Что тут скажешь, мы все в этом варились. Потопаешь в письмах, ящик — цифровая свалка корпоративных объявлений или агрессивного маркетинга. Именно этот хаос и начал использовать UNC6692 — свежевыявленная группа злоумышленников. От большинства, кто ежедневно копается в цифровой грязи, ожидалось, что атакующие продолжат оттачивать незаметные эксплойты нулевого дня или сразу пойдут за крупным рэп-кушем. Но это? Это психологическая война из старой школы, усиленная чистой громкостью, и, как ни странно, это работает.
То, что делает UNC6692… честно говоря, в своей извращенности это почти гениально. Начинается всё с лавины писем. Не просто спам, а всепоглощающий поток, призванный создать ощущение, будто вы сражаетесь с цифровой гидрой. А потом, когда вы уже барахтаетесь, ваша IT-служба — или кто-то, выдающий себя за вашу IT-службу — появляется в Microsoft Teams и предлагает помочь разобраться с этим бардаком. Цифровой эквивалент грабителя, который помогает вам собрать рассыпавшиеся продукты, а затем вытаскивает ваш кошелек.
Это просто старые трюки в новой обертке?
Они же колесо не изобретают, правда? Притворяться техподдержкой? Были, проходили. Заманивать на фейковые страницы входа? Скука. Но координация здесь — вот что по-настоящему мерзко. В статье отмечается, что они проверяют браузер жертвы (Microsoft Edge, что… странно, но детали важны, полагаю), а затем предъявляют поддельное средство восстановления почтового ящика. Эта утилита, работая в фоновом режиме, загружает и запускает AutoHotKey скрипты, которые затем разворачивают основной полезный груз: бэкдор на базе JavaScript под названием Snowbelt, маскирующийся под расширение браузера Chromium. Это как матрешка вредоносов, каждый слой призван убаюкать вас ложным чувством безопасности, пока наносится реальный ущерб.
А что насчет стойкости? О, об этом они тоже позаботились. Ярлыки для AutoHotKey скрипта забрасываются в папку автозагрузки Windows. Создаются две запланированные задачи, чтобы гарантировать, что браузер Edge в безголовом режиме загрузит Snowbelt, а затем безжалостно выследит любые случайные безголовые процессы Edge, которые осмелятся появиться. Это цифровая зараза, и они следят, чтобы она прижилась.
«Кампания UNC6692 демонстрирует, как современные злоумышленники сочетают социальную инженерию и техническое уклонение для получения точки опоры в средах. […] Размещая вредоносные компоненты на доверенных облачных платформах, злоумышленники часто могут обходить традиционные фильтры репутации сети и сливаться с большим объемом легитимного облачного трафика», — отмечает GTIG.
Вот тут сюжет закручивается, и, честно говоря, мой скептицизм переходит на вторую передачу. Хостинг на S3-бакетах AWS? Использование доверенных облачных платформ для скрытия вредоносного трафика? Дело не только во внедрении бэкдора; дело в том, чтобы сделать этот бэкдор максимально незаметным. Они не просто прячутся в лесу; они прячутся среди деревьев, используя ту самую инфраструктуру, на которую полагаются легитимные бизнесы, чтобы скрыть свое присутствие. Это умный, хоть и совершенно злодейский ход. Кто на этом зарабатывает? Очевидно, тот, кто стоит за UNC6692, и, возможно, тот, кто покупает украденные данные. Главный вопрос — позволим ли мы им это делать дальше.
Что на самом деле делает «Снег»?
Как только они получают доступ с помощью Snowbelt, начинается настоящее веселье. Они начинают загружать больше «плюшек» — скрипты AutoHotkey, ZIP-архив и, что критически важно, компоненты под названиями Snowglaze и Snowbasin. Snowglaze, описанный как туннелер на Python, создает защищенный WebSocket-туннель обратно на сервер команд и управления злоумышленников. Представьте это как частную, зашифрованную дорогу прямо из вашей скомпрометированной сети в их зловещее логово. Он обеспечивает работу SOCKS-прокси, что, по сути, означает, что они могут направлять свой трафик через вашу сеть, чтобы создать видимость, будто это вы его генерируете. Удобно для них, ужасно для вас.
Snowbasin, с другой стороны, — это устойчивый бэкдор. Он действует как локальный HTTP-сервер, готовый выполнять команды, делать снимки экрана и, в целом, вычерпывать любые данные, которые сможет найти. Вся эта система — Snowbelt, Snowglaze, Snowbasin — это скоординированный штурм. Это не просто один инструмент; это швейцарский нож киберпреступности, разработанный для всего: от первоначального проникновения до горизонтального перемещения и, в конечном итоге, глубокого погружения в вашу конфиденциальную информацию. Они не просто крадут данные; они картографируют всё ваше цифровое королевство.
Горизонтальное перемещение особенно пугает. Snowglaze используется для установления сеанса PsExec на систему, перечисления администраторских учетных записей. Затем они используют RDP для переключения на резервный сервер, вероятно, через тот самый туннель Snowglaze. Оттуда они выгружают память процесса LSASS — сокровищницу учетных данных — и извлекают ее с помощью LimeWire (да, того самого LimeWire, оказывается, он воскрес как инструмент для извлечения вредоносных данных). Затем они используют атаки Pass-The-Hash, чтобы добраться до доменного контроллера, захватить инструменты вроде FTK Imager и вытащить файлы базы данных AD, системные и защитные ветки реестра SAM. Это полное, систематическое выкачивание самых критических данных вашей сети.
Почему эта «Снежная» кампания вызывает беспокойство?
Дело не только в новом вредоносном ПО. Дело в методологии. UNC6692 доказывает, что старые тактики в сочетании с неустанным, подавляющим подходом и хитроумным использованием облачной инфраструктуры всё ещё могут быть невероятно мощными. Они не просто обходят файрволы; они обходят человеческий фактор — нашу склонность к перегрузке, к поиску помощи, к доверию знакомому. И, сливаясь с легитимным облачным трафиком, они затрудняют обнаружение традиционными инструментами безопасности. Это утонченное сочетание психологических манипуляций и технического уклонения, и для его нейтрализации потребуется более тонкая защита, чем просто установка нового антивируса.
Напоминает ранние дни APT-групп, когда акцент делался на терпении и кропотливом планировании. Но это ощущается… быстрее. Больше брутфорса, но при этом с хирургической точностью на поздних стадиях. Тот факт, что они готовы напрямую атаковать базу данных Active Directory, демонстрирует уровень амбиций, который, откровенно говоря, тревожит. Они не ищут быстрой наживы; они стремятся демонтировать изнутри. И, честно говоря, то, что они используют возрожденное P2P-приложение для обмена файлами из начала 2000-х для извлечения данных, служит суровым напоминанием: иногда самые малозаметные инструменты могут стать самыми опасными.
🧬 Связанные материалы
- Читать дальше: Прогноз Check Point на 2025 год: Реальный взгляд или эхо-камера?
- Читать дальше: Восстановление после взлома: действуйте быстро, или потеряете всё
Часто задаваемые вопросы
Что делает вредонос «Snow»?
Вредонос «Snow» — это модульный фреймворк, используемый группой UNC6692. Его компоненты, Snowbelt, Snowglaze и Snowbasin, работают совместно для кражи учетных данных, горизонтального перемещения в сети и создания устойчивых бэкдоров для извлечения данных.
Как UNC6692 попадает в системы жертв?
UNC6692 использует двойной подход: сначала бомбардирует жертв большим объемом электронных писем, а затем выдает себя за IT-поддержку через такие платформы, как Microsoft Teams, чтобы обманом заставить пользователей загрузить и запустить вредоносный код под видом утилиты.
Атака нацелена на конкретные компании?
Хотя в статье не названы конкретные жертвы, сложность атаки предполагает, что она нацелена на организации с ценными данными, вероятно, крупные предприятия, которые оправдывают усилия и ресурсы, необходимые для такой детальной кампании.
