Un grupo de actividad de amenazas previamente no documentado conocido como UNC6692 Se ha observado que se aprovechan tácticas de ingeniería social a través de Microsoft Teams para implementar un paquete de malware personalizado en hosts comprometidos.
«Al igual que con muchas otras intrusiones en los últimos años, UNC6692 se basó en gran medida en hacerse pasar por empleados del servicio de asistencia técnica de TI, convenciendo a su víctima de aceptar una invitación de chat de Microsoft Teams desde una cuenta fuera de su organización», dijo Mandiant, propiedad de Google. dicho en un informe publicado hoy.
UNC6692 se ha atribuido a una gran campaña de correo electrónico diseñada para abrumar la bandeja de entrada de un objetivo con una avalancha de correos electrónicos no deseados, creando una falsa sensación de urgencia. Luego, el actor de la amenaza se acerca al objetivo a través de Microsoft Teams enviando un mensaje que dice ser del equipo de soporte de TI para ofrecer ayuda con el problema del bombardeo de correo electrónico.
Vale la pena señalar que esta combinación de bombardear la bandeja de entrada de correo electrónico de una víctima seguido de la suplantación de la mesa de ayuda basada en Microsoft Teams ha sido una táctica adoptada durante mucho tiempo por los antiguos afiliados de Black Basta. A pesar de que el grupo cerró sus operaciones de ransomware a principios del año pasado, el manual no ha visto signos de desaceleración.
En un informe publicado la semana pasada, ReliaQuest reveló que el enfoque se está utilizando para dirigirse a ejecutivos y empleados de alto nivel para obtener acceso inicial a las redes corporativas para posible robo de datos, movimiento lateral, implementación de ransomware y extorsión. En algunos casos, los chats se iniciaron con sólo 29 segundos de diferencia.
El objetivo de la conversación es engañar a las víctimas para que instalen herramientas legítimas de administración y monitoreo remoto (RMM) como Quick Assist o Supremo Remote Desktop para permitir el acceso práctico, y luego convertirlas en armas para lanzar cargas útiles adicionales.
«Del 1 de marzo al 1 de abril de 2026, el 77 % de los incidentes observados se dirigieron a empleados de nivel superior, frente al 59 % en los dos primeros meses de 2026», afirman los investigadores de ReliaQuest, John Dilgen y Alexa Feminella. dicho. «Esta actividad demuestra que las tácticas más efectivas de un grupo amenazador pueden sobrevivir por mucho tiempo al grupo mismo».
La cadena de ataque detallada por Mandiant, por otro lado, se desvía de este enfoque ya que se le indica a la víctima que haga clic en un enlace de phishing compartido a través del chat de Teams para instalar un parche local para solucionar el problema del spam. Una vez que se hace clic en él, se descarga un script AutoHotkey desde un depósito AWS S3 controlado por un actor de amenazas. La página de phishing se llama «Utilidad de sincronización y reparación de buzones de correo v2.1.5».
El script está diseñado para realizar un reconocimiento inicial y luego instalar SNOWBELT, una extensión de navegador maliciosa basada en Chromium, en el navegador Edge iniciándolo en modo sin cabeza junto con el modificador de línea de comando «–load-extension».
«El atacante utilizó un script de control diseñado para garantizar que la carga útil se entregue sólo a los objetivos previstos mientras evadía las zonas de pruebas de seguridad automatizadas», dijeron los investigadores de Mandiant, JP Glab, Tufail Ahmed, Josh Kelley y Muhammad Umair.
«El script también verifica el navegador de la víctima. Si el usuario no está usando Microsoft Edge, la página muestra una advertencia superpuesta persistente. Usando la extensión SNOWBELT, UNC6692 descargó archivos adicionales que incluyen scripts SNOWGLAZE, SNOWBASIN, AutoHotkey y un archivo ZIP que contiene un ejecutable Python portátil y las bibliotecas requeridas».
La página de phishing también está diseñada para servir a un Panel de gestión de configuración con un botón destacado de «Comprobación de estado» que, cuando se hace clic, solicita a los usuarios que introduzcan las credenciales de su buzón de correo con fines aparentemente de autenticación, pero, en realidad, se utiliza para recolectar y exfiltrar los datos a otro depósito de Amazon S3.
El ecosistema de malware SNOW es un conjunto de herramientas modular que trabaja en conjunto para facilitar los objetivos del atacante. Mientras que SNOWBELT es una puerta trasera basada en JavaScript que recibe comandos y los transmite a SNOWBASIN para su ejecución, SNOWGLAZE es un tunelizador basado en Python para crear un túnel WebSocket seguro y autenticado entre la red interna de la víctima y el servidor de comando y control (C2) del atacante.
El tercer componente es SNOWBASIN, que opera como una puerta trasera persistente para permitir la ejecución remota de comandos a través de «cmd.exe» o «powershell.exe», captura de pantalla, carga/descarga de archivos y autoterminación. Se ejecuta como un servidor HTTP local en los puertos 8000, 8001 u 8002.
Algunas de las otras acciones posteriores a la explotación llevadas a cabo por UNC6692 después de obtener acceso inicial son las siguientes:
- Utilice una secuencia de comandos Python para escanear la red local en busca de puertos 135, 445 y 3389 en busca de movimiento lateral, establezca una sesión PsExec en el sistema de la víctima a través de la utilidad de túnel SNOWGLAZE e inicie una sesión RDP a través del túnel SNOWGLAZE desde el sistema de la víctima a un servidor de respaldo.
- Utilice una cuenta de administrador local para extraer la memoria del proceso LSASS del sistema con el Administrador de tareas de Windows para escalar privilegios.
- Utilice la técnica Pass-The-Hash para moverse lateralmente a los controladores de dominio de la red utilizando los hashes de contraseña de usuarios elevados, descargar y ejecutar Generador de imágenes FTK para capturar datos confidenciales (por ejemplo, un archivo de base de datos de Active Directory) y escribirlos en la carpeta \Descargas, y extraerlos utilizando la herramienta de carga de archivos LimeWire.
«La campaña UNC6692 demuestra una evolución interesante en las tácticas, particularmente el uso de ingeniería social, malware personalizado y una extensión de navegador maliciosa, aprovechando la confianza inherente de la víctima en varios proveedores de software empresarial diferentes», dijo el gigante tecnológico.
«Un elemento crítico de esta estrategia es el abuso sistemático de servicios legítimos en la nube para la entrega y exfiltración de carga útil, y para la infraestructura de comando y control (C2). Al alojar componentes maliciosos en plataformas confiables en la nube, los atacantes a menudo pueden eludir los filtros tradicionales de reputación de la red y mezclarse con el gran volumen de tráfico legítimo en la nube».
La divulgación se produce cuando Cato Networks detalló una campaña basada en phishing de voz que aprovecha la suplantación de la mesa de ayuda similar en Microsoft Teams para guiar a las víctimas a ejecutar un troyano basado en WebSocket denominado PhantomBackdoor a través de un script PowerShell ofuscado recuperado de un servidor externo.
«Este incidente muestra cómo la suplantación de la mesa de ayuda realizada a través de una reunión de Microsoft Teams puede reemplazar el phishing tradicional y aun así conducir al mismo resultado: ejecución por etapas de PowerShell seguida de una puerta trasera WebSocket», dijo la empresa de ciberseguridad. dicho.
«Los defensores deben tratar las herramientas de colaboración como superficies de ataque de primera clase al imponer flujos de trabajo de verificación de la mesa de ayuda, reforzar los equipos externos y los controles para compartir pantalla, y reforzar PowerShell».
