MalwareHackerangriffePhishing

UNC6692: Neue Malware-Familie „Snow” nutzt Email-Bombardement und Social Engineering

Von CyberDeutsch Redaktion
UNC6692: Neue Malware-Familie „Snow” nutzt Email-Bombardement und Social Engineering
Zusammenfassung

Eine neu entdeckte Bedrohungsgruppe namens UNC6692 setzt auf eine perfide Kombination aus Massen-E-Mail-Bombardement und Social Engineering, um Opfer zur Ausführung von Malware zu bewegen. Die Angreifer verschicken massenhaft E-Mails und geben sich anschließend als IT-Support-Mitarbeiter aus, um ihre Ziele in die Falle zu locken. Über gefälschte Phishing-Seiten, die sich als Mailbox-Reparatur-Tools tarnen, infizieren sie Systeme mit der modularen Malware-Familie „Snow", bestehend aus den Komponenten Snowbelt, Snowglaze und Snowbasin. Diese koordinierte Malware-Pipeline ermöglicht es den Angreifern, von der initialen Browser-basierten Kompromittierung bis zum Zugriff auf das interne Netzwerk vorzudringen. Der Fall zeigt, wie moderne Cyberangreifer traditionelle Social-Engineering-Techniken mit ausgefeilten technischen Taktiken verbinden und dabei legitime Cloud-Dienste wie AWS zur Verschleierung ihrer Aktivitäten ausnutzen. Für deutsche Organisationen, Unternehmen und Behörden stellt diese Kampagne eine erhebliche Gefahr dar, besonders wenn sie über Remote-Zugriff oder Cloud-Infrastrukturen verfügen, da die Angreifer gezielt auf privilegierte Konten abzielen und sensible Daten wie Active-Directory-Datenbanken exfiltrieren.

Die von Google Threat Intelligence Group dokumentierte Kampagne der Gruppe UNC6692 zeigt ein hohes Maß an Raffinesse bei der Verschränkung von psychologischen und technischen Angriffskomponenten. Im Dezember 2025 beobachteten Sicherheitsforschende, wie die Akteure zunächst ein Zielunternehmen mit einer Flut von Email-Nachrichten bombardierten – ein Schritt, der gezielt Verwirrung und Besorgnis auslösen sollte.

Der nächste Schritt folgte dem Lehrbuch des Social Engineering: Ein vermeintlicher IT-Helpdesk-Mitarbeiter kontaktierte das überforderte Opfer über Microsoft Teams und bot Hilfe bei der Bewältigung des Email-Volumens an. Dies führte zur URL einer Phishing-Seite, die sich als Mailbox-Reparaturwerkzeug ausgab. Die Seite war intelligent konfiguriert – sie überprüfte Browser-Parameter und stellte sicher, dass nur Microsoft-Edge-Nutzer Zugriff erhielten. Ein gefälschtes Authentifizierungs-Dialog half, die Anmeldedaten des Opfers zu stehlen.

Im Hintergrund lud eine versteckte Script automatisch ein AutoHotKey-Binary und ein AutoHotKey-Skript herunter. Nach der Ausführung infiltrierte die Malware-Familie „Snow” das System – bestehend aus drei Komponenten: Snowbelt (JavaScript-basierter Backdoor als Chromium-Extension), Snowglaze (Python-basiertes Tunneling-Tool) und Snowbasin (persistenter Backdoor als lokaler HTTP-Server).

Besonders bemerkenswert ist die koordinierte Eskalationsstrategie: Mit Snowglaze etablierten die Angreifer PsExec-Sitzungen, enumerierten Administrator-Konten und penetrierten über Remote Desktop Protocol in Backup-Server. Der Datenabfluss erfolgte über LimeWire. Schließlich setzten sie Pass-The-Hash-Techniken ein, um auf den Domain Controller zuzugreifen, installierten FTK Imager und extrahierten die Active-Directory-Datenbank sowie kritische Registry-Dateien.

Für deutsche Organisationen ist diese Kampagne ein Lehrstück in hybrider Bedrohung: Sie demonstriert, wie moderne Angreifer vertrauenswürdige Cloud-Plattformen ausnutzen, um Netzwerk-Filter zu umgehen, und wie psychologische Manipulation mit technischer Sophistication kombiniert wird. Das BSI empfiehlt verstärkte Email-Sicherheit, Multi-Faktor-Authentifizierung und regelmäßige Phishing-Awareness-Trainings als Gegenmaßnahmen.

Ähnliche Artikel