Хакеры выдают себя за поддержку в Microsoft Teams и распространяют вредоносный набор SNOW.
SNOW-угроза: злоумышленники атакуют бизнес через Microsoft Teams
Фото: © RusPhotoBank
Группа злоумышленников UNC6692 использует Microsoft Teams для атак на корпоративные сети, выдавая себя за сотрудников IT-поддержки. Об этом сообщили специалисты Google Threat Intelligence Group и Mandiant.
Схема атаки начинается с массовой рассылки спама по электронной почте, чтобы создать ощущение перегрузки и срочности. После этого злоумышленники связываются с жертвой через Teams с внешнего аккаунта и предлагают «помощь» в решении проблемы.
Далее пользователю отправляется фишинговая ссылка на поддельную страницу «Утилита для восстановления и синхронизации почтовых ящиков v2.1.5». Кнопка «Проверка состояния» собирает учётные данные и отправляет их злоумышленникам, а в фоне запускается скрипт, устанавливающий вредоносное ПО.
Набор SNOW состоит из трёх компонентов. SNOWBELT — вредоносное расширение для браузеров Chromium, работающее как бэкдор. SNOWGLAZE — инструмент на Python для скрытой передачи данных через WebSocket, маскирующий трафик под обычный. SNOWBASIN — основной модуль, позволяющий удалённо выполнять команды, делать скриншоты и получать доступ к файлам.
После проникновения в систему злоумышленники исследуют сеть, используют атаки типа Pass-the-Hash и извлекают данные из памяти процессов. Также они могут получить доступ к базе данных Active Directory и другим критически важным компонентам инфраструктуры, после чего передают данные наружу.
Эксперты отмечают, что Microsoft Teams показывает предупреждения при сообщениях извне, однако пользователям рекомендуется проверять любые подобные запросы через внутренние каналы перед предоставлением доступа.