SNOW-Malware
Ein bisher unbekannter Bedrohungscluster mit der Kennung UNC6692 wurde identifiziert, der mithilfe fortgeschrittener Social-Engineering-Techniken über Microsoft Teams ein eigens entwickeltes Malware-Framework namens SNOW Malware verbreitet. Die Angreifer geben sich systematisch als IT-Helpdesk-Mitarbeiter aus und verleiten ihre Opfer dazu, Chat-Einladungen von externen Konten anzunehmen.
Diese Täuschung wird durch eine koordinierte E-Mail-Bombardierung verstärkt, bei der die Opfer mit Spam-Nachrichten überschwemmt werden, um Dringlichkeit und Verwirrung zu erzeugen. Kurz darauf nimmt der Angreifer über Microsoft Teams Kontakt auf, gibt sich als IT-Support aus und bietet Hilfe bei der Behebung des vorgetäuschten Problems an. Diese zweistufige Manipulationstaktik erhöht die Wahrscheinlichkeit der Mitwirkung der Nutzer erheblich.
Inhaltsverzeichnis
Traditionelle Taktiken, moderne Wirkung
Das Vorgehen ähnelt Techniken, die in der Vergangenheit mit Ablegern von Black Basta in Verbindung gebracht wurden. Obwohl die Gruppe ihre Ransomware-Aktivitäten eingestellt hat, sind ihre Methoden weiterhin wirksam. Sicherheitsforscher bestätigen, dass dieser Ansatz primär Führungskräfte und leitende Angestellte ins Visier nimmt und ihnen so einen ersten Netzwerkzugang ermöglicht, der zu Datenexfiltration, lateraler Ausbreitung, dem Einsatz von Ransomware und Erpressung führen kann. In beobachteten Fällen erfolgten die von Angreifern initiierten Chats innerhalb weniger Sekunden, was auf Automatisierung und Koordination hindeutet.
Täuschender Einstiegspunkt: Die vorgetäuschte Lösung
Im Gegensatz zu herkömmlichen Angriffen, die sich ausschließlich auf Fernverwaltungstools wie Quick Assist oder Supremo Remote Desktop stützen, verwendet diese Kampagne eine modifizierte Infektionskette. Die Opfer werden dazu verleitet, auf einen Phishing-Link zu klicken, der über Teams geteilt wird und als „Mailbox Repair and Sync Utility v2.1.5“ präsentiert wird.
Der Link löst den Download eines schädlichen AutoHotkey-Skripts aus, das auf einem vom Angreifer kontrollierten Cloud-Speicher gehostet wird. Ein Kontrollmechanismus stellt sicher, dass die Schadsoftware nur an die vorgesehenen Ziele ausgeliefert wird und hilft so, automatisierte Sicherheitsanalysen zu umgehen. Zusätzlich überprüft das Skript die Browsernutzung und erzwingt durch dauerhafte Warnungen die Verwendung von Microsoft Edge, um die Kompatibilität mit nachfolgenden schädlichen Komponenten zu gewährleisten.
SNOWBELT: Die stille Browser-Hintertür
Das initiale Skript führt eine Aufklärung durch, bevor SNOWBELT, eine schädliche, auf Chromium basierende Browsererweiterung, installiert wird. SNOWBELT wird über einen im Hintergrund laufenden Edge-Prozess mithilfe spezifischer Befehlszeilenparameter installiert und fungiert als verdeckte Hintertür. Es ermöglicht das Herunterladen weiterer Schadsoftware, darunter SNOWGLAZE, SNOWBASIN, zusätzliche AutoHotkey-Skripte und ein komprimiertes Archiv mit einer portablen Python-Umgebung.
Gleichzeitig präsentiert die Phishing-Oberfläche ein „Konfigurationsverwaltungspanel“ mit einer „Integritätsprüfung“. Diese Oberfläche fordert Benutzer unter dem Vorwand der Authentifizierung zur Eingabe von E-Mail-Zugangsdaten auf, erfasst und exfiltriert jedoch stattdessen sensible Daten an die vom Angreifer kontrollierte Infrastruktur.
Modulares Malware-Ökosystem: Aufschlüsselung des SNOW-Frameworks
Die SNOW-Malware-Suite fungiert als koordiniertes, modulares Ökosystem, das auf Persistenz, Kontrolle und Tarnung ausgelegt ist:
- SNOWBELT fungiert als JavaScript-basierter Befehlsweiterleiter, der Anweisungen vom Angreifer empfängt und diese zur Ausführung weiterleitet.
- SNOWGLAZE fungiert als Python-basiertes Tunneling-Tool und stellt eine sichere WebSocket-Verbindung zwischen dem kompromittierten Netzwerk und dem Command-and-Control-Server des Angreifers her.
- SNOWBASIN dient als persistente Hintertür, die die Ausführung von Fernbefehlen, Dateiübertragungen, das Aufnehmen von Screenshots und die Selbstentfernung ermöglicht, während es gleichzeitig als lokaler HTTP-Server auf mehreren Ports fungiert.
Nach der Ausbeutung: Ausweitung der Kontrolle und Datenextraktion
Nach dem ersten Eindringen führt der Angreifer eine Reihe von Aktionen aus, um den Zugriff zu vertiefen und wertvolle Informationen zu gewinnen:
Die Netzwerkaufklärung erfolgt durch Scannen kritischer Ports, gefolgt von einer seitlichen Bewegung mithilfe administrativer Tools und Remote-Desktop-Sitzungen, die über kompromittierte Systeme getunnelt werden.
Die Rechteausweitung wird durch das Auslesen sensibler Prozessspeicher erreicht, wodurch Anmeldeinformationen erlangt und unbefugter Zugriff auf übergeordnete Systeme ermöglicht wird.
Um Domänencontroller zu kompromittieren, werden fortgeschrittene Techniken wie Pass-the-Hash eingesetzt. Anschließend werden forensische Tools verwendet, um sensible Daten, einschließlich Verzeichnisdatenbanken, zu sammeln, die dann mithilfe von Dateitransferprogrammen exfiltriert werden.
Cloud-Tarnung: Vermischung von schädlichem Datenverkehr mit legitimen Diensten
Ein charakteristisches Merkmal dieser Kampagne ist der strategische Missbrauch vertrauenswürdiger Cloud-Infrastruktur. Schadsoftware, Datenexfiltration und Command-and-Control-Kommunikation werden über legitime Cloud-Plattformen geleitet. Dadurch können Bedrohungsaktivitäten nahtlos in den normalen Unternehmensdatenverkehr integriert werden und herkömmliche Sicherheitsfilter, die auf Reputation oder Anomalieerkennung basieren, effektiv umgehen.
Sich wandelnde Bedrohungslandschaft: Vertrauen als primäres Ziel
Die UNC6692-Kampagne verdeutlicht eine bedeutende Weiterentwicklung von Cyberangriffsstrategien, die Social Engineering, vertrauenswürdige Unternehmenswerkzeuge und modulare Malware kombinieren. Indem Angreifer das Vertrauen der Nutzer in weit verbreitete Plattformen und Dienste ausnutzen, erhöhen sie ihre Erfolgschancen und minimieren gleichzeitig das Entdeckungsrisiko. Das Fortbestehen altbekannter Taktiken neben innovativen Verbreitungsmechanismen unterstreicht eine entscheidende Tatsache: Effektive Angriffsstrategien können noch lange nach dem Verschwinden ihrer ursprünglichen Akteure fortbestehen.
