【安全圈】UNC6692 通过微软 Teams 冒充 IT 服务台部署 SNOW 恶意软件

关键词

恶意软件

一个此前未被记录的威胁活动集群 UNC6692，被发现通过微软 Teams 利用社会工程策略，在受入侵主机上部署一套定制的恶意软件。

谷歌旗下的Mandiant在今日发布的一份报告中指出：“与近年来的许多其他入侵事件一样，UNC6692 严重依赖冒充 IT 服务台员工，诱使受害者接受来自组织外部账户的微软 Teams 聊天邀请。”

UNC6692 与一场大规模的电子邮件活动有关，该活动旨在用大量垃圾邮件淹没目标的收件箱，制造一种紧迫感。随后，威胁行为者通过微软 Teams 联系目标，声称自己来自 IT 支持团队，可为电子邮件轰炸问题提供帮助。

值得注意的是，用垃圾邮件轰炸受害者收件箱，随后通过微软 Teams 冒充服务台，这种策略长期以来一直被前 Black Basta 组织成员采用。尽管该组织在去年年初停止了勒索软件业务，但这一策略并未有放缓的迹象。

在上周发布的一份报告中，ReliaQuest 透露，这种方法正被用于针对企业高管和高级员工，以获取企业网络的初始访问权限，从而进行潜在的数据盗窃、横向移动、部署勒索软件和实施勒索。在某些情况下，聊天邀请间隔仅 29 秒。

对话的目的是诱骗受害者安装 Quick Assist 或 Supremo Remote Desktop 等合法的远程监控和管理（RMM）工具，以实现直接访问，然后利用这些工具投放更多有效载荷。

ReliaQuest 的研究人员约翰・迪尔根（John Dilgen）和亚历克萨・费米内拉（Alexa Feminella）表示：“在 2026 年 3 月 1 日至 4 月 1 日期间，77% 的观测事件针对高级员工，高于 2026 年前两个月的 59%。这一活动表明，一个威胁组织最有效的策略可能在该组织消失后仍长期存在。”

另一方面，Mandiant 详细描述的攻击链与上述方法有所不同。受害者被指示点击通过 Teams 聊天分享的网络钓鱼链接，以安装本地补丁来解决垃圾邮件问题。点击链接后，会从威胁行为者控制的亚马逊云服务（AWS）S3 存储桶下载一个 AutoHotkey 脚本。网络钓鱼页面名为 “邮箱修复与同步工具 v2.1.5”。

该脚本旨在进行初步侦察，然后通过 “--load - extension” 命令行开关，以无头模式启动，在 Edge 浏览器上安装 SNOWBELT，这是一个恶意的基于 Chromium 的浏览器扩展。

Mandiant 的研究人员 JP・格拉布（JP Glab）、图费尔・艾哈迈德（Tufail Ahmed）、乔希・凯利（Josh Kelley）和穆罕默德・乌迈尔（Muhammad Umair）表示：“攻击者使用了一个看门狗脚本，旨在确保有效载荷仅交付给目标，同时避开自动化安全沙箱。该脚本还会检查受害者的浏览器。如果用户未使用微软 Edge，页面会显示一个持续的覆盖警告。通过 SNOWBELT 扩展，UNC6692 下载了包括 SNOWGLAZE、SNOWBASIN、AutoHotkey 脚本，以及一个包含便携式 Python 可执行文件和所需库的 ZIP 存档在内的其他文件。”

网络钓鱼页面还设计了一个配置管理面板，上面有一个醒目的 “健康检查” 按钮。点击该按钮会提示用户输入邮箱凭据，表面上是为了进行身份验证，但实际上是用于收集并将数据渗出到另一个亚马逊 S3 存储桶。

SNOW 恶意软件生态系统是一个模块化工具包，协同工作以实现攻击者的目标。SNOWBELT 是一个基于 JavaScript 的后门程序，接收命令并将其转发给 SNOWBASIN 执行；SNOWGLAZE 是一个基于 Python 的隧道工具，在受害者内部网络和攻击者的命令与控制（C2）服务器之间创建一个安全的、经过身份验证的 WebSocket 隧道。

第三个组件是 SNOWBASIN，它作为一个持久化后门程序，在端口 8000、8001 或 8002 上作为本地 HTTP 服务器运行。

UNC6692 在获得初始访问权限后执行的一些其他利用后操作如下：

• 使用 Python 脚本扫描本地网络上的端口 135、445 和 3389，以进行横向移动，通过 SNOWGLAZE 隧道工具建立到受害者系统的 PsExec 会话，并通过 SNOWGLAZE 隧道从受害者系统发起一个到备份服务器的远程桌面协议（RDP）会话。

• 利用本地管理员账户，通过 Windows 任务管理器提取系统的本地安全授权子系统服务（LSASS）进程内存，以提升权限。

• 使用哈希传递（Pass - The - Hash）技术，利用权限提升用户的密码哈希值横向移动到网络的域控制器，下载并运行 FTK Imager 捕获敏感数据（如活动目录数据库文件），并将其写入 “\Downloads” 文件夹，然后使用 LimeWire 文件上传工具渗出数据。

这家科技巨头表示：“UNC6692 活动展示了策略上的有趣演变，特别是社会工程、定制恶意软件和恶意浏览器扩展的使用，利用了受害者对多个不同企业软件供应商的固有信任。”

“这一策略的关键要素是系统地滥用合法云服务进行有效载荷交付、渗出以及建立命令与控制（C2）基础设施。通过在可信云平台上托管恶意组件，攻击者通常可以绕过传统的网络信誉过滤器，并混入大量合法云流量中。”

与此同时，Cato Networks）详细描述了一场基于语音网络钓鱼的活动，该活动在微软 Teams 上采用类似的冒充服务台策略，引导受害者通过从外部服务器获取的混淆 PowerShell 脚本，执行一个名为 PhantomBackdoor 的基于 WebSocket 的木马程序。

这家网络安全公司表示：“这一事件表明，通过微软 Teams 会议进行的服务台冒充如何能够取代传统网络钓鱼，并导致相同的结果：分阶段执行 PowerShell 脚本，随后植入 WebSocket 后门。防御者应将协作工具视为首要攻击面，实施服务台验证工作流程，收紧外部 Teams 和屏幕共享控制，并强化 PowerShell 安全设置。”

安全圈

网罗圈内热点 专注网络安全

实时资讯一手掌握！

好看你就分享 有用就点个赞

支持「安全圈」就点个三连吧！