Хакеры выдают себя за сотрудников Microsoft Teams, чтобы развернуть вредоносное ПО SNOW

Недавно выявленная группа угроз использует Microsoft Teams для того, чтобы выдавать себя за сотрудников службы технической поддержки, заваливать корпоративные почтовые ящики спамом, а затем развертывать в корпоративных сетях собственный набор вредоносных программ. Компании Google Threat Intelligence Group и Mandiant раскрыли информацию об этой кампании, приписав ее кластеру, который они отслеживают как UNC6692.

Как UNC6692 проникает внутрь

Согласно отчету, атака начинается с массовой бомбардировки электронной почтой https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware на цель, переполняя ее почтовый ящик, чтобы создать ощущение кризиса. Затем атакующий связывается с Microsoft Teams через внешнюю учетную запись, выдавая себя за ИТ-поддержку и предлагая устранить проблему со спамом.

Дополнительная информация с сайта https://cybersecuritynews.com/microsoft-teams-breach-organizations/ сообщает, что сотрудникам, принявшим приглашение в чат, отправляется фишинговая ссылка, которая переводит их на убедительную поддельную страницу под названием "Mailbox Repair and Sync Utility v2.1.5"

Поддельная кнопка Health Check на этой странице собирает учетные данные почтового ящика и отправляет их прямо в контролируемый злоумышленниками AWS S3 bucket. По данным Mandiant, скрипт AutoHotKey также бесшумно загружается в фоновом режиме и начинает устанавливать инструментарий вредоносного ПО группы.

Что на самом деле делает SNOW

Согласно выводам отчета , инструментарий состоит из трех компонентов. SNOWBELT - это вредоносное расширение для браузера Chromium, которое маскируется под "MS Heartbeat" или "System Heartbeat" и выступает в качестве основного бэкдора.

SNOWGLAZE - это туннелер на базе Python, который пересылает трафик через машину жертвы на командно-контрольный сервер группы по WebSocket. Он упаковывает данные в Base64-кодированный JSON, чтобы они выглядели как обычный зашифрованный веб-трафик.

Под всем этим скрывается SNOWBASIN в качестве постоянного бэкдора, предоставляя злоумышленнику возможность удаленного выполнения команд, снятия скриншотов и доступа к файлам по требованию. Вместе, по мнению Mandiant, эти три компонента обеспечивают UNC6692 тихую, прочную опору, которая сливается с обычной активностью браузера и сети.

Что происходит дальше

С начального плацдарма группа сканирует локальную сеть на предмет открытых портов и направляется к контроллерам домена, используя Pass-the-Hash с украденными хэшами паролей NTLM. По данным Mandiant, группа извлекает память процессов LSASS из резервного сервера и распространяет ее через LimeWire, извлекая учетные данные из среды жертвы для автономной обработки.

Попав на контроллер домена, по словам Mandiant, UNC6692 использует FTK Imager для извлечения файла базы данных Active Directory, а также ветвей реестра Security Account Manager и SYSTEM, затем снова извлекает все через LimeWire, после чего делает снимки экрана контроллера домена.

В отчете сообщается, что Microsoft Teams отображает предупреждение, когда сообщения приходят из-за пределов организации. Любой незапрашиваемый внешний запрос на поддержку должен быть проверен по известному внутреннему каналу, прежде чем будет предоставлен доступ.