Den dokumentierten Angriff leitete UNC6692 Ende Dezember ein. Die Gruppe überflutete das Postfach eines Ziels mit E-Mails und kontaktierte die Person anschließend über Microsoft Teams, wobei sie sich als zuständiges Helpdesk-Personal ausgab. Über die Teams-Nachricht erhielt das Ziel einen Phishing-Link, der angeblich einen lokalen Patch installieren sollte, um das E-Mail-Spamming zu beheben und künftig zu verhindern.

Wer den Link anklickte, öffnete eine HTML-Seite, die laut Blogbeitrag aus einem von den Angreifern kontrollierten AWS-S3-Bucket eine umbenannte AutoHotKey-Datei sowie ein gleichnamiges AutoHotkey-Skript herunterlud. Trägt die AutoHotKey-Binärdatei denselben Namen wie ein Skript im selben Verzeichnis, führt AutoHotkey dieses Skript automatisch und ohne weitere Kommandozeilenargumente aus. Unmittelbar nach dem Download folgten erste Erkundungsbefehle sowie die Installation von SNOWBELT – einer schädlichen Chromium-Browser-Erweiterung, die nicht über den Chrome Web Store verteilt wird.

Über die installierte Snowbelt-Erweiterung lud UNC6692 weitere Komponenten nach: den Python-Tunneler Snowglaze, die Python-Bindshell Snowbasin (eine persistente Hintertür zur Remote-Codeausführung), AutoHotkey-Skripte sowie ein ZIP-Archiv mit einer portablen Python-Umgebung und den nötigen Bibliotheken.

Nach dem ersten Zugriff durchsuchte ein Python-Skript das lokale Netzwerk nach den Ports 135, 445 und 3389 und erfasste lokale Administratorkonten. Mit einem solchen Konto baute die Gruppe über Snowglaze eine RDP-Sitzung vom Opfersystem zu einem Backup-Server auf.

Auf dem Backup-Server griff UNC6692 mit dem lokalen Administratorkonto den Speicher des LSASS-Prozesses (Local Security Authority Subsystem Service) ab, der unter Windows die Sicherheitsrichtlinien durchsetzt und Benutzernamen, Passwörter und Hashes aller Konten enthält, die auf das System zugegriffen haben. Der Prozessspeicher wurde über LimeWire extrahiert; anschließend setzte die Gruppe offensive Sicherheitswerkzeuge ein, um die Zugangsdaten ohne Entdeckungsrisiko auszulesen. Über eine Pass-the-Hash-Technik bewegte sie sich schließlich seitwärts bis zum Domänencontroller, um sich auf das Sammeln und Abziehen relevanter Daten vorzubereiten.

Google hob den „systematischen Missbrauch legitimer Cloud-Dienste" hervor – für die Auslieferung der Schadlast, die Datenexfiltration und die Command-and-Control-Infrastruktur (C2), hier in Form des S3-Buckets. Dadurch könnten Angreifer klassische Reputationsfilter umgehen und im legitimen Cloud-Verkehr untertauchen. Verteidiger müssten daher über die reine Prozessüberwachung hinausgehen und Einblick in Browser-Aktivitäten sowie unautorisierten Cloud-Verkehr gewinnen; entscheidend für eine frühe Erkennung sei die Fähigkeit, Ereignisse über Browser, lokale Python-Umgebungen und Cloud-Ausgänge hinweg zu korrelieren.

Der Blogbeitrag von Google enthält Kompromittierungsindikatoren (IOCs) und YARA-Regeln.