UNC6692 usa ingegneria sociale su Microsoft Teams per distribuire una suite di malware personalizzato nelle reti aziendali. La campagna, analizzata da Google Threat Intelligence Group, combina spam email, impersonificazione dell’helpdesk IT e strumenti custom. Gli attaccanti convincono le vittime a installare una falsa utility di riparazione della mailbox. Da quel punto costruiscono un accesso profondo fino ai domain controller.
Cosa leggere
UNC6692 sfrutta spam email e chat Teams per creare urgenza
La campagna parte con l’invio massiccio di email spam alle caselle delle vittime. L’obiettivo è generare confusione, pressione e senso di urgenza. Subito dopo, gli attaccanti contattano l’utente su Microsoft Teams fingendosi personale helpdesk IT pronto a risolvere il problema. Il messaggio propone una presunta patch locale contro lo spam e contiene un link verso una pagina HTML ospitata su un bucket Amazon S3 controllato dal gruppo. La tecnica sfrutta la fiducia negli strumenti enterprise e rende l’interazione più credibile rispetto a un classico phishing via email.
La falsa Mailbox Repair Utility avvia la catena di infezione
La pagina malevola si presenta come Mailbox Repair Utility e guida l’utente attraverso passaggi apparentemente legittimi. Dopo il click, la vittima scarica un binario AutoHotKey rinominato e uno script con lo stesso nome. Quando i due file si trovano nella stessa cartella, AutoHotKey esegue automaticamente lo script. Questo meccanismo avvia comandi di ricognizione e installa SNOWBELT, un’estensione malevola per browser Chromium caricata fuori dal Chrome Web Store. Il foothold nasce quindi da una combinazione di social engineering, abuso di strumenti legittimi e caricamento manuale di estensioni.
SNOWBELT garantisce persistenza tramite Edge e task schedulati
SNOWBELT diventa il primo punto d’appoggio persistente nella rete compromessa. Gli attaccanti aggiungono un collegamento allo script AutoHotKey nella cartella di avvio di Windows e creano task schedulati per mantenere attivo il malware. Uno dei task avvia Microsoft Edge in modalità headless caricando l’estensione con parametri specifici, mentre un altro monitora e termina processi Edge non coerenti con la configurazione malevola. Questa persistenza multilivello consente al malware di riattivarsi dopo riavvii e rende più difficile una rimozione manuale completa.
La pagina phishing forza Microsoft Edge e cattura credenziali
La pagina di phishing usa controlli ambientali per evitare sandbox e massimizzare l’efficacia. Se manca il parametro email nell’URL, reindirizza a una pagina vuota. Se il browser non è Microsoft Edge, forza l’apertura tramite schema URI dedicato. Una volta nell’ambiente corretto, mostra un finto pannello di Health Check e una finestra di autenticazione. Il sistema rifiuta intenzionalmente i primi due inserimenti della password per aumentare la credibilità e catturare più volte le credenziali. Durante l’operazione, una barra di progresso simula attività tecniche mentre i dati vengono esfiltrati verso un bucket S3.
SNOWGLAZE crea tunnel WebSocket verso infrastrutture C2
Dopo l’installazione di SNOWBELT, UNC6692 scarica componenti aggiuntivi della suite. SNOWGLAZE è un tunneler Python che crea un canale WebSocket autenticato verso infrastrutture C2 ospitate su domini Heroku. Il traffico viene incapsulato in oggetti JSON codificati Base64 e appare come normale comunicazione web cifrata. Il tool supporta proxy SOCKS e consente di instradare connessioni TCP arbitrarie. Questa architettura permette agli attaccanti di muoversi nella rete senza esporre direttamente payload evidenti ai controlli tradizionali.
SNOWBASIN funziona come backdoor locale per comandi e screenshot
| Endpoint | Funzione | Descrizione |
|---|---|---|
| /stream | Remote Shell | Riceve un comando e lo esegue tramite cmd.exe o powershell.exe. Restituisce i risultati STDOUT/STDERR all’attaccante. |
| /buffer | File Exfiltration | Se viene fornito il percorso di un file, lo legge, lo codifica in Base64 e lo trasmette all’esterno. Se viene fornita una cartella, restituisce l’elenco completo della directory. |
| /flush | File Deletion / Flush | Inoltrato. Invia un segnale a http://localhost[:]8000/flush per svuotare i dati bufferizzati. |
| /commit | File Ingress | Scarica un file da un URL fornito e lo salva in un percorso specifico sul disco locale. Bypassa deliberatamente la verifica del certificato SSL (CERT_NONE). |
| /capture | Take Screenshots | Utilizza le librerie mss e PIL per catturare uno screenshot di tutti i monitor connessi e inviare l’immagine indietro come stringa codificata in Base64. |
| /gc | Self-Termination | Arresta l’istanza del server, “uccidendo” di fatto la connessione della backdoor per nascondere le tracce. |
Endpoint operativi di SNOWBASIN e relative funzionalità di compromissione ed esfiltrazione.
SNOWBASIN opera come backdoor Python locale, in ascolto su localhost, spesso sulla porta 8000. Il componente espone un server HTTP interno usato per eseguire comandi, acquisire screenshot e gestire file. SNOWBELT intercetta le istruzioni degli attaccanti e le inoltra a SNOWBASIN tramite richieste HTTP POST locali. Questa separazione dei ruoli rende la suite modulare e resiliente. Il browser diventa un relay occulto, il tunneler gestisce la comunicazione remota e la backdoor esegue le operazioni sull’host compromesso.
UNC6692 usa ricognizione interna e movimento laterale
Una volta consolidato l’accesso, UNC6692 avvia la ricognizione della rete locale. Uno script Python scansiona porte come 135, 445 e 3389 per individuare sistemi raggiungibili tramite servizi Windows e RDP. I risultati guidano il movimento laterale. Gli attaccanti stabiliscono sessioni PsExec, enumerano amministratori locali e ottengono accesso RDP verso un server di backup. Il percorso mostra una progressione ordinata, basata su servizi legittimi e privilegi esistenti, senza dipendere necessariamente da exploit rumorosi.
Dump LSASS e Pass-The-Hash portano ai domain controller
Sul server di backup, gli attaccanti estraggono la memoria del processo LSASS tramite Task Manager per recuperare hash e credenziali. Il dump viene esfiltrato con LimeWire per elaborazione offline. Con gli hash ottenuti, UNC6692 applica tecniche Pass-The-Hash per autenticarsi sui domain controller senza conoscere le password in chiaro. Questo passaggio consente di raggiungere il cuore dell’infrastruttura Active Directory e trasformare una compromissione iniziale via browser in controllo di dominio.
FTK Imager viene abusato per estrarre NTDS.dit e registri di sistema
Una volta sui domain controller, gli attaccanti scaricano un archivio con FTK Imager e lo usano per montare storage locali ed estrarre file critici. Tra i dati prelevati figurano NTDS.dit, SAM, SYSTEM e SECURITY, cioè componenti centrali per ricostruire credenziali e account di dominio. I file vengono poi esfiltrati tramite LimeWire. L’uso di uno strumento forense legittimo riduce la visibilità dell’attacco e permette di operare con minore probabilità di blocco automatico.
L’ecosistema SNOW combina DGA, AES-GCM e push notification
| Comando | Tipologia | Descrizione / Azione |
|---|---|---|
| command | Relayed | Decrittografa e invia (POST) il testo del comando a SNOWBASIN; esfiltra la risposta al server C2. |
| buffer | Relayed | Inoltra i payload dei percorsi file all’endpoint locale buffer. |
| flush | Relayed | Attiva lo svuotamento dei dati (flush) sul server locale. |
| commit | Relayed | Invia URL e dati di percorso per l’elaborazione locale. |
| stop_server | Relayed | Segnale di spegnimento per l’istanza SNOWBASIN locale. |
| screenshot | Relayed | Richiede la cattura dello schermo all’host. |
| payload | Internal | Scarica file utilizzando chrome.downloads; supporta URL e blob in formato base64. |
| open_native_messaging | Internal | Stabilisce una connessione diretta alle app native dell’host tramite le API di Chrome. |
| open_uri | Internal | Attiva i gestori di protocolli esterni tramite pagine helper. |
| delete_cache | Internal | Rimuove i file scaricati dal sistema. |
| websocket_control | Internal | Controlla lo stato della connettività WebSocket. |
| ping | Internal | Fornisce heartbeat e aggiornamenti di stato al server C2. |
Set di comandi di SNOWBELT. I comandi “Relayed” fungono da tramite verso la backdoor locale SNOWBASIN, mentre i comandi “Internal” sfruttano direttamente le API del browser (es. chrome.downloads) o il protocollo WebSocket per operare autonomamente.
La suite SNOW mostra un livello tecnico superiore a molte campagne di social engineering tradizionali. SNOWBELT genera un’identità univoca con prefisso fp-sw- e usa un DGA basato sul tempo per calcolare URL di registry su bucket S3 ogni 30 minuti. I manifest vengono decifrati con AES-GCM e l’estensione registra servizi di push notification del browser tramite chiave VAPID hardcoded. Questo consente comando e controllo a bassa latenza, resilienza infrastrutturale e maggiore difficoltà di rilevamento.
L’abuso di strumenti legittimi riduce la visibilità dell’attacco
UNC6692 combina malware custom con strumenti già presenti o comunemente usati nelle aziende. Microsoft Teams, Edge, AutoHotKey, PsExec, RDP, Task Manager, FTK Imager e LimeWire vengono sfruttati in fasi diverse della catena. Questa scelta riduce il numero di binari apertamente malevoli e rende più difficile distinguere attività legittime da comportamenti ostili. La tecnica conferma la tendenza degli attori avanzati a fondere living-off-the-land e componenti sviluppati ad hoc.
Teams e browser aziendali diventano vettori di compromissione
La campagna dimostra che le piattaforme collaborative possono diventare canali di attacco molto efficaci. Una chat su Microsoft Teams proveniente da un falso helpdesk può sembrare più affidabile di una email sospetta. Allo stesso tempo, un browser aziendale come Microsoft Edge può essere trasformato in strumento di persistenza e comando. Le organizzazioni devono quindi monitorare account esterni su Teams, download da bucket cloud non approvati, esecuzioni AutoHotKey e avvii di Edge headless con parametri anomali.
Le aziende devono bloccare la catena prima dell’esfiltrazione
La difesa deve concentrarsi sulle prime fasi della campagna. Limitare chat Teams da domini esterni, controllare link verso bucket S3 sconosciuti, bloccare estensioni browser non approvate e monitorare task schedulati sospetti può interrompere l’attacco prima del movimento laterale. Vanno inoltre rilevati traffico WebSocket anomalo verso domini Heroku, processi AutoHotKey insoliti, dump LSASS e uso inatteso di strumenti forensi. La rapidità di rilevamento è decisiva perché la catena può arrivare ai domain controller e all’esfiltrazione di dati critici.
UNC6692 conferma l’evoluzione del social engineering enterprise
La campagna di UNC6692 mostra come il social engineering moderno non si limiti più al furto di credenziali. Gli attaccanti costruiscono una pipeline completa che parte da Teams, passa dal browser e arriva all’infrastruttura Active Directory. L’ecosistema SNOW consente persistenza, tunneling, controllo remoto e furto dati con una combinazione di componenti modulari e strumenti legittimi. Per le aziende, il caso dimostra che la difesa deve includere identità, collaboration suite, browser, endpoint e traffico cloud nello stesso modello di rilevamento.
Iscriviti alla Newsletter
Non perdere le analisi settimanali: Entra nella Matrice Digitale.
Matrice Digitale partecipa al Programma Affiliazione Amazon EU. In qualità di Affiliato Amazon, ricevo un guadagno dagli acquisti idonei. Questo non influenza i prezzi per te.
