Nation-State Threats

UNC6692:Teamsフィッシング、カスタムマルウェアがEdgeを標的に

メールはもう古い。ハッカーたちは今、Microsoft Teamsを悪用し、ブラウザのバックグラウンドプロセスを乗っ取っている。彼らは侵入を狙っており、驚くほどクリエイティブになっているのだ。

Threat Digest 1 min read
Read in: English 日本語 한국어 Русский Türkçe
{# Always render the hero — falls back to the theme OG image when article.image_url is empty (e.g. after the audit's repair_hero_images cleared a blocked Unsplash hot-link). Without this fallback, evergreens with cleared image_url render no hero at all → the JSON-LD ImageObject loses its visual counterpart and LCP attrs go missing. #}
Microsoft Teamsのチャットウィンドウのスクリーンショット。パッチインストールリンクを提供する不審なメッセージが表示されている。

Key Takeaways

  • UNC6692はMicrosoft Teamsをソーシャルエンジニアリング攻撃に利用し、ITサポートを装っている。
  • カスタムAutoHotkeyマルウェアと悪意のあるブラウザ拡張機能(SNOWBELT)が、彼らの活動の中心だ。
  • 攻撃者は、カスタムツールと一般的なエンタープライズプロトコルを使用して、深いネットワークアクセスを取得し、横移動を実行できる。

「ハッカーは受信トレイにしか潜んでいない」なんて思っているなら、考え直した方がいい。UNC6692と名乗る一味が繰り広げる最新の手口は、奴らがどれだけ巧妙に、そして厄介になってきているかを示している。奴らはただドアをノックするのではなく、お前が信頼するツールそのものを使って、ちゃっかりお邪魔しているのだ。

ここで本当に注目すべきは、単なるマルウェアの配布ではない。その大胆不敵さだ。奴らは日常的に使う企業のツールを、恰好の獲物だと判断した。コラボレーションのハブであるはずのMicrosoft Teamsは、金ピカの鳥かごの扉と化す。そしてお前のブラウザ?猫動画を見るためだけではない、突然トロイの木馬に変貌してしまう。すべては、あの悪賢い小さな拡張機能のせいだ。

デジタルな扉に鍵をかけようとしているすべての人への解説だ。UNC6692はまず、大量のメールを送りつけてくる。古典的な陽動戦術だ。そして、ビンゴ。Microsoft Teamsのメッセージが表示され、親切なITサポートを装う。溢れかえった受信トレイを修正すると申し出る。やるべきことは、「ローカルパッチ」をインストールするためのリンクをクリックするだけ。簡単だろう?違う。そのリンクは、単なるスクリプトではなく、リネームされたAutoHotKeyバイナリをサイレントにダウンロードするウェブページへと繋がっている。名前が一致すれば、ドカーン。スクリプトが実行され、被害が始まる。

UNC6692のキャンペーンは、特にソーシャルエンジニアリング、カスタムマルウェア、そして悪意のあるブラウザ拡張機能の利用において、興味深い戦術の進化を示している。これは、被害者が複数のエンタープライズソフトウェアプロバイダーに対して持つ固有の信頼を悪用するものだ。

これは、ファイアウォールを叩くスクリプトキディレベルの話ではない。これは計算され尽くした攻撃だ。奴らは、お前がIT部門を信頼していることを知っており、Teamsの通知も信頼すると踏んでいる。SNOWBELTと名付けられたマルウェアは、Chromeウェブストアで隠れようとすらしない。それは、直接インストールされる、自家製の脅威だ。そして、それで終わりではない。

執念こそが鍵、らしい。

SNOWBELTがシステムに入り込むと、起動と協調して動作する。Windowsのスタートアップフォルダにあるショートカットは、二杯目のコーヒーを飲む前にオンラインに戻ってくることを保証する。そして、本当の魔術が始まる:タスクスケジューラだ。これらはSNOWBELTを実行させ続けるためだけではない。いや、そうではない。これらは、マルウェアを実行していないMicrosoft Edgeプロセスを狩り出して終了させるように設計されている。奴らは実質的にEdgeに悪意のある拡張機能を強制的にインストールさせ、お前のブラウザを彼らの個人的なスパイに変えてしまうのだ。

この一連のダンス——Teamsのお誘い、AutoHotkeyスクリプト、不正なブラウザ拡張機能——は、ソーシャルエンジニアリングとカスタムツールのシンフォニーだ。それは、お前の信頼と日常的なソフトウェアへの依存を悪用するように設計されている。これは、配達ドライバーを装って玄関のドアを開けさせることのデジタル版だ。

なぜこれが現実世界の人々にとって重要なのか?

これは、CスイートやITセキュリティチームだけが悩むべき問題ではない。これは平均的な従業員に直接影響する。それは、無害に見える通知でさえ罠になり得ることを意味する。それは、あなたが忘れているかもしれない拡張機能によって駆動される、あなたのカジュアルなブラウジング習慣が、深刻な侵入のベクトルになり得ることを意味する。これは、警戒がサイバー戦士だけのものではなく、コンピューターにログインするすべての人に必要なものであることを痛感させる。

UNC6692が初期侵害後にネットワーク内でピボットできる能力は、PsExecやカスタムSNOWGLAZEトンネル経由のRDPのようなツールを使用することで、単にデータを掴んで立ち去るだけではないことを示している。彼らは深く掘り下げ、調査し、広範囲にわたる混乱を引き起こす可能性がある。これは強盗ではなく、綿密に計画された占領なのだ。

ブラウザ拡張機能こそが真の悪党

SNOWBELT、悪意のあるChromiumブラウザ拡張機能が、要だ。それは、お前のウェブトラフィックと直接やり取りし、周辺を嗅ぎ回り、さらなるペイロードを取得する部分だ。デジタルな壁の中のモグラと考えてくれ。常に攻撃者に情報を中継している。彼らが公式チャンネルを使わずに配布しているという事実は、持っているすべての警告ベルを鳴らすべきだ。

ソーシャルエンジニアリングが今回初めて見られたわけではない。しかし、Teams、カスタムAutoHotkeyマルウェア、そして深く埋め込まれたブラウザ拡張機能の組み合わせは、洗練されたエスカレーションを表している。これは常に改良されているプレイブックであり、我々はその実験の受け手なのだ。賢くあれ。懐疑的であれ。お前のデジタルライフはそれに依存している。

SNOWBELTのその後は?

SNOWBELTが定着すると、攻撃者は止まらない。彼らはそれを使ってSNOWGLAZEやSNOWBASINのようなカスタムマルウェアをさらにダウンロードする。AutoHotkeyスクリプトとポータブルPython環境も展開する。この多段階アプローチにより、環境内で見つけたものに基づいてツールキットを適応させ、柔軟性を維持できる。奴らは単に一つの爆弾を投下するのではなく、一度侵入したら、そこから完全な兵器庫を構築するのだ。

次に内部偵察が始まる。UNC6692はPythonスクリプトを使用して、脆弱なポートがないかネットワークをスキャンする。その後、SNOWGLAZEトンネルを使用してリモートでコマンドを実行する。彼らは、さらに深いアクセス権を得るためにローカル管理者アカウントを探している。彼らの目標は、お前のワークステーションからサーバーへと横移動し、あらゆるステップで権限を昇格させることだ。これが、侵害が悪質から破滅的になる道筋だ。

🧬 関連インサイト

よくある質問

UNC6692とは? UNC6692は、ソーシャルエンジニアリングとカスタムマルウェアを使用して被害者のネットワークに侵入する、新しく特定された攻撃グループだ。

UNC6692はどのようにマルウェアを配布するのか? Microsoft Teams上でITサポートを装い、被害者を騙して悪意のあるリンクをクリックさせる。そのリンクから、SNOWBELTという悪意のあるブラウザ拡張機能を含むカスタムマルウェアスイートがダウンロードされる。

Wei Chen
Written by
Wei Chen

Technical security analyst. Specialises in malware reverse engineering, APT campaigns, and incident response.

#autohotkey #browser-extension #malware #microsoft-teams #social-engineering #unc6692
More in Nation-State Threats →

Worth sharing?

Get the best Cybersecurity stories of the week in your inbox — no noise, no spam.

Originally reported by Mandiant Blog

Related Stories