Хакеры выдают себя за IT-поддержку в Teams: новый вектор атак UNC6692
Атаки на корпоративные структуры через Microsoft Teams приобрели новый опасный вектор: хакерская группа UNC6692 выдает себя за IT-специалистов и обманом проникает в внутренние сети. Согласно отчету Google Threat Intelligence Group и Mandiant, мошенники сначала заваливают почтовые ящики жертв спамом, создавая иллюзию технических проблем, а после вступают в диалог через Teams под видом поддержки. Об этом сообщает издание pepelac.news.
Жертве отправляют фишинговую ссылку на фальшивую страницу «Утилита для восстановления и синхронизации почтовых ящиков v2.1.5». Нажатие кнопки «Проверка состояния» передает логин и пароль мошенникам, а незаметно запущенный скрипт инсталлирует комплекс вредоносного ПО SNOW. Этот набор состоит из расширения для Chromium-браузеров SNOWBELT, работающего как бэкдор, скрытого инструмента на Python SNOWGLAZE для вывода данных через WebSocket, и основного модуля SNOWBASIN с функциями удаленных команд, скриншотов и доступа к файловой системе.
Злоумышленники после внедрения детально сканируют сеть, применяют методы Pass-the-Hash и извлекают учетные данные из памяти процессов. Они могут заполучить содержимое базы Active Directory и критической инфраструктуры, после чего организованно выгружают информацию. Специалисты напоминают: хоть Microsoft Teams и предупреждает о внешних сообщениях, пользователям стоит перепроверять любые подобные обращения через официальные каналы обслуживания.
