企業の通信は、再び敵対者にとって便利なポータルとして浮上しました。この初期段階のキャンペーンでは、攻撃者は直接的な「強制侵入」を避け、代わりに従業員にとって一般的な職場上の問題を引き起こし、Microsoft Teamsサポート担当者に成りすまして迅速に「救援」を提供することを選択しています。
Mandiantチームは、大量のメール配信、フィッシング、悪質なブラウザ拡張機能を組み合わせたUNC6692という集団の動きを詳述しています。最初に、被害者のインボックスは大量のメッセージで攻撃されます。その後、外部アカウントを使用している侵入者がMicrosoft Teamsを介して接触を開始します。IT サポート専門家に成りすまして、攻撃者は継続的なスパムの問題に対する解決策を提案します。
やり取りの間に、被害者は「公式メール更新」と称するものをインストールするよう誘い込まれます。提供されたリンクは、「メールボックス修復ユーティリティ」に見せかけたポータルにリダイレクトされます。スクリプトをダウンロードすると、SnowBelt悪質な拡張機能がデバイスに展開され、企業アカウントへの永続的なアクセスを容易にし、継続的な再認証なしに内部アーキテクチャ全体における横方向の移動を可能にします。
Mandiantによると、SnowBeltはSnowGlazeおよびSnowBasinユーティリティ、AutoHotkey スクリプト、およびさらなる悪質なペイロードの実行のためのポータブルPython環境を含む、補足的なモジュールを取得する機能を備えています。
フィッシングインターフェースは、被害者を目的の結果に導くように設計されています。Microsoft Edge以外のブラウザでサイトにアクセスされた場合、Edgeへの移行を促す継続的な通知が表示され、そこでは戦略がより高い効果で機能します。もう1つの戦術的な細かい点には認証情報の収集が含まれます。フォームは意図的に最初の2つのログイン試行を拒否し、ユーザーに情報を再入力することを強制します。この動きは、攻撃者が正確な認証情報を確保する確率を大幅に増加させます。
レポートの著者は、UNC6692キャンペーンを高度なソーシャルエンジニアリングの例として特徴付けており、敵対者がユビキタスな企業プラットフォームに置かれた固有の信頼を悪用し、感染をIT部門からのルーチンな支援として偽装しています。
