El grupo de ciberdelincuentes UNC6692 ha perfeccionado una técnica insidiosa para infiltrarse en redes corporativas, combinando tácticas de 'bombardeo de correo' con ingeniería social a través de Microsoft Teams. El objetivo final es engañar a los empleados para que instalen un supuesto parche de seguridad que, en realidad, es un malware avanzado llamado Snow. Esta campaña no solo busca obtener control remoto y moverse lateralmente dentro de la red, sino que culmina en el robo de datos críticos, incluyendo la valiosa base de datos de Active Directory.
La estrategia de UNC6692 aprovecha la confianza que los empleados depositan en herramientas de uso diario como Microsoft Teams . Al hacerse pasar por personal de soporte técnico (helpdesk), los atacantes pueden interactuar con las víctimas de manera directa y persuasiva, ofreciendo una solución rápida a un problema inexistente. El ataque comienza con una oleada de correos electrónicos diseñados para abrumar al usuario y generar una sensación de urgencia. Justo en ese momento de distracción, se inicia un chat en Teams donde se ofrece el falso parche bajo la premisa de frenar el spam. Este 'parche' actúa como un 'dropper', ejecutando scripts que preparan el terreno para la instalación de un conjunto de herramientas maliciosas.
Una de las piezas clave de este malware es SnowBelt, una extensión maliciosa para Chrome que opera de forma oculta dentro de Microsoft Edge. Para asegurar su persistencia, se crean tareas programadas y se añade un acceso directo en la carpeta de inicio del usuario. Posteriormente, SnowBelt actúa como un relé para SnowBasin, una puerta trasera escrita en Python capaz de ejecutar comandos, descargar y exfiltrar archivos, y establecer sesiones de shell remoto. La comunicación con la infraestructura del atacante se camufla y asegura a través de SnowGlaze, que crea un túnel WebSocket disfrazado como tráfico legítimo de Edge, permitiendo incluso redirigir tráfico TCP arbitrario. Una vez dentro, el grupo procede a la fase de reconocimiento del dominio, buscando activamente sistemas con información sensible para robar credenciales mediante técnicas como el volcado de memoria de LSASS y el movimiento lateral con 'pass the hash', con el objetivo final de acceder al controlador de dominio y extraer la base de datos de Active Directory.
Artículos relacionados de LaRebelión:
- Vercel Breach Uncovered OAuth Gap Threatens Security Teams
- IA en Hackeo Roban Datos Masivos de Mexico
- OCSF The Security Data Language Teams Need
- Malware Autopropagable Ataca Software de Codigo Abierto
- Hack de Trivy Propaga Malware via Docker
Artículo generado mediante LaRebelionBOT
No hay comentarios:
Publicar un comentario