Новая кибергруппа использует Microsoft Teams и уникальный вредонос Snow для кражи данных

Неизвестная ранее киберпреступная группа, получившая название UNC6692, активно применяет проверенные тактики социальной инженерии, выдавая себя за сотрудников службы поддержки и используя приглашения в чаты Microsoft Teams. По данным Группы анализа угроз Google (GTIG), злоумышленники также задействуют собственное уникальное вредоносное программное обеспечение для кражи конфиденциальных данных.

Схема атаки и сбор учетных данных

В конце декабря 2025 года началась масштабная фишинговая кампания. Атака стартовала с рассылки целевым организациям огромного количества спама, создавая перегрузку почтовых ящиков. Вскоре после этого, лица, выдающие себя за сотрудников службы поддержки, связывались с жертвами через Microsoft Teams, предлагая "помощь" в устранении проблем с объемом электронной почты.

Лже-сотрудник службы поддержки побуждал пользователя перейти по ссылке, которая якобы устанавливала локальное исправление для предотвращения спама. Жертвы перенаправлялись на поддельную страницу, имитирующую "Утилиту восстановления почтового ящика" с кнопкой "Проверка состояния". При нажатии на нее пользователям предлагалось ввести свои учетные данные (адрес электронной почты и пароль), что позволяло злоумышленникам их перехватить.

Скрипт для сбора учетных данных использовал хитрый психологический прием "двойного ввода", автоматически отклоняя первую и вторую попытки ввода пароля как неверные. Как отмечает GTIG, это служит двум целям: укрепляет веру пользователя в легитимность системы и ее способность проводить проверку в реальном времени, а также гарантирует, что злоумышленник получит пароль дважды, значительно снижая риск опечатки в украденных данных. После этого фишинговая страница имитировала проверку целостности почтового ящика, удерживая жертву на связи, пока учетные данные и метаданные отправлялись на контролируемый злоумышленниками ресурс Amazon S3, а на машину пользователя продолжали загружаться вредоносные файлы.

К моменту, когда пользователь получал сообщение "Конфигурация успешно завершена", злоумышленник уже завладевал учетными данными и мог получить постоянный доступ к конечной точке через загруженные файлы, по информации специалистов Google.

Внедрение и компоненты вредоносного ПО Snow

На первом этапе на устройство жертвы загружаются исполняемый файл AutoHotKey и соответствующий скрипт, который немедленно приступает к разведке и устанавливает вредоносное расширение для браузера Chromium под названием SnowBelt. Это расширение недоступно через официальный магазин Chrome Web Store и распространяется исключительно методами социальной инженерии.

Группа UNC6692 использует расширение SnowBelt для загрузки других компонентов своего фирменного вредоносного ПО семейства "Snow", а также дополнительных скриптов AutoHotkey и ZIP-архива, содержащего переносимый исполняемый файл Python с необходимыми библиотеками.

Вредоносное ПО Snow действует как модульная экосистема, состоящая из трех основных компонентов:

• SnowBelt: бэкдор на основе JavaScript, доставляемый в виде расширения для браузера Chromium. Он обеспечивает первоначальный доступ и сохраняет постоянство через систему регистрации расширений браузера. Часто маскируется под названиями вроде "MS Heartbeat" или "System Heartbeat".
• SnowGlaze: туннелер на основе Python, который работает как в средах Windows, так и Linux и управляет внешней связью. Он создает аутентифицированный WebSocket-туннель между внутренней сетью жертвы и инфраструктурой командно-контрольного (C2) центра злоумышленника, например, через субдомен Heroku. Компонент также маскирует вредоносный трафик, инкапсулируя данные в объекты JSON и кодируя их в Base64 для передачи через WebSockets, что заставляет его выглядеть как легитимный, стандартный зашифрованный веб-трафик.
• SnowBasin: Python-шелл (bindshell), предоставляющий интерактивный контроль над зараженной системой. Он служит постоянным бэкдором, функционируя как локальный HTTP-сервер, обычно прослушивающий порт 8000, что позволяет удаленно выполнять команды, делать скриншоты и подготавливать данные для последующей эксфильтрации.

Именно этот компонент отвечает за активную разведку и выполнение основных задач, отмечают аналитики по киберугрозам. Команды злоумышленника (такие как `whoami` или `net user`) отправляются через туннель SnowGlaze, перехватываются расширением SnowBelt, а затем передаются на локальный сервер SnowBasin через HTTP POST-запросы. SnowBasin выполняет эти команды и передает результаты обратно по тому же каналу злоумышленнику.

Контекст и выводы

Интерактивные методы социальной инженерии доказали свою высокую прибыльность для киберпреступных групп. Однако аналитики Google подчеркнули, что между UNC6692 и ранее известными группировками нет совпадений.

Анализ Google группы UNC6692 и ее кампании, использующей Teams для социальной инженерии, последовал за предупреждением от Microsoft. Корпорация ранее сообщала о злоупотреблении коммуникациями Microsoft Teams и имитации сотрудников службы поддержки для обмана пользователей, последующего удаленного контроля и заражения их машин. Несмотря на схожесть, исследователи безопасности Google сообщили, что две эти кампании не кажутся связанными.

Тем не менее, оба случая служат важным напоминанием о растущем числе цифровых мошенников, использующих очень убедительные тактики социальной инженерии в сочетании с легитимными облачными сервисами и инструментами для получения доступа к IT-средам организаций.