Los hackers se hacen pasar por personal de Microsoft Teams para desplegar el malware SNOW
Un grupo de amenazas recientemente identificado está utilizando Microsoft Teams para hacerse pasar por personal del servicio de asistencia informática, bombardear las bandejas de entrada de las empresas con spam y desplegar después un paquete de malware personalizado en las redes empresariales. Google Threat Intelligence Group y Mandiant revelaron la campaña, atribuyéndola a un grupo que están rastreando como UNC6692.
Cómo entra UNC6692
Según el informe, el ataque comienza con un bombardeo masivo de correos electrónicos https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware contra el objetivo, inundando su bandeja de entrada para fabricar una sensación de crisis. A continuación, un atacante se pone en contacto a través de Microsoft Teams desde una cuenta externa, afirmando ser soporte de TI y ofreciéndose a solucionar el problema del spam.
Un informe adicional de https://cybersecuritynews.com/microsoft-teams-breach-organizations/ transmiten que a los empleados que aceptan la invitación al chat se les envía un enlace de phishing que les lleva a una convincente página falsa llamada "Mailbox Repair and Sync Utility v2.1.5"
Un falso botón de comprobación de estado en esa página recoge sus credenciales de buzón y las envía directamente a un cubo S3 de AWS controlado por el atacante. Según Mandiant, un script AutoHotKey también se descarga silenciosamente en segundo plano y comienza a instalar el conjunto de herramientas de malware del grupo.
Qué hace realmente SNOW
El kit de herramientas tiene tres componentes, según las conclusiones del informe de https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware. SNOWBELT es una extensión maliciosa del navegador Chromium que se disfraza de "MS Heartbeat" o "System Heartbeat" y actúa como puerta trasera principal.
SNOWGLAZE es un tunneler basado en Python que empuja el tráfico a través de la máquina de la víctima al servidor de comando y control del grupo a través de WebSocket. Envuelve los datos en JSON codificado en Base64 para que parezca tráfico web cifrado estándar.
SNOWBASIN se asienta debajo de todo ello como una puerta trasera persistente, dando al atacante ejecución remota de comandos, captura de pantalla y acceso a archivos bajo demanda. Juntos, según Mandiant, los tres componentes proporcionan a UNC6692 un punto de apoyo silencioso y duradero que se confunde con la actividad rutinaria del navegador y de la red.
A dónde va desde allí
Desde el punto de apoyo inicial, el grupo explora la red local en busca de puertos abiertos y pivota hacia los controladores de dominio utilizando Pass-the-Hash con hashes de contraseñas NTLM robados. Según Mandiant, el grupo extrae la memoria de proceso LSASS de un servidor de copia de seguridad y la exfiltra a través de LimeWire, sacando las credenciales del entorno de la víctima para procesarlas fuera de línea.
Una vez en un controlador de dominio, Mandiant afirma que UNC6692 utiliza FTK Imager para extraer el archivo de base de datos de Active Directory, junto con los archivos comprimidos de registro Security Account Manager y SYSTEM, y luego lo exfiltra todo a través de LimeWire de nuevo antes de realizar capturas de pantalla del controlador de dominio.
El informe revela que Microsoft Teams muestra una advertencia cuando llegan mensajes de fuera de la organización. Cualquier solicitud de soporte externa no solicitada debe verificarse a través de un canal interno conocido antes de conceder cualquier acceso.
