Думаете, хакеры прячутся только в вашей электронной почте? Как бы не так. Последние проделки банды под названием UNC6692 показывают, что они становятся куда более назойливыми и, честно говоря, раздражающими. Они больше не просто стучатся в дверь — они приглашают себя сами, используя те самые инструменты, которым вы доверяете, чтобы получить точку опоры.
Настоящая новость здесь не просто очередное распространение вредоносного ПО. Дело в наглости. Эти ребята решили, что ваши обычные корпоративные инструменты — кладезь для эксплуатации. Microsoft Teams, якобы центр для совместной работы, превращается в дверь gilded cage (золотой клетки). А ваш браузер? Внезапно он нужен не только для просмотра видео с котиками; он становится троянским конем, и всё благодаря хитрому маленькому расширению.
Вот расклад для тех, кто всё ещё пытается держать свои цифровые двери запертыми: UNC6692 забрасывает вас письмами. Классическая тактика отвлечения. Затем, бац. Появляется сообщение в Microsoft Teams, замаскированное под помощь из IT-отдела. Вам предлагают исправить переполненный почтовый ящик. Всё, что нужно сделать, — перейти по ссылке для установки «локального патча». Легко, правда? Не совсем. Ссылка ведёт на веб-страницу, которая незаметно скачивает не просто скрипт, а переименованный бинарный файл AutoHotKey. Если имена совпадают, происходит «бум». Скрипт запускается. Начинается разрушение.
Кампания UNC6692 демонстрирует интересную эволюцию тактик, особенно использование социальной инженерии, кастомного вредоносного ПО и вредоносного расширения браузера, играя на доверии жертвы к нескольким различным поставщикам корпоративного программного обеспечения.
Это не какой-то скриптовый молокосос, стучащийся в ваш файрвол. Это просчитанный ход. Они знают, что вы доверяете своему IT-отделу, и рассчитывают на ваше доверие к уведомлению Teams. Вредоносное ПО, названное SNOWBELT, даже не пытается скрываться в Chrome Web Store. Это самодельная угроза, установленная напрямую. И на этом всё не заканчивается.
Упорство — это ключ, по-видимому.
Как только SNOWBELT оказывается внутри, он начинает мирно сосуществовать с автозагрузкой вашей системы. Ярлык в папке «Автозагрузка» Windows гарантирует, что он снова будет онлайн ещё до того, как вы успеете выпить второй кофе. Затем начинается настоящее волшебство: запланированные задачи. Они не просто для поддержания работы SNOWBELT. О нет. Они предназначены для поиска и завершения любых процессов Microsoft Edge, которые не запускают их вредоносное ПО. Они, по сути, насильно внедряют своё вредоносное расширение в Edge, превращая ваш браузер в их личного шпиона.
Весь этот танец — приманка через Teams, скрипт AutoHotkey, вредоносное расширение браузера — это симфония социальной инженерии и кастомных инструментов. Это сделано для того, чтобы использовать ваше доверие и вашу зависимость от повседневного программного обеспечения. Это цифровой эквивалент того, как кто-то притворяется курьером, чтобы заставить вас открыть входную дверь.
Почему это важно для обычных людей?
Это не просто головная боль для руководства или команды IT-безопасности. Это напрямую затрагивает среднего сотрудника. Это означает, что даже кажущиеся безобидными уведомления могут быть ловушками. Это означает, что ваши случайные привычки просмотра веб-страниц, подпитываемые расширениями, о которых вы могли забыть, могут стать векторами для серьёзного вторжения. Это суровое напоминание о том, что бдительность нужна не только кибер-воинам; она нужна каждому, кто входит в систему компьютера.
Способность UNC6692 перемещаться по сети после первоначального компромисса, используя такие инструменты, как PsExec и RDP через их кастомный туннель SNOWGLAZE, означает, что они не просто крадут данные и уходят. Они вгрызаются, исследуют и потенциально вызывают широкомасштабные сбои. Это не ограбление, а тщательно спланированная оккупация.
Расширение браузера — настоящий злодей
SNOWBELT, вредоносное расширение браузера Chromium, является ключевым элементом. Это та часть, которая напрямую взаимодействует с вашим веб-трафиком, подсматривает и загружает дополнительные полезные нагрузки. Думайте об этом как о кроте внутри ваших цифровых стен, постоянно передающем информацию обратно атакующим. Тот факт, что они не используют официальные каналы для распространения, должен заставить вас включить все сигнальные лампочки.
Это не первый раз, когда мы видим социальную инженерию. Но сочетание Teams, кастомного вредоносного ПО AutoHotkey и глубоко внедрённого расширения браузера представляет собой сложное обострение. Это плейбук, который постоянно дорабатывается, а мы оказываемся на стороне, получающей эти эксперименты. Будьте умны. Будьте скептичны. Ваша цифровая жизнь зависит от этого.
Что происходит после SNOWBELT?
Как только SNOWBELT закрепляется, атакующие не останавливаются. Они используют его для загрузки другого кастомного вредоносного ПО, такого как SNOWGLAZE и SNOWBASIN. Они также развертывают скрипты AutoHotkey и переносимое окружение Python. Этот многоступенчатый подход позволяет им оставаться гибкими, адаптируя свой набор инструментов в зависимости от того, что они находят в вашей среде. Они не просто бросают одну бомбу; они строят целый арсенал, как только попадают внутрь.
Затем следует внутренняя разведка. UNC6692 использует скрипты Python для сканирования вашей сети на предмет уязвимых портов. После этого они используют свой туннель SNOWGLAZE для удаленного выполнения команд. Они ищут локальные администраторские учетные записи, чтобы получить ещё более глубокий доступ. Их цель — перемещаться латерально, от вашей рабочей станции к серверам, повышая привилегии на каждом шагу. Именно так взломы переходят из категории «плохо» в «катастрофа».
