Des pirates se font passer pour des employés de Microsoft Teams pour déployer le logiciel malveillant SNOW
Un groupe de menace nouvellement identifié utilise Microsoft Teams pour se faire passer pour un employé du service d'assistance informatique, bombarder les boîtes de réception des entreprises de spam, puis déployer une suite de logiciels malveillants personnalisés sur les réseaux d'entreprise. Google Threat Intelligence Group et Mandiant ont révélé cette campagne, l'attribuant à un groupe qu'ils suivent sous le nom de UNC6692.
Comment UNC6692 s'introduit
D'après le rapport, l'attaque commence par un bombardement massif d'e-mails https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware de masse contre la cible, inondant sa boîte de réception pour créer un sentiment de crise. Un attaquant contacte ensuite la cible via Microsoft Teams à partir d'un compte externe, en prétendant être un support informatique et en proposant de résoudre le problème de spam.
D'autres rapports sur https://cybersecuritynews.com/microsoft-teams-breach-organizations/ a indiqué que les employés qui acceptent l'invitation au chat reçoivent un lien de phishing qui les conduit à une fausse page convaincante intitulée "Mailbox Repair and Sync Utility v2.1.5." (Utilitaire de réparation et de synchronisation de la boîte aux lettres v2.1.5)
Un faux bouton "Health Check" (bilan de santé) sur cette page recueille les informations d'identification de leur boîte aux lettres et les envoie directement dans un seau AWS S3 contrôlé par l'attaquant. Selon Mandiant, un script AutoHotKey se télécharge silencieusement en arrière-plan et commence à installer le kit de logiciels malveillants du groupe.
Ce que fait SNOW
Selon les conclusions du rapport , la boîte à outils comporte trois éléments. SNOWBELT est une extension de navigateur Chromium malveillante qui se déguise en "MS Heartbeat" ou "System Heartbeat" et agit comme porte dérobée principale.
SNOWGLAZE est un tunnelier basé sur Python qui pousse le trafic à travers la machine de la victime vers le serveur de commande et de contrôle du groupe via WebSocket. Il enveloppe les données dans du JSON codé en Base64 pour les faire ressembler à du trafic web crypté standard.
SNOWBASIN est une porte dérobée persistante qui permet à l'attaquant d'exécuter des commandes à distance, de réaliser des captures d'écran et d'accéder à des fichiers à la demande. Selon Mandiant, ces trois composants permettent à UNC6692 de s'implanter discrètement et durablement, en se fondant dans l'activité courante du navigateur et du réseau.
La suite
À partir de son point d'ancrage initial, le groupe scrute le réseau local à la recherche de ports ouverts et s'oriente vers les contrôleurs de domaine en utilisant Pass-the-Hash avec des hachages de mots de passe NTLM volés. Selon Mandiant, le groupe extrait la mémoire de processus LSASS d'un serveur de sauvegarde et l'exfiltre via LimeWire, retirant les informations d'identification de l'environnement de la victime pour les traiter hors ligne.
Une fois sur un contrôleur de domaine, UNC6692 utilise FTK Imager pour extraire le fichier de base de données Active Directory, ainsi que les ruches de registre Security Account Manager et SYSTEM, puis exfiltre le tout via LimeWire avant d'effectuer des captures d'écran du contrôleur de domaine.
Le rapport révèle que Microsoft Teams affiche un avertissement lorsque des messages arrivent de l'extérieur de l'organisation. Toute demande d'assistance externe non sollicitée doit être vérifiée par un canal interne connu avant que l'accès ne soit accordé.
