Gli hacker impersonano il personale di Microsoft Teams per distribuire il malware SNOW
Un gruppo di minacce appena identificato sta utilizzando Microsoft Teams per fingersi personale di helpdesk IT, bombardare le caselle di posta aziendali con lo spam e poi distribuire una suite di malware personalizzata sulle reti aziendali. Google Threat Intelligence Group e Mandiant hanno rivelato la campagna, attribuendola a un cluster che stanno monitorando come UNC6692.
Come entra UNC6692
Secondo il rapporto, l'attacco inizia con un bombardamento di massa di e-mail https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware contro l'obiettivo, inondando la sua casella di posta per creare un senso di crisi. Un aggressore raggiunge poi Microsoft Teams da un account esterno, sostenendo di essere l'assistenza IT e offrendo di risolvere il problema dello spam.
Un ulteriore rapporto di https://cybersecuritynews.com/microsoft-teams-breach-organizations/ ha riferito che i dipendenti che accettano l'invito alla chat ricevono un link di phishing che li porta a una pagina falsa e convincente chiamata "Mailbox Repair and Sync Utility v2.1.5"
Un falso pulsante di controllo dello stato di salute su quella pagina raccoglie le credenziali della casella di posta elettronica e le invia direttamente a un bucket AWS S3 controllato dall'aggressore. Secondo Mandiant, anche uno script AutoHotKey si scarica silenziosamente in background e inizia a installare il toolkit malware del gruppo.
Cosa fa SNOW in realtà
Il toolkit ha tre componenti, secondo i risultati del rapporto https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware. SNOWBELT è un'estensione del browser Chromium dannosa che si traveste da "MS Heartbeat" o "System Heartbeat" e agisce come backdoor principale.
SNOWGLAZE è un tunneler basato su Python che spinge il traffico attraverso la macchina della vittima al server di comando e controllo del gruppo tramite WebSocket. Avvolge i dati in JSON codificati Base64 per farli sembrare un normale traffico web crittografato.
SNOWBASIN si trova al di sotto di tutto questo come backdoor persistente, dando all'aggressore l'esecuzione di comandi remoti, l'acquisizione di screenshot e l'accesso ai file su richiesta. Insieme, Mandiant afferma che i tre componenti danno a UNC6692 un punto d'appoggio silenzioso e duraturo, che si mimetizza nell'attività di routine del browser e della rete.
Dove va da lì
Dal punto di appoggio iniziale, il gruppo scansiona la rete locale alla ricerca di porte aperte e si dirige verso i controller di dominio utilizzando Pass-the-Hash con gli hash delle password NTLM rubate. Secondo Mandiant, il gruppo estrae la memoria di processo LSASS da un server di backup e la esfiltra tramite LimeWire, estraendo le credenziali dall'ambiente della vittima per l'elaborazione offline.
Una volta su un controller di dominio, Mandiant afferma che UNC6692 utilizza FTK Imager per estrarre il file del database di Active Directory, insieme a Security Account Manager e agli hives del registro di sistema SYSTEM, per poi esfiltrare tutto tramite LimeWire prima di catturare le schermate del controller di dominio.
Il rapporto rivela che Microsoft Teams visualizza un avviso quando arrivano messaggi dall'esterno dell'organizzazione. Qualsiasi richiesta di assistenza esterna non richiesta deve essere verificata attraverso un canale interno conosciuto prima che venga concesso l'accesso.
