Thought Leadership
Die Hackergruppe UNC6692 nutzt Microsoft Teams und E-Mail-Bombing, um die neue Snow-Malware zu verbreiten. Wie die Hacker Netzwerke infiltrieren.
Sicherheitsforscher von Googles Mandiant-Team haben eine neue Kampagne der Bedrohungsgruppe UNC6692 identifiziert, die eine maßgeschneiderte Malware-Suite namens Snow einsetzt. Das primäre Ziel dieser Operationen ist der Diebstahl hochsensibler Daten durch tiefgreifende Netzwerkkompromittierung, Anmeldedaten-Diebstahl und die vollständige Übernahme von Domänen.
Der psychologische Hebel: E-Mail-Bombing und Microsoft Teams
Der Angriff beginnt nicht mit einer technischen Schwachstelle, sondern mit der Manipulation des menschlichen Faktors. UNC6692 nutzt eine Taktik, die als E-Mail-Bombing bekannt ist. Dabei wird das Postfach des Opfers mit einer Flut von Junk-Mails überschwemmt, um ein Gefühl der Dringlichkeit und Frustration zu erzeugen. In diesem Moment der Überlastung kontaktieren die Angreifer das Ziel über Microsoft Teams.
Indem sie sich als Mitarbeiter des IT-Helpdesks ausgeben, bieten sie eine vermeintliche Lösung für das Spam-Problem an. Diese Methode der Identitätstäuschung über Kollaborationsplattformen wie Teams gewinnt laut aktuellen Berichten von Microsoft an Popularität. Den Opfern wird suggeriert, sie müssten lediglich einen Patch installieren, um die Flut an E-Mails zu stoppen. In der Realität führt der bereitgestellte Link jedoch zum Download eines Droppers.
Snow-Malware: Bösartige Chrome-Erweiterung
Sobald der Dropper ausgeführt wird, setzt er eine Kette von bösartigen Komponenten frei. Die Snow-Suite besteht aus drei zentralen Werkzeugen, die jeweils spezifische Aufgaben innerhalb des infizierten Systems übernehmen:
- SnowBelt: Hierbei handelt es sich um eine bösartige Chrome-Erweiterung. Diese wird über AutoHotkey-Skripte geladen und auf einer sogenannten Headless-Instanz von Microsoft Edge ausgeführt. Das bedeutet, dass der Browser im Hintergrund läuft, ohne dass für den Nutzer ein Fenster sichtbar wird. SnowBelt dient als Persistenzmechanismus und als Relais-Station für Befehle der Angreifer.
- SnowGlaze: Dieses Tool fungiert als Tunneler. Es baut eine WebSocket-Verbindung auf, um die Kommunikation zwischen dem infizierten Host und der Command-and-Control-Infrastruktur (C2) zu maskieren. Zudem ermöglicht SnowGlaze SOCKS-Proxy-Operationen, wodurch beliebiger TCP-Verkehr durch den kompromittierten Host geleitet werden kann.
- SnowBasin: Das Herzstück der Suite ist eine auf Python basierende Backdoor. SnowBasin betreibt einen lokalen HTTP-Server und ist in der Lage, CMD- oder PowerShell-Befehle auszuführen, die vom Operator übermittelt werden.
Die Funktionalität von SnowBasin umfasst den Fernzugriff auf die Shell, Datenexfiltration, das Herunterladen von Dateien sowie das Erstellen von Screenshots. Die Hacker können zudem einen Selbstzerstörungsbefehl senden, um die Backdoor nach Abschluss der Operation spurenlos vom System zu entfernen.
Anmeldedaten fast aller Benutzer gehackt
Nachdem der initiale Zugriff gefestigt wurde, beginnt UNC6692 mit der internen Aufklärung. Die Forscher von Mandiant beobachteten, dass die Hacker das Netzwerk systematisch nach Diensten wie SMB (Server Message Block) und RDP (Remote Desktop Protocol) scannten, um weitere Ziele zu identifizieren.
Um sich lateral im Netzwerk zu bewegen, griffen die Akteure auf bewährte Methoden zurück. Sie extrahierten Anmeldedaten aus dem LSASS-Speicher (Local Security Authority Subsystem Service) und nutzten Pass-the-Hash-Techniken, um sich an weiteren Hosts zu authentifizieren. Das ultimative Ziel dieser Phase ist das Erreichen der Domänencontroller, des Nervenzentrums der gesamten Unternehmens-IT.
In der finalen Phase des Angriffs setzten die Akteure das forensische Werkzeug FTK Imager ein. Dieses wurde jedoch zweckentfremdet, um die Active Directory-Datenbank sowie die Registrierungs-Hives SYSTEM, SAM und SECURITY zu extrahieren. Diese Dateien enthalten die verschlüsselten Anmeldedaten nahezu aller Benutzer innerhalb der Domäne.
Exfiltration via LimeWire
Ein ungewöhnliches Detail der Kampagne ist die Wahl des Exfiltrationswerkzeugs. Die gestohlenen Daten wurden unter Verwendung von LimeWire aus dem Netzwerk geschleust. Die Nutzung dieses eigentlich veralteten Peer-to-Peer-Tools könnte dazu dienen, herkömmliche Sicherheitsfilter für Dateiübertragungen zu umgehen, die primär auf moderne Cloud-Speicher oder FTP-Verbindungen achten.
Die Komplexität von UNC6692 zeigt, dass Unternehmen ihre Verteidigungsstrategien über technische Patches hinaus erweitern müssen. Da der Erstkontakt zunehmend über Plattformen wie Microsoft Teams erfolgt, wird die Sensibilisierung der Mitarbeiter für solche Social-Engineering-Taktiken zur kritischen Verteidigungslinie. Besonders die Kombination aus psychologischem Druck durch E-Mail-Bombing und der anschließenden Hilfestellung durch einen falschen IT-Experten erweist sich als effektiv. Unternehmen sollten daher klare Verifizierungsprozesse für interne Support-Anfragen etablieren, die über Chat-Plattformen initiiert werden.
