**UNC6692** wurde dabei beobachtet, Angriffe durch die Überflutung von Zielen mit Spam-E-Mails zu initiieren, um ein Gefühl der Dringlichkeit zu erzeugen. Anschließend kontaktieren sie das Ziel auf **Microsoft Teams** und geben sich als IT-Support aus, um Hilfe bei der E-Mail-Bombardierung anzubieten, so ein Bericht von **Mandiant** (im Besitz von **Google**). Diese Taktik, die E-Mail-Bombardierung mit der **Microsoft Teams**-basierten Helpdesk-Imitation zu kombinieren, wurde bereits zuvor mit ehemaligen **Black Basta**-Affiliates in Verbindung gebracht. Trotz der Abschaltung der Ransomware-Gruppe im letzten Jahr bleibt dieser Ansatz weit verbreitet. **ReliaQuest** berichtete, dass diese Methode aktiv eingesetzt wird, um Führungskräfte und leitende Angestellte ins Visier zu nehmen, mit dem Ziel, initialen Zugriff auf Unternehmensnetzwerke für Datendiebstahl, laterale Bewegung, Ransomware-Bereitstellung und Erpressung zu erlangen. Einige Angriffe initiieren Chats innerhalb von Sekunden voneinander. Die Angreifer zielen darauf ab, die Opfer davon zu überzeugen, legitime Remote-Monitoring- und Management-Tools (RMM) wie Quick Assist oder Supremo Remote Desktop zu installieren, um direkten Zugriff zu erhalten und weitere bösartige Payloads bereitzustellen. Die Forscher von ReliaQuest, John Dilgen und Alexa Feminella, stellten fest, dass vom 1. März bis zum 1. April 2026 77 % der Vorfälle leitende Angestellte betrafen, ein Anstieg von 59 % in den beiden Vormonaten. Dies unterstreicht die anhaltende Wirksamkeit bestimmter Taktiken. ### UNC6692's einzigartige Angriffskette Die von **Mandiant** detaillierte Angriffskette unterscheidet sich geringfügig. Die Opfer werden angewiesen, einen über **Teams** geteilten Phishing-Link anzuklicken, um einen "lokalen Patch" zur Behebung des Spam-Problems zu installieren. Dies führt zum Download eines AutoHotkey-Skripts aus einem von Angreifern kontrollierten AWS S3-Bucket. Die Phishing-Seite ist als "Mailbox Repair and Sync Utility v2.1.5" getarnt. Das Skript führt eine erste Aufklärung durch und installiert **SNOWBELT**, eine bösartige Chromium-basierte Browsererweiterung, im Edge-Browser im Headless-Modus unter Verwendung des `--load-extension`-Befehlszeilenschalters. Die Mandiant-Forscher JP Glab, Tufail Ahmed, Josh Kelley und Muhammad Umair erklärten, dass der Angreifer ein Gatekeeper-Skript verwendet, um sicherzustellen, dass die Payload nur an die beabsichtigten Ziele geliefert wird und automatisierte Sicherheits-Sandboxes umgeht.  Wenn der Benutzer **Microsoft Edge** nicht verwendet, wird eine permanente Warnmeldung angezeigt. **SNOWBELT** lädt dann zusätzliche Dateien herunter, darunter **SNOWGLAZE**, **SNOWBASIN**, AutoHotkey-Skripte und ein ZIP-Archiv mit einer portablen Python-Executable und Bibliotheken. Die Phishing-Seite beherbergt auch ein Konfigurationsmanagement-Panel mit einem "Health Check"-Button. Ein Klick darauf fordert die Benutzer auf, Postfach-Anmeldedaten einzugeben, angeblich zur Authentifizierung, aber tatsächlich, um Daten zu sammeln und zu exfiltrieren, zu einem anderen Amazon S3-Bucket. ### Das SNOW Malware-Ökosystem Die **SNOW**-Malware-Suite ist ein modulares Toolkit. **SNOWBELT**, ein JavaScript-basierter Backdoor, empfängt Befehle und leitet sie zur Ausführung an **SNOWBASIN** weiter. **SNOWGLAZE**, ein Python-basierter Tunnel, erstellt einen sicheren, authentifizierten WebSocket-Tunnel zwischen dem internen Netzwerk des Opfers und dem Command-and-Control (C2)-Server des Angreifers. **SNOWBASIN** fungiert als persistenter Backdoor, der die Fernausführung von Befehlen über "cmd.exe" oder "powershell.exe", die Erfassung von Screenshots, den Upload/Download von Dateien und die Selbstbeendigung ermöglicht. Er arbeitet als lokaler HTTP-Server auf den Ports 8000, 8001 oder 8002. ### Post-Exploitation-Aktivitäten Nachdem der erste Zugriff erlangt wurde, führt **UNC6692** Aktionen durch wie: * Scannen des lokalen Netzwerks nach den Ports 135, 445 und 3389 für laterale Bewegung. * Einrichten einer PsExec-Sitzung über das **SNOWGLAZE**-Tunneling-Dienstprogramm. * Initiieren einer RDP-Sitzung über **SNOWGLAZE** vom Opfer-System zu einem Backup-Server. * Verwenden eines lokalen Administrator-Kontos, um den Speicher des LSASS-Prozesses des Systems mit dem Windows Task Manager für Privilegien-Eskalation zu extrahieren. * Verwenden der Pass-The-Hash-Technik, um mit erhöhten Benutzer-Passwort-Hashes lateral zu Domain-Controllern zu gelangen. * Herunterladen und Ausführen von **FTK Imager**, um sensible Daten (z.B. die Active Directory-Datenbankdatei) zu erfassen und diese mit LimeWire zu exfiltrieren. **Mandiant** betonte die interessante Entwicklung der Taktiken der Kampagne, einschließlich Social Engineering, benutzerdefinierter Malware und bösartiger Browsererweiterungen, die das Vertrauen der Benutzer in Anbieter von Unternehmenssoftware ausnutzen. Sie hoben auch den Missbrauch legitimer Cloud-Dienste für die Payload-Bereitstellung, Exfiltration und C2-Infrastruktur hervor, was es Angreifern ermöglicht, traditionelle Netzwerk-Reputationsfilter zu umgehen. ### Ähnliche Kampagnen Die Veröffentlichung folgt dem Bericht von **Cato Networks** über eine Voice-Phishing-Kampagne, die ähnliche Helpdesk-Imitationen auf **Microsoft Teams** nutzte, um einen WebSocket-basierten Trojaner namens **PhantomBackdoor** über ein obfuskiertes PowerShell-Skript bereitzustellen.  **Cato Networks** erklärte, dass dieser Vorfall zeigt, wie Helpdesk-Imitationen über **Microsoft Teams** traditionelles Phishing ersetzen können, was zu gestaffelter PowerShell-Ausführung und einem WebSocket-Backdoor führt. Sie empfehlen, Kollaborationstools als primäre Angriffsflächen zu behandeln, Workflows zur Überprüfung des Helpdesks durchzusetzen, externe **Teams**- und Bildschirmfreigabe-Kontrollen zu verschärfen und PowerShell zu härten. **Microsoft** hat ebenfalls vor Bedrohungsakteuren gewarnt, die Cross-Tenant-Kommunikation über **Microsoft Teams** initiieren, um eine interaktive Kontrolle mit Quick Assist und anderen Remote-Support-Tools für die Ausführung bösartigen Codes zu etablieren. Sobald sie eingedrungen sind, führen Angreifer Aufklärung durch und stellen Payloads für ausgehende verschlüsselte Verbindungen zur C2-Infrastruktur bereit.