UNC6692 gibt sich als Microsoft-Teams-Support aus und schleust SnowBelt-Backdoor ein

Zusammenfassung

Eine neu beobachtete Angreifergruppe nutzt Microsoft Teams als Einfallstor in Unternehmensnetzwerke, indem sie sich als IT-Support ausgibt. Das geht aus einem Bericht des zu Google gehörenden Sicherheitsunternehmens Mandiant hervor. Die Forscher führen die Kampagne auf einen neu erfassten Bedrohungscluster mit der Bezeichnung UNC6692 zurück. Die Masche kombiniert mehrere Techniken: Zunächst überfluten die Angreifer das Postfach eines ausgewählten Opfers mit einer großen Welle von E-Mails. Anschließend melden sie sich über Microsoft Teams – mit einem Konto außerhalb der Organisation des Opfers – und geben sich als IT-Support aus, der bei der E-Mail-Störung helfen will. Im Verlauf des Gesprächs werden die Betroffenen dazu gebracht, einen vermeintlichen „Patch" zu installieren, der den Spam stoppen soll. Der Klick auf den Link öffnet eine Website, die sich als „Mailbox Repair Utility" ausgibt und zum Download eines Skripts auffordert. Dieses installiert letztlich eine schädliche Browsererweiterung namens SnowBelt. Sie fungiert als Backdoor, über die die Angreifer dauerhaften Zugriff auf Unternehmenskonten behalten und sich durch interne Systeme bewegen können, ohne sich wiederholt authentifizieren zu müssen. Mandiant sieht darin eine bemerkenswerte Weiterentwicklung der Angriffstechniken.

Nach Angaben von Mandiant beginnt die Operation mit einer Flut von E-Mails, die das Postfach des Ziels überlasten soll. Erst danach tritt der Angreifer über Microsoft Teams in Kontakt und nutzt dabei ein Konto, das nicht zur Organisation des Opfers gehört. Unter dem Vorwand, bei der E-Mail-Störung zu helfen, lotst er die Betroffenen auf eine präparierte Seite, die als „Mailbox Repair Utility" auftritt.

Ist SnowBelt erst einmal installiert, kann die Erweiterung weitere Komponenten nachladen. Dazu zählen die als SnowGlaze und SnowBasin bezeichneten Schadwerkzeuge sowie AutoHotkey-Skripte und eine portable Python-Umgebung, mit der sich zusätzlicher Schadcode ausführen lässt.

Die Phishing-Seite selbst setzt nach Darstellung von Mandiant auf mehrere Methoden der sozialen Manipulation. Ruft ein Opfer die Seite mit einem anderen Browser als Microsoft Edge auf, blendet die Seite eine dauerhafte Einblendung ein, die zum Wechsel auf Edge drängt – und steuert die Nutzer so in jene Browserumgebung, in der der Angriff am wirksamsten ist.

Ein weiterer Kniff zielt auf das Verhalten der Nutzer beim Anmeldevorgang. Das Skript zum Abgreifen der Zugangsdaten weist die ersten beiden Passworteingaben absichtlich zurück und fordert die Betroffenen so zur erneuten Eingabe auf. Laut den Forschern verstärkt diese Taktik einerseits den Eindruck eines legitimen Systems und stellt andererseits sicher, dass die Angreifer das Passwort zweimal erfassen – das senkt die Wahrscheinlichkeit von Fehlern in den gestohlenen Daten.

„Die UNC6692-Kampagne zeigt eine interessante Weiterentwicklung der Vorgehensweisen", erklärten die Mandiant-Forscher. „Sie verbindet soziale Manipulation, maßgeschneiderte Schadsoftware und eine schädliche Browsererweiterung und nutzt dabei das Vertrauen aus, das Nutzer gängigen Unternehmensplattformen entgegenbringen."

UNC6692 gibt sich als Microsoft-Teams-Support aus und schleust SnowBelt-Backdoor ein

Ähnliche Artikel

Neueste Artikel