Die von GTIG beschriebene Phishing-Seite arbeitete mit mehreren Prüfungen, bevor sie aktiv wurde: Sie kontrollierte, ob die URL einen E-Mail-Parameter enthielt und ob das Opfer Microsoft Edge nutzte, und zeigte dann ein als Reparaturwerkzeug getarntes Bedienfeld an. Klickte das Opfer auf eine Schaltfläche zur „Funktionsprüfung“, erschien ein gefälschtes Anmeldefenster, das die Zugangsdaten abgreifen und überprüfen sollte. Ein vorgetäuschter Fortschrittsbalken sollte Misstrauen vermeiden.

Im Hintergrund lud ein Skript der Seite eine AutoHotKey-Datei samt Skript auf das System. Nach der Ausführung infizierte die Schadlast den Rechner mit einer JavaScript-basierten Hintertür namens Snowbelt, die als Chromium-Browsererweiterung eingerichtet wurde. Für die Persistenz legte der Code eine Verknüpfung zu einem AutoHotKey-Skript im Windows-Autostart ab und richtete zwei geplante Aufgaben ein – eine, um einen unsichtbaren Edge-Prozess zu starten und Snowbelt zu laden, und eine, um Edge-Prozesse im Headless-Modus zu beenden.

Über die schädliche Erweiterung lud die Gruppe weitere Komponenten aus einem von ihr kontrollierten AWS-S3-Bucket nach, darunter AutoHotKey-Skripte, ein ZIP-Archiv, den Tunnel Snowglaze und die Malware Snowbasin.

Mit Snowglaze baute UNC6692 eine PsExec-Sitzung (Sysinternals) auf und ermittelte Administratorkonten. Über eines dieser Konten startete die Gruppe dann eine RDP-Sitzung zu einem Backup-Server, geleitet durch den Snowglaze-Tunnel. Wie die Angreifer an die Zugangsdaten der lokalen Administratorkonten gelangten, wurde laut GTIG nicht direkt beobachtet; möglich sei dies über mehrere Wege gewesen, etwa eine authentifizierte Aufzählung von SMB-Freigaben.

Anschließend extrahierte die Gruppe den Speicher des LSASS-Prozesses vom Backup-Server und exfiltrierte ihn über LimeWire, um daraus Benutzernamen, Passwörter und Passwort-Hashes zu gewinnen. Per Pass-the-Hash verschaffte sich UNC6692 Zugriff auf den Domänencontroller, lud dort FTK Imager nach und schrieb damit die Active-Directory-Datenbank sowie die Registry-Hives SAM, System und Security in den Ordner \Downloads – ebenfalls per LimeWire exfiltriert.

Die drei Bausteine bilden laut GTIG eine abgestimmte Kette vom browserbasierten Erstzugang bis ins interne Netzwerk. Snowbelt fängt Befehle ab und reicht sie zur Ausführung an Snowbasin weiter und ermöglicht authentifizierten Zugriff für laterale Bewegung und Rechteausweitung. Snowglaze ist ein in Python geschriebener Tunneler, der eine gesicherte, authentifizierte WebSocket-Verbindung zum Command-and-Control-Server aufbaut, SOCKS-Proxy-Funktionen bereitstellt und schädlichen Datenverkehr verbirgt. Snowbasin ist eine persistente Hintertür, die als lokaler HTTP-Server arbeitet und Befehlsausführung, Screenshots und Datensammlung unterstützt.

Durch das Hosten der Schadkomponenten auf vertrauenswürdigen Cloud-Plattformen könnten Angreifer herkömmliche Reputationsfilter umgehen und sich im hohen Aufkommen legitimen Cloud-Verkehrs verbergen, merkt GTIG an.