Hackers se fazem passar por funcionários do Microsoft Teams para implantar o malware SNOW
Um grupo de ameaças recém-identificado está usando o Microsoft Teams para se passar por uma equipe de helpdesk de TI, bombardear caixas de entrada corporativas com spam e, em seguida, implantar um pacote de malware personalizado em redes corporativas. O Google Threat Intelligence Group e a Mandiant divulgaram a campanha, atribuindo-a a um cluster que estão rastreando como UNC6692.
Como o UNC6692 entra
De acordo com o relatório, o ataque começa com um bombardeio em massa de e-mails https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware contra o alvo, inundando sua caixa de entrada para criar uma sensação de crise. Em seguida, um invasor entra em contato com o Microsoft Teams por meio de uma conta externa, alegando ser o suporte de TI e oferecendo-se para corrigir o problema de spam.
Outros relatórios do site https://cybersecuritynews.com/microsoft-teams-breach-organizations/ relatou que os funcionários que aceitam o convite de bate-papo recebem um link de phishing que os leva a uma página falsa e convincente chamada "Mailbox Repair and Sync Utility v2.1.5"
Um botão falso de verificação de integridade nessa página coleta as credenciais da caixa de correio e as envia diretamente para um bucket do AWS S3 controlado pelo invasor. De acordo com a Mandiant, um script AutoHotKey também é baixado silenciosamente em segundo plano e começa a instalar o kit de ferramentas de malware do grupo.
O que o SNOW realmente faz
O kit de ferramentas tem três componentes, de acordo com as descobertas do relatório https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware. O SNOWBELT é uma extensão maliciosa do navegador Chromium que se disfarça de "MS Heartbeat" ou "System Heartbeat" e atua como backdoor principal.
O SNOWGLAZE é um tunelador baseado em Python que envia o tráfego através da máquina da vítima para o servidor de comando e controle do grupo via WebSocket. Ele envolve os dados em JSON codificado em Base64 para fazer com que pareçam tráfego da Web criptografado padrão.
O SNOWBASIN fica por baixo de tudo isso como um backdoor persistente, dando ao invasor execução remota de comandos, captura de tela e acesso a arquivos sob demanda. Juntos, a Mandiant diz que os três componentes dão ao UNC6692 um ponto de apoio silencioso e durável que se mistura à atividade rotineira do navegador e da rede.
O que acontece a partir daí
A partir do ponto de apoio inicial, o grupo examina a rede local em busca de portas abertas e se volta para os controladores de domínio usando Pass-the-Hash com hashes de senha NTLM roubados. De acordo com a Mandiant, o grupo extrai a memória do processo LSASS de um servidor de backup e a exfiltra via LimeWire, retirando as credenciais do ambiente da vítima para processamento off-line.
Uma vez em um controlador de domínio, a Mandiant diz que o UNC6692 usa o FTK Imager para extrair o arquivo de banco de dados do Active Directory, juntamente com o Security Account Manager e as colmeias de registro do SYSTEM, e então exfiltra tudo via LimeWire novamente antes de fazer capturas de tela do controlador de domínio.
O relatório revela que o Microsoft Teams exibe um aviso quando chegam mensagens de fora da organização. Qualquer solicitação de suporte externo não solicitada deve ser verificada por meio de um canal interno conhecido antes que qualquer acesso seja concedido.
