ハッカーがIT ヘルプデスク職員に成りすまし、Microsoft Teams経由で企業に侵入

新たに特定されたサイバー脅威グループUNC6692は、ソーシャルエンジニアリングとカスタムマルウェアを巧妙に組み合わせて、企業ネットワークに侵入しています。

Microsoft Teams上のIT ヘルプデスク職員になりすまし、ハッカーは従業員に対して企業の機密データを盗む高度なマルウェアスイートのダウンロードを騙し取ります。

攻撃は積極的なメールボミングキャンペーンで始まります。UNC6692は対象者の受信箱をスパムで殺到させ、パニックと混乱を引き起こします。

被害者が圧倒されている間に、攻撃者は外部アカウントからMicrosoft Teamsメッセージを送信します。IT サポートに成りすまして、ハッカーはスパム問題を修正するための偽の「ローカルパッチ」を提供します。

被害者が提供されたリンクをクリックすると、偽の「メールボックス修復ユーティリティ」ページに移動します。このきわめて説得力のあるページはユーザーをMicrosoft Edge ブラウザーに強制し、計算された心理的トリックを使用します。

攻撃者制御下のAmazonサーバーに送信する前に、盗まれた認証情報が正しく入力されることを確実にするために、意図的に最初のパスワード試行を拒否します。

偽のページが盗まれたパスワードをアップロードしている間に、「構成データを解析中」などのメッセージが表示された偽のプログレスバーが表示されます。この気晴らしは、マルウェアがバックグラウンドで密かにダウンロードされている間、被害者を関与させ続けます。

Googleによると、初期ペイロードには、ユーザーに警告することなく自動的に実行されるAutoHotkeyスクリプトが含まれています。

このスクリプトはWindowsでスケジュール済みタスクをセットアップして永続性を確保し、カスタム「SNOW」マルウェアエコシステムをデプロイします。このツールセットは、感染したシステムを制御するための調整されたパイプラインとして機能します：

• SNOWBELTは、永続的なバックドア接続を維持するための悪意のあるChromiumブラウザ拡張機能として機能します。
• SNOWGLAZEは、外部通信のための暗号化されたブリッジを作成するPythonネットワークトンネラーとして機能します。
• SNOWBASINは、対話的なリモートコントロール、スクリーンショットキャプチャ、データ抽出のためのPythonベースのbindshellを提供します。

強固な足がかりで、UNC6692は対象ネットワークに深く移動します。Pythonスクリプトを使用して内部システムをスキャンし、バックアップサーバーへのアクセスを取得します。

そこから、攻撃者はWindows Task Managerを使用してLSASSプロセスからメモリを抽出します。これにより、管理パスワードハッシュを盗み、被害者の環境の外で安全に解読することができます。

これらの盗まれた認証情報を使用して、ハッカーはネットワークのドメインコントローラーにアクセスするためのPass-the-Hash攻撃を実行します。

Microsoft Edgeを開いて、FTK Imagerなどの専門的なフォレンジクスツールをダウンロードして、Active Directoryデータベース全体を静かにコピーします。最後に、この膨大な企業機密データの宝庫がLimeWireを使用してネットワークから流出します。

このキャンペーンは、ハッカーが信頼できるエンタープライズサービスを悪用して痕跡を隠す成長中の「クラウドを生かす」戦略を強調しています。Microsoft TeamsやAmazon Web Servicesなどの正当なプラットフォームを使用しているため、従来のネットワーク評判フィルターはしばしば失敗します。

組織は標準的なアンチウイルスソフトウェアを超えて、ブラウザー監視を大幅に強化する必要があります。

IoC

ネットワークインジケーター