Исследователи безопасности из Google Threat Intelligence Group (GTIG) раскрыли атакующую кампанию хакерской группы, обозначенной как UNC6692. Как сообщают исследователи в записи в блоге (открывается в новом окне), злоумышленники используют изощренную технику социальной инженерии, чтобы через Microsoft Teams внедрить в корпоративные сети вредоносное ПО под названием Snow, состоящее из нескольких компонентов.
По имеющимся данным, UNC6692 сначала заваливает почтовые ящики целевых лиц огромным количеством спам-писем. После этого злоумышленники связываются с жертвами через Teams, выдавая себя за сотрудников IT-поддержки, которые якобы хотят помочь сократить поток надоедливых писем.
Пострадавших просят перейти по ссылке, чтобы установить патч, который должен заблокировать спам. Однако на самом деле при клике по ссылке на систему жертвы загружается вредоносное ПО, размещенное на AWS, в виде скрипта и переименованного бинарного файла AutoHotKey (открывается в новом окне).
Три инструмента с разными задачами
Как поясняют исследователи Google, выполнение скрипта приводит к установке вредоносного расширения браузера, которое незаметно работает в фоновом режиме в Edge. Это бэкдор на основе JavaScript, а также первый компонент экосистемы Snow. Он называется Snowbelt, прописывается в автозагрузку системы и настраивает запланированные задачи для обеспечения постоянства присутствия.
Затем загружаются другие компоненты Snow, которые исследователи Google называют Snowglaze и Snowbasin. Это бэкдор-вредоносное ПО, а также инструмент, предоставляющий защищенный WebSocket-туннель между зараженной системой и сервером управления злоумышленников. Оба инструмента написаны на Python.
Дальнейшие действия в сети
После успешной компрометации системы UNC6692 использует этот доступ для дальнейших атак в локальной сети целевого пользователя. Для этого злоумышленники, в частности, ищут доступные ИТ-системы, на которых открыты порты 135 (RPC), 445 (SMB) и 3389 (RDP).
В ходе одной атаки, изученной исследователями Google, злоумышленники перехватили локальную учетную запись администратора, а затем получили доступ к резервному серверу. Там они извлекли хеши паролей из памяти процесса Lsass. Используя эти хеши, UNC6692 в итоге получил доступ к контроллеру домена корпоративной сети и, помимо прочего, скопировал базу данных Active Directory. ИТ-администраторы могут найти в отчете Google (открывается в новом окне) некоторые индикаторы компрометации, которые помогут в защите от подобных атак.