PhishingMalwareHackerangriffe

UNC6692: Hacker geben sich als Microsoft-Teams-Support aus und infizieren Unternehmens-PCs

Von CyberDeutsch Redaktion
UNC6692: Hacker geben sich als Microsoft-Teams-Support aus und infizieren Unternehmens-PCs
Zusammenfassung

Eine neu entdeckte Hackergruppe namens UNC6692 nutzt gezielt das Vertrauen von Mitarbeitern in Microsoft Teams aus, um in Unternehmensnetze einzudringen. Die Angreifer geben sich als IT-Support-Mitarbeiter aus und versprechen Hilfe bei angeblichen E-Mail-Problemen, die sie zuvor selbst ausgelöst haben. Das Ziel ist die Installation einer bösen Browser-Erweiterung namens SnowBelt, die als Backdoor fungiert und Hackern Zugriff auf Unternehmenskonten gewährt. Besonders tückisch sind die sozialtechnischen Kniffe: Die gefälschte Reparaturseite drängt Nutzer, zu Microsoft Edge zu wechseln, und lehnt absichtlich die ersten beiden Passwort-Eingaben ab, um Benutzer zum Wiederholen zu bewegen und Anmeldedaten mehrfach zu stehlen. Die Kampagne zeigt eine besorgniserregende Professionalisierung von Phishing-Angriffen. Für deutsche Unternehmen stellt dies eine erhebliche Bedrohung dar, da die Angreifer auf weit verbreitete Tools wie Microsoft Teams setzen, die in vielen deutschen Firmen alltäglich genutzt werden. Die Kombination aus personalisierten Phishing-Nachrichten und scheinbar legitimen Support-Anfragen macht diese Attacken schwer erkennbar und erhöht die Erfolgsquote erheblich.

Die Kampagne von UNC6692 folgt einer durchdachten Strategie: Zunächst bombardieren die Angreifer die Ziel-Mailbox mit einer Flut von E-Mails, um die Opfer zu überwältigen. Daraufhin kontaktieren die Hacker das Opfer über Microsoft Teams — allerdings von einem externen Konto aus — und geben sich als IT-Support-Mitarbeiter aus. Sie bieten Hilfe gegen die E-Mail-Flut an.

Während des Gesprächs wird das Opfer aufgefordert, einen vermeintlichen “Patch” zu installieren. Ein Klick auf den Link führt zu einer gefälschten Website mit dem Titel “Mailbox Repair Utility”. Hier sollen Nutzer ein Skript herunterladen, das letztendlich die bösartige Browser-Erweiterung SnowBelt installiert.

SnowBelt fungiert als digitale Hintertür, die es Angreifern ermöglicht, persistent auf Unternehmenskonten zuzugreifen und sich unerkannt durch interne Systeme zu bewegen — ohne sich erneut authentifizieren zu müssen. Nach der Installation können weitere Malware-Komponenten wie SnowGlaze und SnowBasin heruntergeladen werden, ergänzt um AutoHotkey-Skripte und eine portable Python-Umgebung für zusätzliche Schadcode-Ausführung.

Besonders raffiniert ist die Implementierung sozialer Manipulationstechniken: Die Phishing-Seite zeigt Nutzern, die von anderen Browsern als Microsoft Edge zugreifen, hartnäckig eine Aufforderung an, zu Edge zu wechseln — eine Umgebung, in der der Angriff am wirkungsvollsten ist.

Eine weitere Taktik zielt auf das Verhalten bei Anmeldeversuchen ab. Das Credential-Harvesting-Skript lehnt die ersten zwei Passwort-Eingaben absichtlich ab, was Opfer veranlasst, ihre Anmeldedaten erneut einzugeben. Dies verstärkt die Illusion eines legitimen Systems und stellt sicher, dass Angreifer das Passwort zweifach erfassen — eine Redundanz, die die Fehlerquote beim Datendiebstahl minimiert.

Mandiant-Forscher bewerten die Kampagne als “interessante Evolutionsstufe” in der Angriffsmethodik: Sie kombiniert Social Engineering, Custom-Malware und bösartige Browser-Erweiterungen, während sie das Vertrauen ausnutzt, das Nutzer in alltägliche Unternehmensplattformen setzen. Für deutsche Organisationen bedeutet dies eine erhöhte Wachsamkeit — nicht nur technisch, sondern auch bei der Schulung von Mitarbeitern im sicheren Umgang mit Kommunikationstools.

Ähnliche Artikel