- Googleが新しい脅威グループUNC6692を特定。Microsoftチーム経由での大量スパムと偽のITサポートメッセージを使用して被害者を騙している
- 被害者はランディングページに誘導され、認証情報を収集され、雪をテーマにした3部構成のマルウェアフレームワークが展開された
- このツールキットには、永続性に焦点を当てたブラウザ拡張機能、データ流出用のトンネリングツール、完全なエンドポイント乗っ取りを可能にするバックドアが含まれている
Googleは、かしこい社会工学的戦術を使用して3つのマルウェアを展開する、以前は文書化されていない脅威アクター集団について警告を発しました。
詳細なレポートで、GoogleはUNC6692が短い時間枠内に標的のメール受信箱に無数のスパムメッセージを送信したと述べました。
その直後、彼らはMicrosoft Teamsのクロステナント機能経由でそのメール所有者に連絡し、IT/ヘルプデスク担当者として自己紹介します。スパム問題の修正を任命されたと言い、修正が見つかるランディングページへのリンクを共有します。
記事は下に続きます
「snow」フレームワーク
リンクをたどった被害者はまず、ページのボタンをクリックして「ヘルスチェック」を実行するよう求められます。これにより、ユーザーはメールとパスワードを使用して認証するよう促され、その後攻撃者のサーバーに吸い上げられます。
Googleはまた、ログイン試行が最初は決して成功しないことに気付きました。これは知覚された正当性を高め、被害者が偽のまたはタイプミスのあるパスワードを共有しないようにするための意図的な試みです。
「ログイン」後、ページは「メール整合性チェック」を実行します。これはバックグラウンドで行われることのカバーに過ぎません。3つの要素で構成されるマルウェアフレームワークの展開です。
「ユーザーが『設定が正常に完了しました』というメッセージを受け取る時点で、攻撃者は認証情報を確保し、これらのステージングされたファイルを使用してエンドポイント上に永続的な足がかりを確立している可能性があります。」とGoogleはレポートで述べました。
このフレームワークは雪をテーマとしており、3つのツールを含んでいます:SnowBelt、SnowGlaze、SnowBasinです。
1番目はChromiumベースの拡張機能で、ブラウザーの拡張機能登録システム経由で永続性を確立します。拡張機能は「MS Heartbeat」または「System Heatbeat」という名前が付けられることが多いです。
2番目はトンネラーで、認証されたWebSocketトンネルを作成し、簡単な通信とデータ抽出を可能にします。3番目はバックドアで、完全なエンドポイント乗っ取りを可能にします。
