Se ha observado que un grupo de actividad de amenazas no documentado anteriormente conocido como UNC6692 aprovecha tácticas de ingeniería social a través de Microsoft Teams para implementar paquetes de malware personalizados en hosts comprometidos.
«Como muchas otras intrusiones en los últimos años, UNC6692 se basó en gran medida en hacerse pasar por empleados de la mesa de ayuda de TI para persuadir a las víctimas de que aceptaran invitaciones de chat de Microsoft Teams desde cuentas fuera de su organización», dijo Mandiant, una empresa de Google, en un informe publicado hoy.
Se cree que UNC6692 es el resultado de una campaña de correo electrónico a gran escala que tiene como objetivo saturar la bandeja de entrada de un objetivo con correos electrónicos no deseados y crear una falsa sensación de urgencia. Luego, el actor de la amenaza se acerca al objetivo a través de Microsoft Teams enviando un mensaje del equipo de soporte de TI y ofreciendo asistencia con el problema de la bomba de correo electrónico.
Vale la pena señalar que la combinación de ataques a las bandejas de entrada de correo electrónico de las víctimas seguidos de la suplantación de los servicios de asistencia basados en Microsoft Teams es una táctica que han empleado los antiguos afiliados de Black Basta durante años. Aunque el grupo detuvo sus operaciones de ransomware a principios del año pasado, su estrategia no muestra signos de desaceleración.
ReliaQuest reveló en un informe publicado la semana pasada que este enfoque se está utilizando para dirigirse a ejecutivos y empleados de alto nivel para obtener acceso inicial a redes corporativas para posible robo de datos, movimiento lateral, implementación de ransomware y extorsión. En algunos casos, los chats comenzaron con solo 29 segundos de diferencia.
El propósito de la conversación es engañar a la víctima para que instale y obtenga acceso a una herramienta legítima de administración y monitoreo remoto (RMM), como Quick Assist o Supremo Remote Desktop, que luego puede usarse como arma para lanzar cargas útiles adicionales.
“Del 1 de marzo al 1 de abril de 2026, el 77 % de los incidentes observados se dirigieron a empleados de nivel superior, frente al 59 % en los dos primeros meses de 2026”, dijeron los investigadores de ReliaQuest John Dilgen y Alexa Femminella. «Esta actividad muestra que las tácticas más efectivas de un grupo amenazador pueden sobrevivir al grupo mismo».
La cadena de ataque detallada por Mandiant, por otro lado, se desvía de este enfoque al indicar a las víctimas que hagan clic en un enlace de phishing compartido a través del chat de Teams para instalar un parche local que solucione el problema del spam. Cuando se hace clic, se descarga un script de AutoHotkey desde un depósito de AWS S3 controlado por el actor de la amenaza. El nombre de la página de phishing es «Utilidad de sincronización y reparación de buzones de correo v2.1.5».
Este script está diseñado para instalar la extensión maliciosa del navegador basada en Chromium SNOWBELT en el navegador Edge realizando un reconocimiento inicial y ejecutándolo en modo sin cabeza usando el modificador de línea de comando «–load-extension».
Los investigadores de Mandiant, JP Glab, Tufail Ahmed, Josh Kelley y Muhammad Umair, dijeron: «Los atacantes utilizaron scripts de control diseñados para garantizar que las cargas útiles se entregaran sólo a sus objetivos previstos, evitando al mismo tiempo los entornos de pruebas de seguridad automatizados».
«El script también verifica el navegador de la víctima. Si el usuario no está usando Microsoft Edge, la página muestra una advertencia superpuesta persistente. UNC6692 usó la extensión SNOWBELT para descargar archivos adicionales, incluidos SNOWGLAZE, SNOWBASIN, scripts AutoHotkey y un archivo ZIP que contiene un ejecutable Python portátil y las bibliotecas requeridas».
La página de phishing también está diseñada para funcionar como un panel de administración de configuración con un botón prominente de «verificación de estado» que, cuando se hace clic, aparentemente solicita al usuario que ingrese las credenciales del buzón con fines de autenticación, pero en realidad se usa para recopilar y filtrar datos a otro depósito de Amazon S3.
El ecosistema de malware SNOW es un conjunto de herramientas modular que trabaja en conjunto para lograr los objetivos del atacante. SNOWBELT es una puerta trasera basada en JavaScript que recibe comandos y los transmite a SNOWBASIN para su ejecución, mientras que SNOWGLAZE es un tunelizador basado en Python que crea un túnel WebSocket autenticado seguro entre la red interna de la víctima y el servidor de comando y control (C2) del atacante.
El tercer componente es SNOWBASIN, que actúa como una puerta trasera persistente y permite la ejecución remota de comandos a través de ‘cmd.exe’ o ‘powershell.exe’, captura de pantalla, carga/descarga de archivos y autoterminación. Se ejecuta como un servidor HTTP local en el puerto 8000, 8001 u 8002.
Algunas de las otras acciones posteriores a la explotación realizadas por UNC6692 después de obtener acceso inicial son:
Se utiliza una secuencia de comandos Python para escanear los puertos 135, 445 y 3389 en la red local en busca de movimiento lateral, establecer una sesión PsExec con el sistema víctima a través de la utilidad de túnel SNOWGLAZE e iniciar una sesión RDP a través del túnel SNOWGLAZE desde el sistema víctima hasta el servidor de respaldo. Usando la cuenta de administrador local, extraiga la memoria del proceso LSASS del sistema en el Administrador de tareas de Windows y realice la elevación de privilegios. Usando la técnica Pass-The-Hash, use el hash de contraseña del usuario elevado para moverse lateralmente a un controlador de dominio en su red, descargue y ejecute FTK Imager para capturar datos confidenciales (como archivos de bases de datos de Active Directory), escríbalos en la carpeta \Descargas y use la herramienta de carga de archivos LimeWire para extraer los datos.
«La campaña UNC6692 muestra una evolución interesante en las tácticas, particularmente el uso de ingeniería social, malware personalizado y extensiones de navegador maliciosas, que aprovechan la confianza inherente de las víctimas en múltiples proveedores de software empresarial diferentes», dijo el gigante tecnológico.
«Un elemento clave de esta estrategia es la explotación sistemática de servicios legítimos en la nube para la entrega de carga útil y la exfiltración y la infraestructura de comando y control (C2). Al alojar componentes maliciosos en plataformas confiables en la nube, los atacantes a menudo pueden eludir los filtros tradicionales de reputación de la red y mezclarse con grandes volúmenes de tráfico legítimo en la nube».
La divulgación se produce cuando Cato Networks detalla una campaña basada en phishing de voz en Microsoft Teams que aprovecha una suplantación de mesa de ayuda similar para atraer a las víctimas a ejecutar un troyano basado en WebSocket llamado PhantomBackdoor a través de un script PowerShell ofuscado recuperado de un servidor externo.
«Este incidente muestra que la suplantación de la mesa de ayuda realizada a través de una reunión de Microsoft Teams puede reemplazar el phishing tradicional y aun así tener el mismo resultado: ejecución por etapas de PowerShell y posterior puerta trasera WebSocket», dijo la firma de ciberseguridad.
«Los defensores deben tratar las herramientas de colaboración como una superficie de ataque de primera clase mejorando los flujos de trabajo de validación de la mesa de ayuda, aumentando los controles para compartir pantalla con equipos externos y fortaleciendo PowerShell».
Source link
