# UNC6692 setzt 'Snow'-Malware-Suite über Microsoft Teams ein  Eine Bedrohungsgruppe, die als UNC6692 verfolgt wird, setzt Social Engineering ein, um eine neue, benutzerdefinierte Malware-Suite namens „Snow“ einzusetzen, die eine Browser-Erweiterung, einen Tunneler und eine Backdoor umfasst. Ihr ultimatives Ziel ist der Diebstahl sensibler Daten nach einer tiefgreifenden Netzwerkkompromittierung durch Diebstahl von Anmeldeinformationen und Übernahme der Domäne. Laut Forschern von **Google’s Mandiant** setzen die Angreifer „E-Mail-Bombing“-Taktiken ein, um ein Gefühl der Dringlichkeit zu erzeugen, und kontaktieren dann Ziele über **Microsoft Teams**, wobei sie sich als IT-Helpdesk-Mitarbeiter ausgeben. Diese Taktik wird bei Cyberkriminellen immer beliebter, wie in einem aktuellen **Microsoft**-Bericht hervorgehoben wird, in dem Angreifer Benutzer dazu bringen, Fernzugriff über Quick Assist oder andere Fernzugriffstools zu gewähren. ## Die 'Snow'-Malware-Komponenten In der UNC6692-Kampagne werden Opfer aufgefordert, auf einen Link zu klicken, um einen angeblichen Patch zur Blockierung von E-Mail-Spam zu installieren. Stattdessen erhalten sie einen Dropper, der **AutoHotkey**-Skripte ausführt und 'SnowBelt', eine bösartige Chrome-Erweiterung, lädt.  Die Erweiterung läuft innerhalb einer Headless-**Microsoft Edge**-Instanz und bleibt für den Benutzer unbemerkt. Geplante Aufgaben und eine Verknüpfung im Autostart-Ordner werden ebenfalls erstellt, um die Persistenz zu gewährleisten. 'SnowBelt' dient als Persistenzmechanismus und als Weiterleitung für Befehle, die vom Angreifer an eine Python-basierte Backdoor namens 'SnowBasin' gesendet werden. Befehle werden über einen **WebSocket**-Tunnel geliefert, der von einem Tunneler-Tool namens 'SnowGlaze' aufgebaut wird und die Kommunikation zwischen dem Host und der Command-and-Control (C2)-Infrastruktur verschleiert. 'SnowGlaze' ermöglicht auch **SOCKS**-Proxy-Operationen, wodurch beliebiger TCP-Verkehr über den infizierten Host geleitet werden kann. 'SnowBasin' führt einen lokalen **HTTP**-Server aus und führt vom Angreifer bereitgestellte CMD- oder **PowerShell**-Befehle auf dem infizierten System aus und leitet die Ergebnisse über dieselbe Pipeline an den Betreiber weiter. Die Malware unterstützt Remote-Shell-Zugriff, Datenexfiltration, Datei-Downloads, Screenshot-Erfassung und grundlegende Dateioperationen. Der Betreiber kann auch einen Befehl zur Selbstbeendigung ausgeben, um die Backdoor auf dem Host zu beenden.  ## Aktivitäten nach der Kompromittierung **Mandiant** hat beobachtet, dass die Angreifer nach der Kompromittierung interne Erkundungen durchführen, nach Diensten wie **SMB** und **RDP** suchen, um zusätzliche Ziele zu identifizieren, und sich dann lateral im Netzwerk bewegen. Die Angreifer dumpen **LSASS**-Speicher, um Anmeldeinformationen zu extrahieren, und verwenden Pass-the-Hash-Techniken, um sich bei zusätzlichen Hosts zu authentifizieren und schließlich Zugriff auf Domänencontroller zu erhalten. Im letzten Stadium des Angriffs setzt der Bedrohungsakteur **FTK Imager** ein, um die **Active Directory**-Datenbank zusammen mit den SYSTEM-, SAM- und SECURITY-Registrierungshives zu extrahieren. Diese Dateien werden mithilfe von **LimeWire** aus dem Netzwerk exfiltriert, wodurch die Angreifer Zugriff auf sensible Anmeldeinformationen in der gesamten Domäne erhalten.  Der Bericht enthält umfangreiche Indikatoren für Kompromittierung (IoCs) sowie **YARA**-Regeln, um das „Snow“-Toolset zu erkennen.