Notebookcheck Logo

Hackare utger sig för att vara Microsoft Teams-personal för att distribuera SNOW-skadlig kod

UNC6692 utnyttjar Microsoft Teams externa samarbetsfunktioner för att utge sig för att vara IT-helpdeskpersonal och leverera en anpassad malware-svit.
ⓘ Freepik.com/drobotdean
UNC6692 utnyttjar Microsoft Teams externa samarbetsfunktioner för att utge sig för att vara IT-helpdeskpersonal och leverera en anpassad malware-svit.
Hotgruppen UNC6692 använder Microsoft Teams IT-imitation och massbombning av e-post för att distribuera SNOW-verktygslådan för skadlig kod och stjäla referenser från företagsnätverk.
Windows Software Security Microsoft Laptop / Notebook Desktop Business

En nyligen identifierad hotgrupp använder Microsoft Teams för att posera som IT-helpdeskpersonal, bomba företags inkorgar med skräppost och sedan distribuera en anpassad malware-svit på företagsnätverk. Google Threat Intelligence Group och Mandiant avslöjade kampanjen och tillskrev den till ett kluster som de spårar som UNC6692.

Hur UNC6692 kommer in

Enligt rapporten börjar attacken med en massa e-postbombning körs mot målet, översvämmar deras inkorg för att skapa en känsla av kris. En angripare når sedan ut via Microsoft Teams från ett externt konto, påstår sig vara IT-support och erbjuder att fixa skräppostproblemet.

Ytterligare rapportering vidarebefordrade att anställda som accepterar chattinbjudan skickas en phishing-länk som tar dem till en övertygande falsk sida som heter "Mailbox Repair and Sync Utility v2.1.5."

En falsk hälsokontrollknapp på den sidan skördar deras brevlådeuppgifter och skickar dem direkt till en angripare-kontrollerad AWS S3-bucket. Enligt Mandiant laddas ett AutoHotKey-skript också ner tyst i bakgrunden och börjar installera gruppens verktygssats för skadlig kod.

Vad SNOW faktiskt gör

Verktygssatsen har tre komponenter, enligt -rapportens resultat. SNOWBELT är ett skadligt Chromium-webbläsartillägg som döljer sig som "MS Heartbeat" eller "System Heartbeat" och fungerar som den primära bakdörren.

SNOWGLAZE är en Python-baserad tunnelerare som driver trafik genom offrets maskin till gruppens kommando- och kontrollserver via WebSocket. Den förpackar data i Base64-kodad JSON för att få det att se ut som standardkrypterad webbtrafik.

SNOWBASIN sitter under allt detta som en ihållande bakdörr, vilket ger angriparen fjärrkommandokörning, skärmdumpfångst och filåtkomst på begäran. Mandiant säger att de tre komponenterna tillsammans ger UNC6692 ett tyst och hållbart fotfäste som smälter in i rutinmässig webbläsar- och nätverksaktivitet.

Vart det tar vägen därifrån

Från det första fotfästet skannar gruppen det lokala nätverket efter öppna portar och svänger mot domänkontrollanter som använder Pass-the-Hash med stulna NTLM-lösenordshashar. Enligt Mandiant extraherar gruppen LSASS-processminne från en backupserver och exfiltrerar det via LimeWire, vilket drar ut referenser från offermiljön för offlinebearbetning.

Väl på en domänkontrollant säger Mandiant att UNC6692 använder FTK Imager för att hämta Active Directory-databasfilen, tillsammans med Security Account Manager och SYSTEM-registerhive, och exfiltrerar sedan allt via LimeWire igen innan de tar skärmdumpar av domänkontrollanten.

Rapporten avslöjar att Microsoft Teams visar en varning när meddelanden kommer från utanför organisationen. Alla oönskade externa supportförfrågningar bör verifieras via en känd intern kanal innan någon åtkomst beviljas.

Please share our article, every link counts!
Mail Logo

Relaterade artiklar

> Bärbara datorer, laptops - tester och nyheter > Nyheter > Nyhetsarkiv > Nyhetsarkiv 2026 04 > Hackare utger sig för att vara Microsoft Teams-personal för att distribuera SNOW-skadlig kod
Darryl Linington, 2026-04-24 (Update: 2026-04-24)