- 26,409
- 46
- 8 Ноя 2022
Иногда вежливость становится самым опасным оружием в цифровой среде.
Корпоративная переписка снова стала удобной точкой входа для злоумышленников. В новой кампании атакующие не «ломают дверь» напрямую, а создают для сотрудников знакомую рабочую проблему и тут же предлагают «помощь» от имени службы поддержки Microsoft Teams .
Команда Mandiant сообщила о группе UNC6692, которая сочетает массовую рассылку писем, фишинг и вредоносные расширения для браузера. Сначала жертве забивают почтовый ящик большим потоком сообщений, а затем через Microsoft Teams пишет человек с внешней учётной записи. Атакующий представляется сотрудником IT-поддержки и предлагает решить проблему со спамом.
Во время переписки жертву убеждают установить якобы служебное обновление для почты. Ссылка ведёт на сайт, замаскированный под «Mailbox Repair Utility». После загрузки скрипта на устройство попадает вредоносное расширение SnowBelt, которое помогает злоумышленникам удерживать доступ к корпоративным аккаунтам и перемещаться по внутренним системам без постоянной повторной авторизации.
По данным Mandiant, SnowBelt может загружать дополнительные компоненты, включая инструменты SnowGlaze и SnowBasin, скрипты AutoHotkey и переносимую среду Python для запуска другого вредоносного кода.
Фишинговая страница также подталкивает жертву к нужному сценарию. Если сайт открыть не в Microsoft Edge, появляется навязчивое сообщение с просьбой перейти в Edge, где схема работает эффективнее. Ещё один приём связан с вводом пароля: форма намеренно отклоняет первые две попытки, заставляя пользователя повторить ввод. Так атакующие повышают шанс получить корректные учётные данные.
Авторы отчёта считают кампанию UNC6692 примером более сложной социальной инженерии, где злоумышленники используют доверие к привычным корпоративным сервисам и маскируют заражение под обычную помощь IT-отдела.
Корпоративная переписка снова стала удобной точкой входа для злоумышленников. В новой кампании атакующие не «ломают дверь» напрямую, а создают для сотрудников знакомую рабочую проблему и тут же предлагают «помощь» от имени службы поддержки Microsoft Teams .
Команда Mandiant сообщила о группе UNC6692, которая сочетает массовую рассылку писем, фишинг и вредоносные расширения для браузера. Сначала жертве забивают почтовый ящик большим потоком сообщений, а затем через Microsoft Teams пишет человек с внешней учётной записи. Атакующий представляется сотрудником IT-поддержки и предлагает решить проблему со спамом.
Во время переписки жертву убеждают установить якобы служебное обновление для почты. Ссылка ведёт на сайт, замаскированный под «Mailbox Repair Utility». После загрузки скрипта на устройство попадает вредоносное расширение SnowBelt, которое помогает злоумышленникам удерживать доступ к корпоративным аккаунтам и перемещаться по внутренним системам без постоянной повторной авторизации.
По данным Mandiant, SnowBelt может загружать дополнительные компоненты, включая инструменты SnowGlaze и SnowBasin, скрипты AutoHotkey и переносимую среду Python для запуска другого вредоносного кода.
Фишинговая страница также подталкивает жертву к нужному сценарию. Если сайт открыть не в Microsoft Edge, появляется навязчивое сообщение с просьбой перейти в Edge, где схема работает эффективнее. Ещё один приём связан с вводом пароля: форма намеренно отклоняет первые две попытки, заставляя пользователя повторить ввод. Так атакующие повышают шанс получить корректные учётные данные.
Авторы отчёта считают кампанию UNC6692 примером более сложной социальной инженерии, где злоумышленники используют доверие к привычным корпоративным сервисам и маскируют заражение под обычную помощь IT-отдела.
- Источник новости
- www.securitylab.ru
