Attacken auf Firmennetzwerke: Hacker tricksen Teams-Nutzer mit Spam aus
Sicherheitsforscher der Google Threat Intelligence Group (GTIG) haben eine Angriffskampagne einer als UNC6692 bezeichneten Hackergruppe aufgedeckt. Wie die Forscher in einem Blogbeitrag(öffnet im neuen Fenster) schildern, nutzen die Angreifer eine ausgeklügelte Social-Engineering-Technik, um über Microsoft Teams eine aus mehreren Komponenten bestehende Malware namens Snow in Unternehmensnetze einzuschleusenn.
Den Angaben zufolge flutet UNC6692 zuerst die E-Mail-Postfächer der Zielpersonen mit Unmengen an Spam-Nachrichten. Danach nehmen die Angreifer über Teams Kontakt auf und geben sich als IT-Helpdesk-Mitarbeiter aus, die dabei helfen wollen, die nervigen E-Mails einzudämmen.
Betroffene werden jeweils dazu aufgefordert, auf einen Link klicken, um einen Patch zu installieren, der den E-Mail-Spam unterbinden soll. Tatsächlich wird beim Klick auf den Link jedoch eine bei AWS gehostete Malware in Form eines Skriptes und einer umbenannten AutoHotKey(öffnet im neuen Fenster)-Binärdatei auf das System des Opfers geladen.
Drei Tools mit verschiedenen Aufgaben
Durch die Ausführung des Skriptes wird nach Angaben der Google-Forscher eine bösartige Browsererweiterung installiert, die unbemerkt im Hintergrund in Edge ausgeführt wird. Es handelt sich um eine Javascript-basierte Backdoor sowie die erste Komponente des Snow-Ökosystems. Sie trägt den Namen Snowbelt, nistet sich im Autostart des Systems ein und konfiguriert geplante Aufgaben, um Persistenz zu erlangen.
Anschließend werden weitere Snow-Komponenten nachgeladen, die die Google-Forscher Snowglaze und Snowbasin nennen. Es handelt sich dabei um eine Backdoor-Malware sowie ein Tool, das einen gesicherten Websocket-Tunnel zwischen einem infizierten System und dem Kontrollserver der Angreifer bereitstellt. Beide Tools sind in Python geschrieben.
Im Netzwerk geht es weiter
Ist ein System erfolgreich kompromittiert, so nutzt UNC6692 diesen Zugang für weiterführende Angriffe im lokalen Netzwerk des Zielnutzers aus. Dafür suchen die Angreifer unter anderem nach erreichbaren IT-Systemen, bei denen die Ports 135 (RPC), 445 (SMB) und 3389 (RDP) geöffnet sind.
Bei einem von den Google-Forschern untersuchten Angriff kaperten die Angreifer ein lokales Administratorkonto und verschafften sich anschließend Zugriff auf einen Back-up-Server. Dort extrahierten sie Passwort-Hashes aus dem Lsass-Prozessspeicher. Anhand dieser Hashes verschaffte sich UNC6692 schließlich Zugang zum Domaincontroller des Firmennetzwerks und griff unter anderem die AD-Datenbank ab. IT-Admins finden im Google-Bericht(öffnet im neuen Fenster) einige Kompromittierungsindikatoren, die bei der Abwehr entsprechender Attacken helfen können.
- Anzeige Hier geht es zu Hacking & Security: Das umfassende Handbuch bei Amazon Wenn Sie auf diesen Link klicken und darüber einkaufen, erhält Golem eine kleine Provision. Dies ändert nichts am Preis der Artikel.