以前は知られていなかった脅威グループが、試行錯誤された社会工学的戦術(Microsoft Teamsのチャット招待とヘルプデスク職員になりすまし)を使用し、データ盗難攻撃でカスタムマルウェアも使用していると、Googleの脅威インテリジェンスグループが述べています。
脅威ハンターは2025年12月下旬に「大規模なメールキャンペーン」を発見したと述べています。攻撃は、膨大な量のメールトラフィックで対象組織をスパムすることから始まりました。その後、ヘルプデスク職員になりすました人物がMicrosoft Teamsを介して連絡を取り、メール量の問題を解決するのを手助けすると申し出ました。
偽のヘルプデスク作業者は、ユーザーに、メールスパムを防ぐローカルパッチをインストールするはずのリンクをクリックするよう促します。これにより、被害者は「メールボックス修復ユーティリティ」になりすましたランディングページに誘導されます。このページには「ヘルスチェック」ボタンがあり、クリックするとユーザーはメールとパスワードを使用して認証するよう促されます。これにより、攻撃者はこれらの認証情報を入手できます。
認証情報を収集するスクリプトは、最初と2番目のパスワード試行を自動的に間違っていると拒否する狡猾な「ダブルエントリー」心理トリックも使用しています。
「これは2つの機能を果たします。ユーザーのシステムが正当であるという信念を強化し、リアルタイム検証を実行し、攻撃者がパスワードを2回キャプチャすることを確保し、盗まれたデータのタイプミスのリスクを大幅に減らします」とGTIGは述べています。
フィッシングページはその後、偽のメールボックス整合性チェックを実行します。これは、認証情報とメタデータが攻撃者が管理するAmazon S3バケットに送信され、ステージングされたファイルがユーザーのマシンへのダウンロードを続ける間、被害者を関与させ続けます。
「ユーザーが『設定が正常に完了しました』というメッセージを受け取るまでに、攻撃者は認証情報を保護し、これらのステージングされたファイルを使用してエンドポイント上に永続的な足がかりを確立している可能性があります」とGoogleの研究者は書きました。
最初のステージはAutoHotKeyバイナリとAutoHotkyスクリプトをダウンロードし、すぐに偵察を実行し始め、SnowBeltと呼ばれる悪意あるChromiumブラウザ拡張機能をインストールします。(Chrome Web Storeからは利用できず、社会工学的戦術を通じてのみ利用可能です。)
Snowマルウェア
UNC6692は、SnowBelt拡張機能を使用して、その他のカスタム「Snow」という名前のマルウェア、追加のAutoHotkyスクリプト、およびポータブルPython実行ファイルと必要なライブラリを含むZIPアーカイブをダウンロードします。
Snowマルウェアは、3つの主要なコンポーネント(SnowBelt、SnowGlaze、SnowBasin)を備えたモジュール型エコシステムとして動作することが知られています。
JavaScriptベースのバックドアであるSnowBeltはChromiumブラウザ拡張機能として配信され、攻撃者に初期足がかりを与え、ブラウザの拡張機能登録システムを介して永続性を維持します。「MS Heartbeat」または「System Heartbeat」などの名前の背後に隠れることがよくあります。
SnowGlazeはWindowsとLinux環境の両方で実行されるPythonベースのトンネラーで、外部通信を管理します。被害者の内部ネットワークと、Herokuサブドメインなどの攻撃者のコマンド&コントロール(C2)インフラストラクチャ間に、認証されたWebSocketトンネルを作成します。
また、データをJSONオブジェクトでラップし、WebSocket経由で転送するためにBase64エンコードすることで、悪意のあるトラフィックを偽装し、正当な標準的な暗号化Webトラフィックに見えるようにします。
最後に、SnowBasinは感染したシステムに対するインタラクティブな制御を提供するPythonバインドシェルです。永続的なバックドアとして機能し、ローカルHTTPサーバーとして動作し、通常はポート8000でリッスンし、リモートコマンド実行、スクリーンショットキャプチャ、および流出用のデータステージングを可能にします。
「このコンポーネントは、アクティブな偵察とミッション完了が発生する場所です」と脅威ハンターは述べました。「攻撃者のコマンド(whoamiやnet userなど)はSnowGlazeトンネルを通じて送信され、SnowBelt拡張機能によってインターセプトされ、その後HTTP POSTリクエストを介してSnowBasinローカルサーバーにプロキシされます。SnowBasinはこれらのコマンドを実行し、同じパイプラインを通じて結果を攻撃者に返します。」
このタイプのインタラクティブな社会工学的戦術は、ShinyHuntersやScattered Lapsus$ Huntersなどのサイバー犯罪グループにとって非常に有益なことが証明されています。しかし、Googleのアナリストは、The Registerに対し、これらのクルーとこの新しいグループ(UNC6692として追跡されている)の間に重複がないと述べました。
UNC6692とそのTeamsを主導とした社会工学的キャンペーンのGoogleの分析は、犯罪者がMicrosoft Teams通信を悪用し、ヘルプデスク職員になりすましてユーザーを罠にかけ、被害者のマシンをリモートで制御および感染させることについてのMicrosoftからの警告に続きます。
類似性にもかかわらず、Googleのセキュリティ研究者は、2つのキャンペーンは関連していないようだと述べました。
ただし、正当なクラウドサービスとツールと並行して、非常に説得力のある社会工学的戦術を使用してデジタル詐欺師の数が増加し、組織のIT環境に足がかりを得ることをよく思い出させてくれます。®
