SNOWマルウェア

UNC6692として追跡されている、これまで記録されていなかった脅威クラスターが特定されました。この脅威は、Microsoft Teamsを介した高度なソーシャルエンジニアリング技術を利用して、SNOWマルウェアと呼ばれる独自のマルウェアフレームワークを展開しています。攻撃者は一貫してITヘルプデスク担当者になりすまし、外部アカウントから送信されたチャット招待を標的ユーザーに承諾させようとします。

この欺瞞は、組織的なメール爆撃キャンペーンによって強化されます。被害者は大量のスパムメールを受け取り、切迫感と混乱を煽られます。その後まもなく、攻撃者はTeamsを通じて連絡を取り、ITサポートを装って、捏造された問題の解決を支援すると申し出ます。この二重の操作戦術により、ユーザーが指示に従う可能性が大幅に高まります。

伝統的な戦術、現代的なインパクト

この攻撃パターンは、過去にBlack Bastaの関連組織が用いていた手法と酷似している。同グループはランサムウェア攻撃を停止したが、その手法は依然として有効である。セキュリティ研究者らは、この攻撃手法が主に経営幹部や上級職員を標的とし、データ漏洩、横方向の移動、ランサムウェアの展開、恐喝につながる可能性のある初期ネットワークアクセスを可能にするものであることを確認している。観測された事例では、攻撃者によるチャットが数秒以内に発生しており、自動化と連携が行われていることが示唆される。

欺瞞的な入り口：偽の解決策

Quick AssistやSupremo Remote Desktopといったリモート管理ツールのみに依存する従来の攻撃とは異なり、今回のキャンペーンでは感染経路が変更されています。被害者は、Teamsで共有された「Mailbox Repair and Sync Utility v2.1.5」と表示されたフィッシングリンクをクリックするように誘導されます。

このリンクをクリックすると、攻撃者が管理するクラウドストレージサービスにホストされている悪意のあるAutoHotkeyスクリプトがダウンロードされます。ゲートキーパー機構により、ペイロードは意図したターゲットにのみ配信され、自動セキュリティ分析を回避するのに役立ちます。さらに、このスクリプトはブラウザの使用状況を検証し、継続的な警告によってMicrosoft Edgeの使用を強制することで、後続の悪意のあるコンポーネントとの互換性を確保します。

スノーベルト：サイレントブラウザバックドア

最初のスクリプトは、悪意のあるChromiumベースのブラウザ拡張機能であるSNOWBELTをデプロイする前に偵察を行います。特定のコマンドラインパラメータを使用してヘッドレスEdgeプロセス経由でインストールされるSNOWBELTは、秘密のバックドアとして機能します。SNOWBELTは、SNOWGLAZE、SNOWBASIN、その他のAutoHotkeyスクリプト、およびポータブルPython環境を含む圧縮アーカイブなど、追加のペイロードのダウンロードを容易にします。

同時に、フィッシング攻撃のインターフェースは「ヘルスチェック」機能を備えた「構成管理パネル」を表示します。このインターフェースは、認証を装ってユーザーにメールボックスの認証情報を入力するように促しますが、実際には機密データを傍受し、攻撃者が管理するインフラストラクチャに不正に持ち出します。

モジュール型マルウェアエコシステム：SNOWフレームワークの分析

SNOWマルウェアスイートは、永続性、制御、および隠蔽性を目的として設計された、連携のとれたモジュール式のエコシステムとして機能します。

• SNOWBELTはJavaScriptベースのコマンドリレーとして機能し、攻撃者からの指示を受信して実行のために転送します。
• SNOWGLAZEはPythonベースのトンネリングユーティリティとして機能し、侵害されたネットワークと攻撃者のコマンド＆コントロールサーバーとの間に安全なWebSocket接続を確立します。
• SNOWBASINは永続的なバックドアとして機能し、リモートコマンドの実行、ファイル転送、スクリーンショットの取得、自己削除を可能にすると同時に、複数のポートでローカルHTTPサーバーとしても動作します。

ポストエクスプロイト：制御の拡大とデータの抽出

最初の侵害後、攻撃者はアクセス権限をさらに深め、貴重な情報を抽出するため、一連の行動を実行します。

ネットワーク偵察は、重要なポートをスキャンすることによって行われ、その後、侵害されたシステムを介してトンネル化された管理ツールやリモートデスクトップセッションを使用して横方向の移動が行われます。

特権昇格は、機密性の高いプロセスメモリを抽出することによって実現され、認証情報の収集や上位システムへの不正アクセスを可能にする。

パス・ザ・ハッシュなどの高度な技術を用いてドメインコントローラーを侵害した後、フォレンジックツールを展開してディレクトリデータベースなどの機密データを収集し、ファイル転送ユーティリティを使用してそれらのデータを外部に持ち出す。

クラウドカモフラージュ：悪意のあるトラフィックを正規のサービスに紛れ込ませる

このキャンペーンの特徴は、信頼できるクラウドインフラストラクチャを戦略的に悪用している点です。悪意のあるペイロード、データ漏洩、コマンド＆コントロール通信はすべて、正規のクラウドプラットフォームを経由して行われます。この手法により、脅威活動は通常の企業トラフィックにシームレスに溶け込み、評判や異常検知に基づく従来のセキュリティフィルタを効果的に回避できます。

脅威の状況は変化しつつある：信頼が主要な標的に

UNC6692キャンペーンは、ソーシャルエンジニアリング、信頼性の高い企業向けツール、モジュール型マルウェアを組み合わせた、サイバー攻撃戦略の著しい進化を浮き彫りにしている。攻撃者は、広く利用されているプラットフォームやサービスに対するユーザーの信頼を悪用することで、検出を最小限に抑えつつ成功率を高めている。従来型の戦術が革新的な配信メカニズムと並行して存続していることは、重要な現実を浮き彫りにしている。すなわち、効果的な攻撃戦略は、その実行者がいなくなった後も長く存続し得るということだ。