Un nou actor de amenințare, urmărit sub numele UNC6692, a desfășurat o campanie avansată de compromitere care combină inginerie socială, malware modular și abuzul serviciilor cloud pentru a obține acces profund în infrastructurile organizaționale. Google Threat Intelligence Group a documentat această operațiune, evidențiind modul în care atacatorii au exploatat încrederea utilizatorilor în instrumente enterprise precum Microsoft Teams și Microsoft Edge .
1. Tactica principală: Impersonarea helpdesk-ului IT
Atacatorii au contactat victimele prin Microsoft Teams, pretinzând că sunt personal IT care ajută la rezolvarea unui val de emailuri spam . Această abordare a fost precedată de o campanie masivă de email bombing, menită să creeze presiune și confuzie în rândul utilizatorilor .
2. Lanțul de infecție: De la un simplu link la compromiterea completă
Victima era convinsă să acceseze un link pentru a instala un „patch” local. Pagina deschisă descărca automat:
- un binar AutoHotKey modificat,
- un script AutoHotKey cu același nume,
- o pagină HTML malițioasă găzduită pe AWS S3 .
Execuția scriptului ducea la instalarea SNOWBELT, o extensie malițioasă Chromium care nu este disponibilă în Chrome Web Store .
3. Persistență avansată prin Microsoft Edge
SNOWBELT se menține activ prin:
- shortcut în Startup Folder ,
- sarcini programate care pornesc Edge în mod headless cu extensia încărcată ,
- mecanisme de verificare și „curățare” a proceselor Edge care nu rulează componenta malițioasă .
4. Mișcare laterală și escaladare de privilegii
După compromiterea inițială, UNC6692 a:
- scanat rețeaua internă pentru porturi RDP/SMB ,
- folosit PsExec prin tunelul SNOWGLAZE pentru a accesa sisteme interne ,
- obținut acces RDP la un server de backup folosind conturi de administrator local ,
- extras memoria LSASS pentru a fura hash-uri de parole ,
- folosit tehnica Pass-The-Hash pentru a accesa Domain Controllers .
Pe Domain Controller, atacatorii au descărcat și rulat FTK Imager, extrăgând:
- NTDS.dit,
- SAM,
- SYSTEM,
- SECURITY .
5. Ecosistemul de malware SNOW
UNC6692 folosește o suită modulară formată din trei componente principale:
SNOWBELT – extensie de browser (backdoor inițial)
- Implementată ca extensie Chromium, mascată ca „MS Heartbeat” .
- Menține persistență prin Service Worker Alarms și Keep-Alive Tab Injection .
- Folosește DGA și S3 pentru C2, plus WebSocket și Push Notifications pentru comunicare .
SNOWGLAZE – tuneler Python
- Creează un tunel WebSocket autenticat către un C2 Heroku .
- Permite SOCKS proxy și maschează traficul ca trafic Edge legitim .
SNOWBASIN – backdoor Python (bindshell)
- Rulează ca server HTTP local (port 8000) .
- Permite execuție de comenzi, capturi de ecran și exfiltrare de fișiere .
6. Pagina de phishing: o experiență falsă, dar convingătoare
Pagina se prezintă ca „Mailbox Repair Utility” și include:
- verificări de mediu și forțarea utilizatorului să deschidă pagina în Edge ,
- un formular de autentificare cu tehnica „double password entry” pentru a colecta parola de două ori ,
- o bară de progres falsă pentru a masca exfiltrarea credentialelor către S3 .
7. Indicatori de compromitere (IOCs)
Pagina listează domenii AWS S3, hash-uri de fișiere și reguli YARA pentru detectarea componentelor SNOWBELT, SNOWGLAZE și SNOWBASIN .
8. Concluzii și implicații pentru securitate
Campania UNC6692 demonstrează o tendință clară: atacatorii adoptă strategii „living off the cloud”, folosind servicii legitime precum AWS și Heroku pentru a evita detecția și a se integra în traficul obișnuit al organizațiilor .
Pentru a detecta astfel de atacuri, organizațiile trebuie să monitorizeze:
- activitatea din browser,
- traficul către servicii cloud,
- corelarea evenimentelor locale cu egress-ul către infrastructuri cloud .
Concluzie
Campania UNC6692 arată cât de eficient pot combina atacatorii ingineria socială, extensiile malițioase de browser și abuzul serviciilor cloud pentru a obține acces profund în infrastructurile enterprise. Strategia lor „living off the cloud” le permite să se ascundă în traficul legitim și să evite detecția tradițională, ceea ce obligă organizațiile să își extindă vizibilitatea către activitatea din browser și fluxurile de date către platforme cloud
