# UNC6692 déploie la suite de malwares 'Snow' via Microsoft Teams  Un groupe de menaces suivi sous le nom d'UNC6692 utilise l'ingénierie sociale pour déployer une nouvelle suite de malwares personnalisée nommée "Snow", qui comprend une extension de navigateur, un tunnéliseur et une porte dérobée. Leur objectif final est de voler des données sensibles après avoir obtenu une compromission profonde du réseau par le vol d'identifiants et la prise de contrôle du domaine. Selon les chercheurs de **Google Mandiant**, les attaquants emploient des tactiques de "bombardement d'e-mails" pour créer un sentiment d'urgence, puis contactent les cibles via **Microsoft Teams**, se faisant passer pour des agents du support informatique. Cette tactique devient de plus en plus populaire parmi les cybercriminels, comme l'a souligné un récent rapport de **Microsoft**, où les attaquants trompent les utilisateurs pour qu'ils accordent un accès à distance via Quick Assist ou d'autres outils d'accès à distance. ## Les composants du malware 'Snow' Dans la campagne UNC6692, les victimes sont invitées à cliquer sur un lien pour installer un prétendu correctif conçu pour bloquer le spam par e-mail. Au lieu de cela, elles reçoivent un dropper qui exécute des scripts **AutoHotkey**, chargeant 'SnowBelt', une extension Chrome malveillante.  L'extension fonctionne dans une instance **Microsoft Edge** sans interface graphique, restant inaperçue par l'utilisateur. Des tâches planifiées et un raccourci dans le dossier de démarrage sont également créés pour assurer la persistance. 'SnowBelt' sert de mécanisme de persistance et de relais pour les commandes envoyées par l'attaquant à une porte dérobée basée sur Python nommée 'SnowBasin'. Les commandes sont livrées via un tunnel **WebSocket** établi par un outil de tunnélisation appelé 'SnowGlaze', masquant les communications entre l'hôte et l'infrastructure de commande et de contrôle (C2). 'SnowGlaze' facilite également les opérations de proxy **SOCKS**, permettant au trafic TCP arbitraire d'être acheminé via l'hôte infecté. 'SnowBasin' exécute un serveur **HTTP** local et exécute les commandes CMD ou **PowerShell** fournies par l'attaquant sur le système infecté, renvoyant les résultats à l'opérateur via le même pipeline. Le malware prend en charge l'accès shell à distance, l'exfiltration de données, le téléchargement de fichiers, la capture d'écran et les opérations de gestion de fichiers de base. L'opérateur peut également émettre une commande d'auto-terminaison pour arrêter la porte dérobée sur l'hôte.  ## Activités post-compromission **Mandiant** a observé qu'après la compromission, les attaquants effectuent une reconnaissance interne, scannant les services tels que **SMB** et **RDP** pour identifier des cibles supplémentaires, puis se déplacent latéralement au sein du réseau. Les attaquants déchargent la mémoire **LSASS** pour extraire le matériel d'identification et utilisent des techniques pass-the-hash pour s'authentifier sur des hôtes supplémentaires, accédant finalement aux contrôleurs de domaine. Au stade final de l'attaque, l'acteur de la menace déploie **FTK Imager** pour extraire la base de données **Active Directory**, ainsi que les ruches de registre SYSTEM, SAM et SECURITY. Ces fichiers sont exfiltrés du réseau à l'aide de **LimeWire**, donnant aux attaquants accès à des données d'identification sensibles sur l'ensemble du domaine.  Le rapport fournit des indicateurs de compromission (IoCs) complets ainsi que des règles **YARA** pour aider à détecter la suite d'outils "Snow".