MalwareHackerangriffePhishing

Bedrohung "Snow": Hackergruppe nutzt Microsoft Teams zur Malware-Verteilung

Bedrohung "Snow": Hackergruppe nutzt Microsoft Teams zur Malware-Verteilung
Zusammenfassung

Eine neue Bedrohung aus dem Dunkelfeld zeigt, wie raffiniert Cyberkriminelle mittlerweile vorgehen: Die Hackergruppe UNC6692 nutzt Microsoft Teams als Einfallstor für die Verbreitung der neu entdeckten Malware-Suite „Snow". Die Angreifer bedienen sich dabei einer perfiden Strategie: Sie bombardieren Ziele zunächst mit E-Mails, um Druck aufzubauen, und kontaktieren sie anschließend über Teams, wobei sie sich als IT-Helpdesk-Mitarbeiter ausgeben. Die Opfer werden dazu verleitet, vermeintliche Sicherheits-Patches zu installieren, die in Wirklichkeit eine bösartige Chrome-Extension namens „SnowBelt" laden. Diese Malware arbeitet heimlich im Hintergrund und ermöglicht es den Angreifern, tiefgreifend in Netzwerke einzudringen, Zugangsdaten zu stehlen und sogar Domänencontroller zu übernehmen. Für deutsche Unternehmen und Behörden stellt dieses Angriffsmuster eine erhebliche Gefahr dar, da viele Organisationen Microsoft Teams verwenden und Mitarbeiter für Social-Engineering-Taktiken anfällig sein können. Mit Fähigkeiten wie Lateral Movement, Credential Dumping und Active-Directory-Exfiltration können Angreifer massiven Schaden verursachen und sensible Daten abgreifen.

Die Hackergruppe UNC6692 setzt bei ihrer Kampagne auf eine besonders tückische Kombination aus Social Engineering und technischer Exploitation. Das Angriffsszenario beginnt mit einer Flut von Spam-E-Mails, die bei den Opfern Besorgnis auslösen. Daraufhin kontaktieren die Angreifer ihre Ziele direkt über Microsoft Teams und täuschen sich als IT-Support-Personal vor. Die Opfer werden aufgefordert, einen Link anzuklicken, um angeblich einen Patch gegen E-Mail-Spam zu installieren. In Wirklichkeit laden sie sich einen Dropper herunter, der AutoHotkey-Skripte ausführt und die Malware “SnowBelt” installiert.

SnowBelt ist eine Chrome-Extension, die auf einer versteckten Microsoft Edge-Instanz lädt, sodass Nutzer von der Infektion nichts bemerken. Das System erstellt zusätzlich Scheduled Tasks und Startup-Ordner-Shortcuts, um Persistenz zu gewährleisten. Die Extension dient als Kommunikationskanal für Befehle an SnowBasin, einen Python-basierten Backdoor, der auf einem lokalen HTTP-Server läuft.

Die Kommunikation zwischen dem infizierten System und der Command-and-Control-Infrastruktur erfolgt über SnowGlaze, ein Tunneling-Tool, das WebSocket-Verbindungen nutzt und damit den Netzwerkverkehr verschleiert. SnowGlaze ermöglicht zudem SOCKS-Proxy-Operationen, wodurch beliebiger TCP-Traffic durch den kompromittierten Host geleitet werden kann.

SnowBasin unterstützt Remote-Shell-Zugriff, Datenexfiltration, Datei-Downloads, Screenshots und Dateiverwaltung. Nach der initialen Kompromittierung führen die Angreifer intensive interne Aufklärungsarbeiten durch. Sie scannen das Netzwerk auf SMB- und RDP-Services, um weitere Ziele zu identifizieren, und führen laterale Bewegungen durch. Mittels LSASS-Memory-Dumps extrahieren sie Credentials und nutzen Pass-the-Hash-Techniken, um sich auf weiteren Hosts zu authentifizieren und letztendlich die Domänencontroller zu erreichen.

Im finalen Stadium setzen die Angreifer FTK Imager ein, um die Active Directory-Datenbank sowie SYSTEM-, SAM- und SECURITY-Registry-Hives zu extrahieren. Diese sensiblen Dateien werden via LimeWire aus dem Netzwerk exfiltriert, was den Angreifern vollständigen Zugriff auf domänenweit gültige Credentials verschafft. Mandiant hat umfangreiche Indicators of Compromise (IoCs) und YARA-Regeln veröffentlicht, um Organisationen bei der Detektion der Snow-Toolsuite zu unterstützen.

Ähnliche Artikel