Hackerii Folosesc Microsoft Teams Pentru a Compromite Organizații, Prezentându-se ca Personal IT
Un nou grup de amenințări identificat, UNC6692, a fost prins executând o campanie sofisticată de intruziune în mai multe etape, care utilizează impersonarea în Microsoft Teams, o suită malware modulară personalizată și abuzul de infrastructură cloud pentru a pătrunde profund în rețelele de întreprindere, totul fără a exploata o singură vulnerabilitate software.
Google Threat Intelligence Group (GTIG) și cercetătorii Mandiant au dezvăluit campania pe 22 aprilie 2026, dezvăluind modul în care UNC6692 manipulează sistematic încrederea angajaților în instrumentele de întreprindere de zi cu zi pentru a obține acces complet la nivel de domeniu.
La sfârșitul lunii decembrie 2025, UNC6692 a lansat o campanie masivă de bombardare cu e-mailuri împotriva țintelor sale, inundând în mod deliberat căsuțele de e-mail pentru a crea un sentiment de urgență și confuzie. Cu victimele copleșite și distrase, actorul amenințător a dat lovitura critică trimițând un mesaj de phishing direct prin Microsoft Teams, atacatorul pozând ca angajat al departamentului de asistență IT oferind asistență cu volumul de e-mailuri.
Această tehnică nu este un exploit zero-day sau o eroare software. Așa cum a menționat Microsoft în propriul aviz din aprilie 2026, campania abuzează de funcțiile legitime de colaborare externă din Teams, atacatorii convingând utilizatorii să ignore multiple avertismente de securitate prezentate clar. Victimele au acceptat invitația de chat Teams dintr-un cont din afara organizației lor, o acțiune aparent minoră cu consecințe catastrofale.
Lanțul de infectare: de la chat-ul Teams la compromiterea completă
Odată intrat în contact, atacatorul a îndrumat victima să facă clic pe un link pentru a instala un „patch local” care ar preveni spam-ul prin e-mail. Link-ul a dus la o pagină de destinație de phishing convingătoare, deghizată în „Mailbox Repair and Sync Utility v2.1.5”, găzduită pe un bucket AWS S3 controlat de atacator, a spus Google.
Pagina a impus un pipeline de atac în mai multe faze:
Faza 1 – Limitarea mediului: Un script de poartă a verificat URL-ul pentru un parametru obligatoriu ?email= și a forțat victimele pe Microsoft Edge prin schema URI microsoft-edge:, asigurându-se că exploatările vor fi cele mai eficiente. Faza 2 – Colectarea acreditărilor: O „Verificare de sănătate” falsă a declanșat o solicitare de autentificare care a respins primele două încercări de parolă în mod intenționat - un truc psihologic de „dublă intrare” pentru a asigura captarea acreditărilor fără erori de scriere înainte de a le exfiltra într-un bucket S3. Faza 3 – Secvență de distragere: O bară de progres falsă a afișat mesaje precum „Analizarea datelor de configurare” și „Verificarea integrității căsuței poștale” pentru a masca exfiltrarea datelor în timp real în fundal. Faza 4 – Etaparea malware-ului: În timp ce bara de progres rula, un binar și un script AutoHotkey au fost descărcate de pe AWS S3 și executate automat la aterizarea în același director - instalând SNOWBELT, o extensie malițioasă a browserului Chromium deghizată în „MS Heartbeat” sau „System Heartbeat”.
Ecosistemul Malware SNOW
Setul de instrumente UNC6692, numit ecosistemul SNOW, este un cadru modular coordonat cu trei componente:
Tipul componentei Rolul SNOWBELT Extensie de browser JavaScript Picior inițial; interceptează și transmite comenzile C2; folosește URL-uri S3 bazate pe DGA pentru C2 SNOWGLAZE Tunel WebSocket bazat pe Python Direcționează traficul TCP prin victimă printr-un proxy SOCKS către un server C2 Heroku SNOWBASIN Server HTTP local Python (portul 8000) Execută comenzi shell, capturează capturi de ecran, exfiltrează fișiere
SNOWBELT a menținut persistența printr-o comandă rapidă în folderul Windows Startup, două sarcini programate și un proces Microsoft Edge fără interfață grafică care încărca silențios extensia.
SNOWGLAZE a mascat traficul malițios prin împachetarea datelor în obiecte JSON codificate Base64 peste WebSockets, făcându-l să apară ca trafic web criptat standard.
După stabilirea accesului inițial, UNC6692 a executat un script Python prin SNOWBASIN pentru a scana rețeaua locală pentru porturile deschise 135, 445 și 3389. Folosind sesiuni PsExec direcționate prin tunelul SNOWGLAZE, atacatorii au enumerat conturile de administrator local și au inițiat o sesiune RDP către un server de backup.
Pe serverul de backup, actorul amenințător a folosit Windows Task Manager pentru a face dump memoriei procesului LSASS, capturând hash-uri de parolă și a exfiltrat dump-ul prin LimeWire.
Cu hash-urile în mână și în siguranță în afara rețelei, atacatorul a efectuat extragerea offline a acreditărilor, apoi a folosit Pass-the-Hash pentru a se autentifica direct la controlerele de domeniu fără a avea nevoie vreodată de parole în text clar.
Pe controlerul de domeniu, atacatorul a descărcat FTK Imager, a montat unitatea locală și a extras baza de date Active Directory (NTDS.dit), SAM, SYSTEM și SECURITY registry hives, bijuteriile coroanei oricărui mediu Windows enterprise. Acestea au fost, de asemenea, exfiltrate prin LimeWire.
Telemetria EDR a capturat atacatorul realizând capturi de ecran țintite ale ferestrelor active FTK Imager și Edge, confirmând finalizarea misiunii.
O caracteristică definitorie a campaniei UNC6692 este abuzul sistematic de servicii cloud legitime pentru fiecare etapă a livrării sarcinilor de atac, exfiltrarea acreditărilor, infrastructura C2 și etaparea datelor, toate acestea bazându-se pe platforme de încredere precum AWS S3 și Heroku. Această strategie de „a trăi din cloud” permite traficului malițios să se amestece în volume mari de trafic web criptat, de încredere, făcând ca filtrele de reputație a domeniului și listele de blocare bazate pe IP să fie în mare măsură ineficiente.
Apărătorii trebuie să extindă vizibilitatea dincolo de monitorizarea tradițională a proceselor pentru a include activitatea extensiilor de browser, traficul de ieșire cloud neautorizat și procesele browserului fără interfață grafică. În mod critic, organizațiile ar trebui să restricționeze sau să monitorizeze îndeaproape setările de acces extern Microsoft Teams pentru a preveni inițierea sesiunilor de chat de către chiriași necunoscuți cu angajații.
Așa cum demonstrează UNC6692, cea mai slabă verigă din securitatea întreprinderii nu este întotdeauna un server configurat greșit, ci un angajat care are încredere într-un mesaj Teams de la cineva care pretinde că este IT.
Indicatori de compromis (IOC)
Model de URL de phishing: https://service-page-[ID]-outlook.s3.us-west-2.amazonaws.com/update.html?email= Server C2: wss://sad4w7h913-b4a57f9c36eb[.]herokuapp[.]com:443/ws Model URL SNOWBELT C2: https://[a-f0-9]{24}-[0-9]{6,7}-[0-9]{1}.s3.us-east-2.amazonaws[.]com Cheie VAPID SNOWBELT: BJkWCT45mL0uvV3AssRaq9Gn7iE2N7Lx38ZmWDFCjwhz0zv0QSVhKuZBLTTgAijB12cgzMzqyiJZr5tokRzSJu0 Fișiere de deghizare: RegSrvc.exe (binar AutoHotKey), Protected.ahk , SysEvents (directorul extensiei SNOWBELT).