# UNC6692がMicrosoft Teams経由で「Snow」マルウェアスイートを展開  UNC6692として追跡されている攻撃グループが、ソーシャルエンジニアリングを用いて、「Snow」と名付けられた新しいカスタムマルウェアスイートを展開しています。このスイートには、ブラウザ拡張機能、トンネラー、バックドアが含まれています。彼らの最終的な目標は、認証情報窃取とドメイン乗っ取りを通じてネットワークへの深い侵入を達成した後、機密データを盗むことです。 **GoogleのMandiant**の研究者によると、攻撃者は「メール爆撃」の手法を用いて緊急性を演出し、その後**Microsoft Teams**を通じてターゲットに連絡を取り、ITヘルプデスク担当者を装います。この戦術はサイバー犯罪者の間でますます人気が高まっており、最近の**Microsoft**のレポートでも、攻撃者がQuick Assistやその他のリモートアクセスツールを通じてユーザーにリモートアクセスを許可させる手口が強調されています。 ## 「Snow」マルウェアのコンポーネント UNC6692のキャンペーンでは、被害者はメールスパムをブロックするためのパッチをインストールするよう促すリンクをクリックさせられます。代わりに、彼らは「SnowBelt」という悪意のあるChrome拡張機能をロードする**AutoHotkey**スクリプトを実行するドロッパーを受け取ります。  この拡張機能は、ユーザーに気づかれずにヘッドレス**Microsoft Edge**インスタンス内で動作します。永続性を確保するために、スケジュールされたタスクとスタートアップフォルダのショートカットも作成されます。 「SnowBelt」は、攻撃者からバックドア「SnowBasin」に送信されるコマンドのリレーおよび永続化メカニズムとして機能します。 コマンドは、「SnowGlaze」と呼ばれるトンネラーツールによって確立された**WebSocket**トンネルを通じて配信され、ホストとコマンドアンドコントロール（C2）インフラストラクチャ間の通信を隠蔽します。 「SnowGlaze」は**SOCKS**プロキシ操作も容易にし、感染したホストを通じて任意のTCPトラフィックをルーティングできるようにします。 「SnowBasin」はローカルの**HTTP**サーバーを実行し、攻撃者が提供したCMDまたは**PowerShell**コマンドを感染システムで実行し、同じパイプラインを通じてオペレーターに結果を返します。 このマルウェアは、リモートシェルアクセス、データ流出、ファイルダウンロード、スクリーンショットキャプチャ、および基本的なファイル管理操作をサポートしています。オペレーターは、ホスト上のバックドアをシャットダウンするための自己終了コマンドを発行することもできます。  ## 侵害後の活動 **Mandiant**は、侵害後、攻撃者が内部偵察を実行し、**SMB**や**RDP**などのサービスをスキャンして追加のターゲットを特定し、その後ネットワーク内でラテラルムーブメントを行うことを観察しています。 攻撃者は**LSASS**メモリをダンプして認証情報を抽出し、パス・ザ・ハッシュ技術を使用して追加のホストに認証を行い、最終的にドメインコントローラーへのアクセスを獲得します。 攻撃の最終段階で、攻撃者は**FTK Imager**を展開して**Active Directory**データベース、およびSYSTEM、SAM、SECURITYレジストリハイブを抽出します。 これらのファイルは**LimeWire**を使用してネットワークから流出し、攻撃者にドメイン全体にわたる機密性の高い認証情報データへのアクセスを付与します。  このレポートは、包括的な侵害インジケーター（IoCs）と、「Snow」ツールセットを検出するための**YARA**ルールも提供しています。