Un groupe de menaces identifié sous le nom de UNC6692 a récemment été observé utilisant des techniques de social engineering pour déployer une nouvelle suite de logiciels malveillants nommée Snow. Cette suite inclut une extension de navigateur, un tunnel et une porte dérobée.
Le but principal de cette campagne est de dérober des données sensibles après avoir compromis le réseau, en s’attaquant au vol de credentials et à la prise de contrôle de domaines.
Des chercheurs de chez Mandiant, affiliés à Google, signalent que les attaquants utilisent des tactiques de “email bombing” pour susciter un sentiment d’urgence, puis contactent leurs cibles par l’intermédiaire de Microsoft Teams, se faisant passer pour des agents d’assistance informatique.
Un rapport récent de Microsoft a mis en lumière la popularité croissante de cette approche dans le domaine de la cybercriminalité, incitant les utilisateurs à fournir aux attaquants un accès à distance via des outils comme Quick Assist.
Dans le cas d’UNC6692, la victime est encouragée à cliquer sur un lien menant à l’installation d’un patch censé bloquer le spam. En réalité, ce qui est installé est un dropper qui exécute des scripts AutoHotkey pour charger SnowBelt, une extension Chrome malveillante.
Source : Google
L’extension fonctionne sur une instance de Microsoft Edge en mode sans tête, rendant les activités indétectables pour la victime. Des tâches planifiées ainsi qu’un raccourci dans le dossier de démarrage sont également créés pour assurer la persistance de la menace.
SnowBelt permet de maintenir la présence malveillante et constitue un relayeur pour les commandes envoyées à une porte dérobée basée sur Python, nommée SnowBasin.
Les commandes sont transmises via un tunnel WebSocket créé par un outil nommé SnowGlaze, qui masque les communications entre l’hôte infecté et l’infrastructure de commandement et contrôle (C2).
SnowGlaze permet également d’effectuer des opérations de SOCKS proxy, orientant le trafic TCP arbitraire à travers l’hôte compromis.
La porte dérobée SnowBasin exécute un serveur HTTP local et permet de réaliser des commandes fournies par les attaquants, notamment des commandes CMD ou PowerShell, tout en renvoyant les résultats à l’opérateur via le même canal.
Ce malware offre un accès à distance, permet l’exfiltration de données, le téléchargement de fichiers, la capture d’écrans et des opérations de gestion de fichiers basiques. L’opérateur peut également émettre une commande de terminaison pour désactiver la porte dérobée sur l’hôte.
Source : Google
Les chercheurs de Mandiant ont observé qu’après avoir compromis un réseau, les attaquants conduisent une reconnaissance interne, scannant des services tels que SMB et RDP pour repérer d’autres cibles, avant de se déplacer latéralement dans le réseau.
Les attaquants ont extrait des données de mémoire LSASS pour récupérer des informations d’identification et ont utilisé des techniques de pass-the-hash pour s’authentifier sur d’autres hôtes, atteignant finalement les contrôleurs de domaine.
À la dernière étape de l’attaque, le groupe a déployé FTK Imager pour extraire la base de données Active Directory, ainsi que les registres SYSTEM, SAM et SECURITY.
Ces fichiers ont été exfiltrés via LimeWire, permettant aux attaquants d’accéder à des données d’identification sensibles à l’échelle du domaine.
Source : Google
Ce rapport fournit des indicateurs de compromission (IoCs) détaillés ainsi que des règles YARA pour aider à détecter la suite d’outils Snow.