Notebookcheck Logo

Bilgisayar korsanları Microsoft Teams personelini taklit ederek SNOW kötü amaçlı yazılımını dağıtıyor

UNC6692, BT yardım masası personelini taklit etmek ve özel bir kötü amaçlı yazılım paketi sunmak için Microsoft Teams'in harici işbirliği özelliklerinden yararlanıyor.
ⓘ Freepik.com/drobotdean
UNC6692, BT yardım masası personelini taklit etmek ve özel bir kötü amaçlı yazılım paketi sunmak için Microsoft Teams'in harici işbirliği özelliklerinden yararlanıyor.
Tehdit grubu UNC6692, SNOW kötü amaçlı yazılım araç setini dağıtmak ve kurumsal ağlardan kimlik bilgilerini çalmak için Microsoft Teams BT kimliğine bürünme ve toplu e-posta bombardımanını kullanıyor.
Windows Software Security Microsoft Laptop / Notebook Desktop Business

Yeni tespit edilen bir tehdit grubu, Microsoft Teams'i kullanarak BT yardım masası personeli gibi davranıyor, kurumsal gelen kutularını spam ile bombalıyor ve ardından kurumsal ağlara özel bir kötü amaçlı yazılım paketi dağıtıyor. Google Tehdit İstihbarat Grubu ve Mandiant, kampanyayı UNC6692 olarak izledikleri bir kümeye atfederek açıkladı.

UNC6692 nasıl giriyor?

Rapora göre, saldırı toplu bir e-posta bombardımanıyla başlıyor hedefe karşı çalışır ve kriz hissi yaratmak için gelen kutularını doldurur. Saldırgan daha sonra Microsoft Teams aracılığıyla harici bir hesaptan ulaşarak BT desteği olduğunu iddia ediyor ve spam sorununu çözmeyi teklif ediyor.

Ek raporlama sohbet davetini kabul eden çalışanlara, onları "Mailbox Repair and Sync Utility v2.1.5" adlı ikna edici sahte bir sayfaya yönlendiren bir kimlik avı bağlantısı gönderildiğini aktarmıştır

Bu sayfadaki sahte bir Sağlık Kontrolü düğmesi, posta kutusu kimlik bilgilerini topluyor ve bunları doğrudan saldırgan kontrolündeki bir AWS S3 kovasına gönderiyor. Mandiant'a göre, bir AutoHotKey betiği de arka planda sessizce indiriliyor ve grubun kötü amaçlı yazılım araç setini yüklemeye başlıyor.

KAR aslında ne yapar

rapor bulgularına göre araç setinin üç bileşeni vardır. SNOWBELT, kendisini "MS Heartbeat" veya "System Heartbeat" olarak gizleyen ve birincil arka kapı olarak hareket eden kötü amaçlı bir Chromium tarayıcı uzantısıdır.

SNOWGLAZE, kurbanın makinesi üzerinden WebSocket üzerinden grubun komuta ve kontrol sunucusuna trafik aktaran Python tabanlı bir tünelleyicidir. Standart şifrelenmiş web trafiği gibi görünmesi için verileri Base64 kodlu JSON'a sarar.

SNOWBASIN tüm bunların altında kalıcı bir arka kapı olarak yer alıyor ve saldırgana uzaktan komut yürütme, ekran görüntüsü yakalama ve talep üzerine dosya erişimi sağlıyor. Mandiant, bu üç bileşenin birlikte UNC6692'ye rutin tarayıcı ve ağ faaliyetlerine karışan sessiz ve dayanıklı bir dayanak sağladığını söylüyor.

Oradan nereye gidiyor

İlk dayanak noktasından itibaren grup yerel ağı açık bağlantı noktaları için tarar ve çalınan NTLM parola karmaları ile Pass-the-Hash kullanarak etki alanı denetleyicilerine yönelir. Mandiant'a göre, grup bir yedekleme sunucusundan LSASS işlem belleğini çıkarıyor ve LimeWire aracılığıyla dışarı sızdırarak kimlik bilgilerini çevrimdışı işlem için kurban ortamından çekiyor.

Mandiant, bir etki alanı denetleyicisine girdikten sonra UNC6692'nin Güvenlik Hesabı Yöneticisi ve SİSTEM kayıt defteri kovanlarıyla birlikte Active Directory veritabanı dosyasını çekmek için FTK Imager'ı kullandığını, ardından etki alanı denetleyicisinin ekran görüntülerini almadan önce her şeyi LimeWire aracılığıyla tekrar dışarı sızdırdığını söylüyor.

Raporda Microsoft Teams kuruluş dışından mesajlar geldiğinde bir uyarı görüntüler. Talep edilmemiş herhangi bir harici destek talebi, herhangi bir erişim izni verilmeden önce bilinen bir dahili kanal aracılığıyla doğrulanmalıdır.

Please share our article, every link counts!
Mail Logo

İlgili makaleler

> Notebooklar Hakkında Aradığınız Herşey > Haberler > Haber Arşivi > Haber arşivi 2026 04 > Bilgisayar korsanları Microsoft Teams personelini taklit ederek SNOW kötü amaçlı yazılımını dağıtıyor
Darryl Linington, 2026-04-24 (Update: 2026-04-24)