintha szabványos titkosított webes forgalom lenne.

A SNOWBASIN mindezek alatt egy tartós hátsó ajtóként helyezkedik el, amely a támadó számára távoli parancsvégrehajtást, képernyőképek készítését és igény szerinti fájlhozzáférést biztosít. A Mandiant szerint a három komponens együttesen csendes, tartós támadási felületet biztosít az UNC6692 számára, amely beleolvad a rutinszerű böngésző- és hálózati tevékenységbe.

Hogyan tovább

A kezdeti támaszpontról a csoport a helyi hálózatot nyitott portok után kutatja, majd a tartományvezérlők felé fordul, és a Pass-the-Hash-t használja a lopott NTLM jelszóhash-ok segítségével. A Mandiant szerint a csoport az LSASS folyamatmemóriát egy biztonsági mentés szerverről nyeri ki, és a LimeWire-en keresztül exfiltrálja azt, így a hitelesítő adatokat offline feldolgozás céljából kivonja az áldozat környezetéből.

A tartományvezérlőn a Mandiant szerint az UNC6692 az FTK Imager segítségével megszerzi az Active Directory adatbázisfájlt, valamint a Security Account Manager és a SYSTEM registry hive-okat, majd a LimeWire-en keresztül ismét kiszivárogtat mindent, mielőtt képernyőfelvételeket készít a tartományvezérlőről.

A jelentésből kiderül, hogy a Microsoft Teams figyelmeztetést jelenít meg, amikor a szervezeten kívülről érkeznek üzenetek. Minden kéretlen külső támogatási kérelmet egy ismert belső csatornán keresztül kell ellenőrizni, mielőtt bármilyen hozzáférést biztosítanának.