Logiciel malveillant SNOW
Un nouveau groupe de menaces, jusqu'alors inconnu et référencé UNC6692, a été identifié. Il exploite des techniques d'ingénierie sociale avancées via Microsoft Teams pour déployer un logiciel malveillant personnalisé appelé SNOW Malware. Les attaquants se font systématiquement passer pour des techniciens d'assistance informatique, incitant leurs victimes à accepter des invitations à discuter provenant de comptes externes.
Cette tromperie est renforcée par une campagne coordonnée d'envoi massif de courriels indésirables, inondant les victimes de messages pour créer un sentiment d'urgence et de confusion. Peu après, l'attaquant prend contact via Teams, se faisant passer pour un technicien du support informatique et proposant son aide pour résoudre le problème fictif. Cette technique de manipulation à deux niveaux augmente considérablement les chances d'obtenir l'adhésion des utilisateurs.
Table des matières
Tactiques héritées, impact moderne
Le mode opératoire est similaire aux techniques historiquement associées aux affiliés de Black Basta. Bien que le groupe ait cessé ses activités de ransomware, ses méthodes persistent et restent efficaces. Des chercheurs en sécurité ont confirmé que cette approche cible principalement les cadres et les hauts responsables, permettant un accès initial au réseau qui peut mener à l'exfiltration de données, aux déplacements latéraux, au déploiement du ransomware et à l'extorsion. Dans les cas observés, les conversations initiées par les attaquants se déroulaient à quelques secondes d'intervalle, soulignant l'automatisation et la coordination.
Point d’entrée trompeur : La fausse solution
Contrairement aux attaques traditionnelles qui reposent uniquement sur des outils de gestion à distance tels que Quick Assist ou Supremo Remote Desktop, cette campagne utilise une chaîne d'infection modifiée. Les victimes sont incitées à cliquer sur un lien d'hameçonnage partagé via Teams, présenté comme un « utilitaire de réparation et de synchronisation de boîte aux lettres v2.1.5 ».
Le lien déclenche le téléchargement d'un script AutoHotkey malveillant hébergé sur un service de stockage cloud contrôlé par l'attaquant. Un mécanisme de contrôle garantit que la charge utile ne soit distribuée qu'aux cibles prévues, permettant ainsi de contourner les analyses de sécurité automatisées. De plus, le script vérifie le navigateur utilisé et impose l'utilisation de Microsoft Edge par le biais d'avertissements persistants, assurant ainsi la compatibilité avec les composants malveillants ultérieurs.
SNOWBELT : La porte dérobée silencieuse du navigateur
Le script initial effectue une reconnaissance avant de déployer SNOWBELT, une extension de navigateur malveillante basée sur Chromium. Installée via un processus Edge sans interface graphique à l'aide de paramètres de ligne de commande spécifiques, SNOWBELT fonctionne comme une porte dérobée dissimulée. Elle facilite le téléchargement de charges utiles supplémentaires, notamment SNOWGLAZE, SNOWBASIN, d'autres scripts AutoHotkey et une archive compressée contenant un environnement Python portable.
Simultanément, l'interface d'hameçonnage présente un « panneau de gestion de la configuration » doté d'une fonction de « vérification de l'état ». Sous couvert d'authentification, cette interface invite les utilisateurs à saisir leurs identifiants de messagerie, mais capture et exfiltre en réalité des données sensibles vers une infrastructure contrôlée par l'attaquant.
Écosystème modulaire de logiciels malveillants : Analyse du framework SNOW
La suite de logiciels malveillants SNOW fonctionne comme un écosystème coordonné et modulaire conçu pour la persistance, le contrôle et la furtivité :
- SNOWBELT agit comme un relais de commandes basé sur JavaScript, recevant les instructions de l'attaquant et les transmettant pour exécution.
- SNOWGLAZE fonctionne comme un utilitaire de tunnelage basé sur Python, établissant une connexion WebSocket sécurisée entre le réseau compromis et le serveur de commande et de contrôle de l'attaquant.
- SNOWBASIN sert de porte dérobée persistante, permettant l'exécution de commandes à distance, les transferts de fichiers, la capture d'écran et l'auto-suppression, tout en fonctionnant comme un serveur HTTP local sur plusieurs ports.
Post-exploitation : étendre le contrôle et extraire des données
Suite à la compromission initiale, l'acteur malveillant exécute une série d'actions pour approfondir son accès et extraire des informations précieuses :
La reconnaissance du réseau est effectuée en scannant les ports critiques, suivie d'un déplacement latéral à l'aide d'outils d'administration et de sessions de bureau à distance tunnelées à travers des systèmes compromis.
L'élévation de privilèges est obtenue en extrayant des données sensibles de la mémoire des processus, permettant ainsi la collecte d'identifiants et l'accès non autorisé à des systèmes de niveau supérieur.
Des techniques avancées telles que Pass-the-Hash sont utilisées pour compromettre les contrôleurs de domaine, après quoi des outils d'analyse forensique sont déployés pour collecter des données sensibles, notamment des bases de données d'annuaire, qui sont ensuite exfiltrées à l'aide d'utilitaires de transfert de fichiers.
Camouflage dans les nuages : fusionner le trafic malveillant avec les services légitimes
L'une des caractéristiques déterminantes de cette campagne est l'exploitation stratégique d'infrastructures cloud de confiance. Chargements malveillants, exfiltration de données et communications de commande et de contrôle transitent par des plateformes cloud légitimes. Cette approche permet aux activités malveillantes de se fondre parfaitement dans le trafic réseau normal de l'entreprise, contournant ainsi les filtres de sécurité traditionnels basés sur la réputation ou la détection d'anomalies.
Évolution du paysage des menaces : la confiance comme cible principale
La campagne UNC6692 illustre une évolution majeure des stratégies de cyberattaque, combinant ingénierie sociale, outils d'entreprise de confiance et logiciels malveillants modulaires. En exploitant la confiance des utilisateurs dans les plateformes et services largement utilisés, les attaquants augmentent leurs chances de succès tout en minimisant leur détection. La persistance de tactiques traditionnelles, associée à des mécanismes de diffusion innovants, souligne une réalité cruciale : les stratégies d'attaque efficaces peuvent perdurer bien après la disparition de leurs auteurs.
