🌟 Atualização imperdível para quem gosta de estar bem informado!
Não deixe essa passar: clique e saiba tudo!
Apoie esse projeto de divulgacao de noticias! Clique aqui
Um cluster de atividades de ameaças anteriormente não documentado, conhecido como UNC6692, foi observado aproveitando táticas de engenharia social por meio do Microsoft Teams para implantar um conjunto de malware personalizado em hosts comprometidos.
“Tal como aconteceu com muitas outras invasões nos últimos anos, o UNC6692 confiou fortemente na representação de funcionários de suporte técnico de TI, convencendo a vítima a aceitar um convite de bate-papo do Microsoft Teams de uma conta fora de sua organização”, disse a Mandiant, de propriedade do Google, em um relatório publicado hoje.
O UNC6692 foi atribuído a uma grande campanha de e-mail projetada para sobrecarregar a caixa de entrada de um alvo com uma enxurrada de e-mails de spam, criando uma falsa sensação de urgência. O agente da ameaça então aborda o alvo pelo Microsoft Teams, enviando uma mensagem alegando ser da equipe de suporte de TI para oferecer assistência com o problema do bombardeio por e-mail.
É importante notar que essa combinação de bombardear a caixa de entrada de e-mail da vítima, seguida pela representação do suporte técnico baseado no Microsoft Teams, tem sido uma tática há muito adotada por ex-afiliados do Black Basta. Apesar do grupo ter encerrado suas operações de ransomware no início do ano passado, o manual não apresentou sinais de desaceleração.
Num relatório publicado na semana passada, a ReliaQuest revelou que a abordagem está a ser usada para atingir executivos e funcionários de nível superior para acesso inicial a redes corporativas para potencial roubo de dados, movimentação lateral, implantação de ransomware e extorsão. Em alguns casos, os chats foram iniciados com apenas 29 segundos de intervalo.
O objetivo da conversa é induzir as vítimas a instalar ferramentas legítimas de monitoramento e gerenciamento remoto (RMM), como Quick Assist ou Supremo Remote Desktop, para permitir acesso prático e, em seguida, transformá-lo em uma arma para descartar cargas adicionais.
“De 1º de março a 1º de abril de 2026, 77% dos incidentes observados tiveram como alvo funcionários de nível sênior, acima dos 59% nos primeiros dois meses de 2026”, disseram os pesquisadores da ReliaQuest John Dilgen e Alexa Feminella. “Esta atividade demonstra que as táticas mais eficazes de um grupo ameaçador podem sobreviver por muito tempo ao próprio grupo.”
A cadeia de ataque detalhada pela Mandiant, por outro lado, se desvia dessa abordagem, pois a vítima é instruída a clicar em um link de phishing compartilhado pelo chat do Teams para instalar um patch local para remediar o problema de spam. Uma vez clicado, ele leva ao download de um script AutoHotkey de um bucket AWS S3 controlado pelo agente da ameaça. A página de phishing é chamada de "Utilitário de reparo e sincronização de caixa de correio v2.1.5".
O script foi projetado para realizar o reconhecimento inicial e, em seguida, instalar o SNOWBELT, uma extensão maliciosa do navegador baseada no Chromium, no navegador Edge, iniciando-o no modo headless junto com a opção de linha de comando “--load-extension”.
“O invasor usou um script de gatekeeper projetado para garantir que a carga útil fosse entregue apenas aos alvos pretendidos, evitando caixas de proteção de segurança automatizadas”, disseram os pesquisadores da Mandiant JP Glab, Tufail Ahmed, Josh Kelley e Muhammad Umair.
"O script também verifica o navegador da vítima. Se o usuário não estiver usando o Microsoft Edge, a página exibe um aviso de sobreposição persistente. Usando a extensão SNOWBELT, UNC6692 baixou arquivos adicionais, incluindo SNOWGLAZE, SNOWBASIN, scripts AutoHotkey e um arquivo ZIP contendo um executável Python portátil e bibliotecas necessárias."
A página de phishing também foi projetada para servir um Painel de gerenciamento de configuração com um botão proeminente de “Verificação de integridade” que, quando clicado, solicita que os usuários insiram suas credenciais de caixa de correio para fins de autenticação ostensiva, mas, na realidade, é usado para coletar e exfiltrar os dados para outro bucket do Amazon S3.
O ecossistema de malware SNOW é um kit de ferramentas modular que funciona em conjunto para facilitar os objetivos do invasor. Enquanto o SNOWBELT é um backdoor baseado em JavaScript que recebe comandos e os retransmite para o SNOWBASIN para execução, o SNOWGLAZE é um tunelizador baseado em Python para criar um túnel WebSocket autenticado e seguro entre a rede interna da vítima e o servidor de comando e controle (C2) do invasor.
O terceiro componente é o SNOWBASIN, que opera como um backdoor persistente para permitir a execução remota de comandos via “cmd.exe” ou “powershell.exe”, captura de tela, upload/download de arquivos e auto-encerramento. Ele é executado como um servidor HTTP local nas portas 8000, 8001 ou 8002.
Algumas das outras ações pós-exploração realizadas pelo UNC6692 após obter acesso inicial são as seguintes -
Use um script Python para verificar a rede local em busca de portas 135, 445 e 3389 em busca de movimento lateral, estabeleça uma sessão PsExec para o sistema da vítima por meio do utilitário de tunelamento SNOWGLAZE e inicie uma sessão RDP por meio do túnel SNOWGLAZE do sistema da vítima para um servidor de backup.
Utilize uma conta de administrador local para extrair a memória do processo LSASS do sistema com o Gerenciador de Tarefas do Windows para escalonamento de privilégios.
Use a técnica Pass-The-Hash para mover-se lateralmente para a rede
“Tal como aconteceu com muitas outras invasões nos últimos anos, o UNC6692 confiou fortemente na representação de funcionários de suporte técnico de TI, convencendo a vítima a aceitar um convite de bate-papo do Microsoft Teams de uma conta fora de sua organização”, disse a Mandiant, de propriedade do Google, em um relatório publicado hoje.
O UNC6692 foi atribuído a uma grande campanha de e-mail projetada para sobrecarregar a caixa de entrada de um alvo com uma enxurrada de e-mails de spam, criando uma falsa sensação de urgência. O agente da ameaça então aborda o alvo pelo Microsoft Teams, enviando uma mensagem alegando ser da equipe de suporte de TI para oferecer assistência com o problema do bombardeio por e-mail.
É importante notar que essa combinação de bombardear a caixa de entrada de e-mail da vítima, seguida pela representação do suporte técnico baseado no Microsoft Teams, tem sido uma tática há muito adotada por ex-afiliados do Black Basta. Apesar do grupo ter encerrado suas operações de ransomware no início do ano passado, o manual não apresentou sinais de desaceleração.
Num relatório publicado na semana passada, a ReliaQuest revelou que a abordagem está a ser usada para atingir executivos e funcionários de nível superior para acesso inicial a redes corporativas para potencial roubo de dados, movimentação lateral, implantação de ransomware e extorsão. Em alguns casos, os chats foram iniciados com apenas 29 segundos de intervalo.
O objetivo da conversa é induzir as vítimas a instalar ferramentas legítimas de monitoramento e gerenciamento remoto (RMM), como Quick Assist ou Supremo Remote Desktop, para permitir acesso prático e, em seguida, transformá-lo em uma arma para descartar cargas adicionais.
“De 1º de março a 1º de abril de 2026, 77% dos incidentes observados tiveram como alvo funcionários de nível sênior, acima dos 59% nos primeiros dois meses de 2026”, disseram os pesquisadores da ReliaQuest John Dilgen e Alexa Feminella. “Esta atividade demonstra que as táticas mais eficazes de um grupo ameaçador podem sobreviver por muito tempo ao próprio grupo.”
A cadeia de ataque detalhada pela Mandiant, por outro lado, se desvia dessa abordagem, pois a vítima é instruída a clicar em um link de phishing compartilhado pelo chat do Teams para instalar um patch local para remediar o problema de spam. Uma vez clicado, ele leva ao download de um script AutoHotkey de um bucket AWS S3 controlado pelo agente da ameaça. A página de phishing é chamada de "Utilitário de reparo e sincronização de caixa de correio v2.1.5".
O script foi projetado para realizar o reconhecimento inicial e, em seguida, instalar o SNOWBELT, uma extensão maliciosa do navegador baseada no Chromium, no navegador Edge, iniciando-o no modo headless junto com a opção de linha de comando “--load-extension”.
“O invasor usou um script de gatekeeper projetado para garantir que a carga útil fosse entregue apenas aos alvos pretendidos, evitando caixas de proteção de segurança automatizadas”, disseram os pesquisadores da Mandiant JP Glab, Tufail Ahmed, Josh Kelley e Muhammad Umair.
"O script também verifica o navegador da vítima. Se o usuário não estiver usando o Microsoft Edge, a página exibe um aviso de sobreposição persistente. Usando a extensão SNOWBELT, UNC6692 baixou arquivos adicionais, incluindo SNOWGLAZE, SNOWBASIN, scripts AutoHotkey e um arquivo ZIP contendo um executável Python portátil e bibliotecas necessárias."
A página de phishing também foi projetada para servir um Painel de gerenciamento de configuração com um botão proeminente de “Verificação de integridade” que, quando clicado, solicita que os usuários insiram suas credenciais de caixa de correio para fins de autenticação ostensiva, mas, na realidade, é usado para coletar e exfiltrar os dados para outro bucket do Amazon S3.
O ecossistema de malware SNOW é um kit de ferramentas modular que funciona em conjunto para facilitar os objetivos do invasor. Enquanto o SNOWBELT é um backdoor baseado em JavaScript que recebe comandos e os retransmite para o SNOWBASIN para execução, o SNOWGLAZE é um tunelizador baseado em Python para criar um túnel WebSocket autenticado e seguro entre a rede interna da vítima e o servidor de comando e controle (C2) do invasor.
O terceiro componente é o SNOWBASIN, que opera como um backdoor persistente para permitir a execução remota de comandos via “cmd.exe” ou “powershell.exe”, captura de tela, upload/download de arquivos e auto-encerramento. Ele é executado como um servidor HTTP local nas portas 8000, 8001 ou 8002.
Algumas das outras ações pós-exploração realizadas pelo UNC6692 após obter acesso inicial são as seguintes -
Use um script Python para verificar a rede local em busca de portas 135, 445 e 3389 em busca de movimento lateral, estabeleça uma sessão PsExec para o sistema da vítima por meio do utilitário de tunelamento SNOWGLAZE e inicie uma sessão RDP por meio do túnel SNOWGLAZE do sistema da vítima para um servidor de backup.
Utilize uma conta de administrador local para extrair a memória do processo LSASS do sistema com o Gerenciador de Tarefas do Windows para escalonamento de privilégios.
Use a técnica Pass-The-Hash para mover-se lateralmente para a rede
Fonte: https://thehackernews.com
#samirnews #samir #news #boletimtec #unc6692 #se #faz #passar #por #helpdesk #de #ti #por #meio #do #microsoft #teams #para #implantar #malware #snow
🚀 Mais conteúdos incríveis estão por vir, fique atento!
Postar um comentário