黑客假冒微软团队员工部署 SNOW 恶意软件

一个新发现的威胁组织正在利用 Microsoft Teams 冒充 IT 服务台人员，用垃圾邮件轰炸企业收件箱，然后在企业网络上部署定制的恶意软件套件。Google Threat Intelligence Group 和 Mandiant 披露了这一活动，并将其归因于他们跟踪的 UNC6692 集群。

UNC6692 如何进入

根据该报告，攻击开始时会通过对目标进行大规模电子邮件轰炸对目标进行大规模邮件轰炸，使其收件箱泛滥，从而制造危机感。然后，攻击者通过 Microsoft Teams 从一个外部账户进行联系，声称自己是 IT 支持人员，并表示愿意解决垃圾邮件问题。

其他报告转述称，接受聊天邀请的员工会收到一个钓鱼链接，该链接会将他们带入一个名为 "邮箱修复和同步实用程序 v2.1.5 "的令人信服的虚假页面。

该页面上的假冒 "健康检查 "按钮会获取他们的邮箱凭据，并将其直接发送到攻击者控制的 AWS S3 存储桶中。据 Mandiant 称，一个 AutoHotKey 脚本也会在后台悄悄下载，并开始安装该组织的恶意软件工具包。

SNOW 的实际作用

根据报告的发现，该工具包有三个组成部分.SNOWBELT 是一个恶意 Chromium 浏览器扩展，它将自己伪装成 "MS Heartbeat "或 "System Heartbeat"，并充当主要后门。

SNOWGLAZE 是一个基于 Python 的隧道程序，它通过 WebSocket 将流量通过受害者的机器推送到该组织的命令和控制服务器。它用 Base64 编码的 JSON 包装数据，使其看起来像标准的加密网络流量。

SNOWBASIN 作为一个持久性后门位于这一切之下，让攻击者可以按需远程执行命令、截图和访问文件。曼迪安特说，这三个组件共同为 UNC6692 提供了一个安静、持久的立足点，使其融入到日常的浏览器和网络活动中。

后续发展

从最初的立足点开始，该小组扫描本地网络，寻找开放端口，并利用窃取的 NTLM 密码哈希值，通过 Pass-the-Hash 向域控制器转移。据 Mandiant 称，该小组从备份服务器中提取 LSASS 进程内存，并通过 LimeWire 将其外泄，将凭证从受害者环境中提取出来进行离线处理。

Mandiant 称，一旦进入域控制器，UNC6692 就会使用 FTK Imager 提取 Active Directory 数据库文件，以及安全账户管理器和 SYSTEM 注册表蜂巢，然后再次通过 LimeWire 外泄所有内容，最后截取域控制器的屏幕截图。

报告显示Microsoft Teams在收到来自组织外部的消息时会显示警告。任何未经请求的外部支持请求都应在授予任何访问权限之前通过已知的内部渠道进行验证。