【安全圈】UNC6692 通過微軟 Teams 冒充 IT 服務臺部署 SNOW 惡意軟件

關鍵詞

惡意軟件

一個此前未被記錄的威脅活動集群 UNC6692，被發現通過微軟 Teams 利用社會工程策略，在受入侵主機上部署一套定制的惡意軟件。

谷歌旗下的Mandiant在今日發布的一份報告中指出：“與近年來的許多其他入侵事件一樣，UNC6692 嚴重依賴冒充 IT 服務臺員工，誘使受害者接受來自組織外部賬戶的微軟 Teams 聊天邀請。”

UNC6692 與一場大規模的電子郵件活動有關，該活動旨在用大量垃圾郵件淹沒目標的收件箱，制造一種緊迫感。隨后，威脅行為者通過微軟 Teams 聯系目標，聲稱自己來自 IT 支持團隊，可為電子郵件轟炸問題提供幫助。

值得注意的是，用垃圾郵件轟炸受害者收件箱，隨后通過微軟 Teams 冒充服務臺，這種策略長期以來一直被前 Black Basta 組織成員采用。盡管該組織在去年年初停止了勒索軟件業務，但這一策略并未有放緩的跡象。

在上周發布的一份報告中，ReliaQuest 透露，這種方法正被用于針對企業高管和高級員工，以獲取企業網絡的初始訪問權限，從而進行潛在的數據盜竊、橫向移動、部署勒索軟件和實施勒索。在某些情況下，聊天邀請間隔僅 29 秒。

對話的目的是誘騙受害者安裝 Quick Assist 或 Supremo Remote Desktop 等合法的遠程監控和管理（RMM）工具，以實現直接訪問，然后利用這些工具投放更多有效載荷。

ReliaQuest 的研究人員約翰?迪爾根（John Dilgen）和亞歷克薩?費米內拉（Alexa Feminella）表示：“在 2026 年 3 月 1 日至 4 月 1 日期間，77% 的觀測事件針對高級員工，高于 2026 年前兩個月的 59%。這一活動表明，一個威脅組織最有效的策略可能在該組織消失后仍長期存在。”

另一方面，Mandiant 詳細描述的攻擊鏈與上述方法有所不同。受害者被指示點擊通過 Teams 聊天分享的網絡釣魚鏈接，以安裝本地補丁來解決垃圾郵件問題。點擊鏈接后，會從威脅行為者控制的亞馬遜云服務（AWS）S3 存儲桶下載一個 AutoHotkey 腳本。網絡釣魚頁面名為 “郵箱修復與同步工具 v2.1.5”。

該腳本旨在進行初步偵察，然后通過 “--load - extension” 命令行開關，以無頭模式啟動，在 Edge 瀏覽器上安裝 SNOWBELT，這是一個惡意的基于 Chromium 的瀏覽器擴展。

Mandiant 的研究人員 JP?格拉布（JP Glab）、圖費爾?艾哈邁德（Tufail Ahmed）、喬希?凱利（Josh Kelley）和穆罕默德?烏邁爾（Muhammad Umair）表示：“攻擊者使用了一個看門狗腳本，旨在確保有效載荷僅交付給目標，同時避開自動化安全沙箱。該腳本還會檢查受害者的瀏覽器。如果用戶未使用微軟 Edge，頁面會顯示一個持續的覆蓋警告。通過 SNOWBELT 擴展，UNC6692 下載了包括 SNOWGLAZE、SNOWBASIN、AutoHotkey 腳本，以及一個包含便攜式 Python 可執行文件和所需庫的 ZIP 存檔在內的其他文件。”

網絡釣魚頁面還設計了一個配置管理面板，上面有一個醒目的 “健康檢查” 按鈕。點擊該按鈕會提示用戶輸入郵箱憑據，表面上是為了進行身份驗證，但實際上是用于收集并將數據滲出到另一個亞馬遜 S3 存儲桶。

SNOW 惡意軟件生態系統是一個模塊化工具包，協同工作以實現攻擊者的目標。SNOWBELT 是一個基于 JavaScript 的后門程序，接收命令并將其轉發給 SNOWBASIN 執行；SNOWGLAZE 是一個基于 Python 的隧道工具，在受害者內部網絡和攻擊者的命令與控制（C2）服務器之間創建一個安全的、經過身份驗證的 WebSocket 隧道。

第三個組件是 SNOWBASIN，它作為一個持久化后門程序，在端口 8000、8001 或 8002 上作為本地 HTTP 服務器運行。

UNC6692 在獲得初始訪問權限后執行的一些其他利用后操作如下：

• 使用 Python 腳本掃描本地網絡上的端口 135、445 和 3389，以進行橫向移動，通過 SNOWGLAZE 隧道工具建立到受害者系統的 PsExec 會話，并通過 SNOWGLAZE 隧道從受害者系統發起一個到備份服務器的遠程桌面協議（RDP）會話。

• 利用本地管理員賬戶，通過 Windows 任務管理器提取系統的本地安全授權子系統服務（LSASS）進程內存，以提升權限。

• 使用哈希傳遞（Pass - The - Hash）技術，利用權限提升用戶的密碼哈希值橫向移動到網絡的域控制器，下載并運行 FTK Imager 捕獲敏感數據（如活動目錄數據庫文件），并將其寫入 “\Downloads” 文件夾，然后使用 LimeWire 文件上傳工具滲出數據。

這家科技巨頭表示：“UNC6692 活動展示了策略上的有趣演變，特別是社會工程、定制惡意軟件和惡意瀏覽器擴展的使用，利用了受害者對多個不同企業軟件供應商的固有信任。”

“這一策略的關鍵要素是系統地濫用合法云服務進行有效載荷交付、滲出以及建立命令與控制（C2）基礎設施。通過在可信云平臺上托管惡意組件，攻擊者通常可以繞過傳統的網絡信譽過濾器，并混入大量合法云流量中。”

與此同時，Cato Networks）詳細描述了一場基于語音網絡釣魚的活動，該活動在微軟 Teams 上采用類似的冒充服務臺策略，引導受害者通過從外部服務器獲取的混淆 PowerShell 腳本，執行一個名為 PhantomBackdoor 的基于 WebSocket 的木馬程序。

這家網絡安全公司表示：“這一事件表明，通過微軟 Teams 會議進行的服務臺冒充如何能夠取代傳統網絡釣魚，并導致相同的結果：分階段執行 PowerShell 腳本，隨后植入 WebSocket 后門。防御者應將協作工具視為首要攻擊面，實施服務臺驗證工作流程，收緊外部 Teams 和屏幕共享控制，并強化 PowerShell 安全設置。”

安全圈

網羅圈內熱點 專注網絡安全

實時資訊一手掌握！

好看你就分享 有用就點個贊

支持「安全圈」就點個三連吧！