UNC6692 通过微软 Teams 冒充 IT 服务台部署 SNOW 恶意软件

一个此前未被记录的威胁活动集群UNC6692，被发现通过微软Teams利用社会工程策略，在受入侵主机上部署一套定制的恶意软件。

谷歌旗下的Mandiant在今日发布的一份报告中指出：“与近年来的许多其他入侵事件一样，UNC6692严重依赖冒充IT服务台员工，诱使受害者接受来自组织外部账户的微软Teams聊天邀请。”

UNC6692与一场大规模的电子邮件活动有关，该活动旨在用大量垃圾邮件淹没目标的收件箱，制造一种紧迫感。随后，威胁行为者通过微软Teams联系目标，声称自己来自IT支持团队，可为电子邮件轰炸问题提供帮助。

值得注意的是，用垃圾邮件轰炸受害者收件箱，随后通过微软Teams冒充服务台，这种策略长期以来一直被前Black Basta组织成员采用。尽管该组织在去年年初停止了勒索软件业务，但这一策略并未有放缓的迹象。

在上周发布的一份报告中，ReliaQuest透露，这种方法正被用于针对企业高管和高级员工，以获取企业网络的初始访问权限，从而进行潜在的数据盗窃、横向移动、部署勒索软件和实施勒索。在某些情况下，聊天邀请间隔仅29秒。

对话的目的是诱骗受害者安装Quick Assist或Supremo Remote Desktop等合法的远程监控和管理（RMM）工具，以实现直接访问，然后利用这些工具投放更多有效载荷。



ReliaQuest的研究人员约翰・迪尔根（John Dilgen）和亚历克萨・费米内拉（Alexa Feminella）表示：“在2026年3月1日至4月1日期间，77%的观测事件针对高级员工，高于2026年前两个月的59%。这一活动表明，一个威胁组织最有效的策略可能在该组织消失后仍长期存在。”

另一方面，Mandiant详细描述的攻击链与上述方法有所不同。受害者被指示点击通过Teams聊天分享的网络钓鱼链接，以安装本地补丁来解决垃圾邮件问题。点击链接后，会从威胁行为者控制的亚马逊云服务（AWS）S3存储桶下载一个AutoHotkey脚本。网络钓鱼页面名为“邮箱修复与同步工具v2.1.5”。

该脚本旨在进行初步侦察，然后通过“--load-extension”命令行开关，以无头模式启动，在Edge浏览器上安装SNOWBELT，这是一个恶意的基于Chromium的浏览器扩展。

Mandiant的研究人员JP・格拉布（JP Glab）、图费尔・艾哈迈德（Tufail Ahmed）、乔希・凯利（Josh Kelley）和穆罕默德・乌迈尔（Muhammad Umair）表示：“攻击者使用了一个看门狗脚本，旨在确保有效载荷仅交付给目标，同时避开自动化安全沙箱。该脚本还会检查受害者的浏览器。如果用户未使用微软Edge，页面会显示一个持续的覆盖警告。通过SNOWBELT扩展，UNC6692下载了包括SNOWGLAZE、SNOWBASIN、AutoHotkey脚本，以及一个包含便携式Python可执行文件和所需库的ZIP存档在内的其他文件。”

网络钓鱼页面还设计了一个配置管理面板，上面有一个醒目的“健康检查”按钮。点击该按钮会提示用户输入邮箱凭据，表面上是为了进行身份验证，但实际上是用于收集并将数据渗出到另一个亚马逊S3存储桶。

SNOW恶意软件生态系统是一个模块化工具包，协同工作以实现攻击者的目标。SNOWBELT是一个基于JavaScript的后门程序，接收命令并将其转发给SNOWBASIN执行；SNOWGLAZE是一个基于Python的隧道工具，在受害者内部网络和攻击者的命令与控制（C2）服务器之间创建一个安全的、经过身份验证的WebSocket隧道。

第三个组件是SNOWBASIN，它作为一个持久化后门程序，在端口8000、8001或8002上作为本地HTTP服务器运行。

UNC6692在获得初始访问权限后执行的一些其他利用后操作如下：

使用Python脚本扫描本地网络上的端口135、445和3389，以进行横向移动，通过SNOWGLAZE隧道工具建立到受害者系统的PsExec会话，并通过SNOWGLAZE隧道从受害者系统发起一个到备份服务器的远程桌面协议（RDP）会话。

利用本地管理员账户，通过Windows任务管理器提取系统的本地安全授权子系统服务（LSASS）进程内存，以提升权限。

使用哈希传递（Pass-The-Hash）技术，利用权限提升用户的密码哈希值横向移动到网络的域控制器，下载并运行FTK Imager捕获敏感数据（如活动目录数据库文件），并将其写入“Downloads”文件夹，然后使用LimeWire文件上传工具渗出数据。

这家科技巨头表示：“UNC6692活动展示了策略上的有趣演变，特别是社会工程、定制恶意软件和恶意浏览器扩展的使用，利用了受害者对多个不同企业软件供应商的固有信任。”

“这一策略的关键要素是系统地滥用合法云服务进行有效载荷交付、渗出以及建立命令与控制（C2）基础设施。通过在可信云平台上托管恶意组件，攻击者通常可以绕过传统的网络信誉过滤器，并混入大量合法云流量中。”

与此同时，Cato Networks）详细描述了一场基于语音网络钓鱼的活动，该活动在微软Teams上采用类似的冒充服务台策略，引导受害者通过从外部服务器获取的混淆PowerShell脚本，执行一个名为PhantomBackdoor的基于WebSocket的木马程序。

这家网络安全公司表示：“这一事件表明，通过微软Teams会议进行的服务台冒充如何能够取代传统网络钓鱼，并导致相同的结果：分阶段执行PowerShell脚本，随后植入WebSocket后门。防御者应将协作工具视为首要攻击面，实施服务台验证工作流程，收紧外部Teams和屏幕共享控制，并强化PowerShell安全设置。”