Iscriviti al webinar gratuito del 28 Aprile per diventare Ethical Hacker! Scopri di più
Microsoft Teams sotto attacco UNC6692: email bombing e finto helpdesk installano SNOWBELT da AWS S3
La campagna attribuita al cluster di minaccia UNC6692 mostra come la social engineering stia evolvendo sfruttando strumenti di collaborazione aziendale come Microsoft Teams. Gli attaccanti avviano spesso la compromissione con un email bombing, cioe una raffica di messaggi spam che intasa la casella della vittima e crea urgenza e confusione.
Subito dopo, contattano il bersaglio su Teams fingendosi il helpdesk IT e propongono assistenza per risolvere il problema, inducendo la persona ad accettare una chat da un account esterno all organizzazione.
In molti scenari simili l obiettivo e ottenere accesso iniziale convincendo l utente a installare strumenti legittimi di accesso remoto. In questo caso, la catena di attacco osservata introduce una variante piu subdola: la vittima viene invitata a cliccare un link di phishing inviato via Teams per installare una presunta patch locale. La pagina di esca si presenta come Mailbox Repair and Sync Utility v2.1.5 e, dopo il click, scarica uno script AutoHotkey da un bucket AWS S3 controllato dagli attaccanti.
Lo script esegue ricognizione iniziale e poi installa SNOWBELT, una estensione malevola basata su Chromium, caricata su Microsoft Edge in modalita headless tramite il parametro di avvio load extension. Un componente gatekeeper aiuta a consegnare il payload solo ai target desiderati, riducendo la probabilita di analisi automatizzate in sandbox.
La stessa pagina di phishing puo anche mostrare un pannello di gestione con un pulsante Health Check che richiede le credenziali della mailbox. In realta i dati vengono raccolti ed esfiltrati verso un ulteriore bucket Amazon S3.
Da qui entra in gioco un ecosistema modulare di malware SNOW: SNOWBELT agisce come backdoor in JavaScript e passa i comandi a SNOWBASIN, che abilita esecuzione remota tramite cmd o powershell, screenshot e trasferimento file, mantenendo persistenza tramite un server HTTP locale su porte 8000, 8001 o 8002. SNOWGLAZE invece crea un tunnel WebSocket autenticato tra rete interna e server di comando e controllo, facilitando movimento laterale.
Dopo l accesso iniziale, sono stati osservati scanning di rete, sessioni PsExec e RDP instradate nel tunnel, tecniche di escalation tramite dumping di LSASS e movimento laterale con pass the hash verso i domain controller, fino alla raccolta ed esfiltrazione di dati sensibili. Un elemento chiave e l abuso sistematico di servizi cloud legittimi per hosting dei payload, esfiltrazione e infrastruttura C2, rendendo il traffico malevolo piu difficile da distinguere da quello lecito.