Die von Google am 23. April dokumentierte Angriffskampagne zeigt ein hochprofessionelles Vorgehen: Zunächst überflutete UNC6692 die E-Mail-Postfächer von Zielpersonen regelrecht mit Spam-Nachrichten. Im nächsten Schritt kontaktierten die Angreifer ihre Opfer über Microsoft Teams und gaben sich als IT-Support-Mitarbeiter aus, um das künstlich erzeugte E-Mail-Problem zu “beheben”. Das Opfer erhielt einen Phishing-Link, der zum Download eines HTML-Installers führte.
Dieser Download war raffiniert konstruiert: Die heruntergeladene Datei war ein umbenanntes AutoHotkey-Binary mit einem zugehörigen AutoHotkey-Skript – beides stammt von einem AWS-S3-Bucket der Angreifer. Durch die identische Benennung führte AutoHotkey das Skript automatisch aus. Dies ermöglichte die Installation von SNOWBELT, einer bösartigen Chromium-Browser-Erweiterung, die nicht über den Chrome Web Store verbreitet wird.
Über diese Extension gelangten mehrere Tools auf das Opfersystem: Der Python-Tunneler Snowglaze, die Python-Bindshell Snowbasin (ein persistenter Hintertür-Backdoor für Remote-Code-Ausführung) sowie weitere AutoHotkey-Skripte und Python-Archive. Mit diesen Werkzeugen führten die Angreifer Netzwerk-Scans durch, zielten auf die Ports 135, 445 und 3389 und enumerierten lokale Administrator-Konten.
Mit Hilfe dieser Admin-Zugänge eröffneten sie Remote-Desktop-Sitzungen zu einem Backup-Server. Dort extrahierten sie die Speicherdaten des Windows LSASS-Prozesses (Local Security Authority Subsystem Service) mittels LimeWare – eine Technik, die alle Benutzernamen, Passwörter und Hashes offenlegt. Anschließend führten die Akteure Pass-the-Hash-Angriffe durch, um sich lateral zum Domain Controller zu bewegen.
Google betont, dass UNC6692 gezielt legitime Cloud-Services missbraucht, um traditionelle Reputation-Filter zu umgehen und sich im legitimen Cloud-Verkehr zu verstecken. Für Verteidiger bedeutet dies: Bloße Prozess-Überwachung reicht nicht mehr aus. Notwendig sind erweiterte Überwachungsmechanismen für Browser-Aktivitäten, lokale Python-Umgebungen und Cloud-Datenverkehr. Google veröffentlichte Indicators of Compromise (IOCs) und YARA-Rules zur Unterstützung bei der Threat-Hunting.
Unternehmen sollten zudem ihre Cloud-Sicherheitsrichtlinien überprüfen und sicherstellen, dass verdächtige AWS-Aktivitäten erkannt werden. Die finanzielle Motivation der Gruppe deutet auf Credential-Stealing und Datenexfiltration hin – ein hohes Risiko für sensible Informationen.