最近発見された脅威アクターが被害者にメールを大量送信し、IT サポートになりすましてマルウェアコードを実行させるよう説得している様子が観察されており、Google Threat Intelligence Group(GTIG)が報告しています。
2025年12月、UNC6692として追跡されている脅威アクターは、ターゲットにメール メッセージを大量に送信し、その後 Microsoft Teams 経由で被害者に連絡を取り、IT ヘルプデスク従業員になりすましているのが確認されました。
大量の受信メールに対するサポートを提供していると装い、攻撃者は被害者を騙して、偽のメールボックス修復ユーティリティを提供するフィッシング ページに導く URL をクリックさせました。
ページはリンク内のメール パラメータをチェックし、被害者のブラウザが Microsoft Edge であることを確認し、修復ユーティリティになりすましたパネルを表示しました。
ユーザーがページ上の「ヘルス チェック」ボタンをクリックすると、被害者の認証情報を収集して検証するための偽の認証ボックスが表示されました。疑いを避けるため、偽の進行状況バーも表示されました。
バックグラウンドでは、ページ上のスクリプトが AutoHotKey バイナリと AutoHotKey スクリプトをシステムにダウンロードしました。実行時に、ペイロードは Snowbelt という Chromium ブラウザ拡張機能として展開される JavaScript ベースのバックドアでシステムを感染させました。
拡張機能の永続性を確立するために、コードは AutoHotKey スクリプトへのショートカットを Windows スタートアップに追加し、2 つのスケジュールされたタスク(ウィンドウレス Edge プロセスを開いて Snowbelt をロード、ヘッドレス Edge プロセスを終了)を作成しました。
次に、攻撃者は悪意のある拡張機能を使用して、AutoHotkey スクリプト、ZIP アーカイブ、Snowglaze トンネル、Snowbasin マルウェアを含む追加のペイロードを、攻撃者が管理する AWS S3 バケットからダウンロードしました。
偵察、横展開、認証情報の収集
UNC6692 は Snowglaze を使用して Sysinternals PsExec セッションをシステムに確立し、管理者アカウントを列挙しました。これらのアカウントの 1 つを使用して、Snowglaze トンネル経由でバックアップ サーバーへの Remote Desktop Protocol(RDP)セッションを開始しました。
「直接観察されていないが、脅威アクターは認証されたサーバー メッセージ ブロック(SMB)共有列挙などの複数の攻撃パスを通じてローカル管理者アカウントの認証情報を取得した可能性があります」と GTIG は述べています。
その後、脅威アクターはバックアップ サーバーから LSASS プロセス メモリをダンプし、LimeWire 経由で流出させて、ユーザー名、パスワード、ユーザー アカウント ハッシュを抽出しました。
次に、UNC6692 は Pass-The-Hash を使用してネットワークのドメイン コントローラーにアクセスし、FTK Imager をダウンロードし、このツールを使用してローカル ストレージ ドライブをマウントし、Active Directory データベース ファイル、Security Account Manager(SAM)、System、および Security レジストリ ハイブを \Downloads フォルダーに書き込み、LimeWire を使用してデータを流出させました。
Snow マルウェア
攻撃で使用されたモジュラー「Snow」マルウェア フレームワークの 3 つの主要なコンポーネント(Snowbelt、Snowglaze、Snowbasin)は、「初期ブラウザ ベースのアクセスから組織の内部ネットワークへの攻撃者の進展を促進する調整されたパイプラインを形成します」と GTIG は述べています。
Snowbelt はコマンドをインターセプトして Snowbasin に配信して実行し、環境への認証されたアクセスを提供し、横展開と権限昇格を有効にします。
Python ベースのトンネラーである Snowglaze は、攻撃者のコマンド アンド コントロール(C&C)サーバーへのセキュアで認証されたWebSocket トンネルを作成し、SOCKS プロキシ操作を促進し、悪意のあるトラフィックを隠します。
Snowbasin はコマンド実行、スクリーンショット キャプチャ、データ収集をサポートするローカル HTTP サーバーとして機能する永続的なバックドアです。
「UNC6692 キャンペーンは、現代の攻撃者がソーシャル エンジニアリングと技術的な回避を組み合わせて環境への足がかりを得る方法を示しています。[…]信頼できるクラウド プラットフォーム上に悪意のあるコンポーネントをホストすることで、攻撃者は従来のネットワーク評判フィルターをバイパスし、合法的なクラウド トラフィックの大量のボリュームに溶け込むことができます」と GTIG は述べています。
翻訳元: https://www.securityweek.com/unc6692-uses-email-bombing-social-engineering-to-deploy-snow-malware/
