Хакеры в Teams маскируются под IT-специалистов: новая схема кражи данных

Хакеры UNC6692 через Teams выдают себя за IT-помощников, рассылают фишинговые ссылки и внедряют вредоносное ПО. Узнайте, как работает схема с модулем SNOW и как не стать жертвой.

Хакерская группировка UNC6692 использует корпоративный мессенджер Teams для кибератак: злоумышленники маскируются под IT-специалистов и внедряют вредоносное ПО в сети компаний. Метод включает предварительную рассылку спама, чтобы создать иллюзию технических неполадок, после чего через внешний аккаунт в Teams жертве предлагают "помощь". Пользователь получает фишинговую ссылку на поддельную страницу, где при нажатии кнопки "Проверка состояния" происходит кража учётных данных и фоновая установка вируса. pepelac.news

Разработанный хакерами набор SNOW состоит из трёх модулей. Первый — расширение для браузеров на базе Chromium, выполняющее функции бэкдора. Второй — скрипт на Python, скрытно передающий данные через WebSocket, маскируя трафик под обычный. Третий — основной компонент для удалённого управления: позволяет выполнять команды, делать скриншоты и получать доступ к файлам.

После проникновения атакующие изучают сеть, применяют технику Pass-the-Hash и извлекают данные из памяти процессов. Они также могут получить доступ к Active Directory и критическим элементам инфраструктуры, после чего похищают информацию. Специалисты напоминают, что Teams помечает внешние сообщения предупреждениями, но рекомендуют дополнительно проверять любые запросы такого рода через внутренние каналы связи, прежде чем предоставлять доступ.