UNC6692 劫持 Microsoft Teams 部署 SNOW 恶意软件套件

执行摘要

一个以前未被记录的威胁集群，被追踪为 UNC6692，观察到通过 Microsoft Teams 使用社交工程手段来在被入侵的主机上投递一个被称为 SNOW 的定制恶意软件套件。根据 The Hacker News 的报告，该团伙冒充 IT 帮助台员工，发起未经请求的 Teams 聊天邀请，诱使受害者安装恶意软件。该活动突显了攻击者滥用协作平台以获取初始访问权限的日益增长的趋势。

技术分析

UNC6692 操作者通过从一个伪装成内部 IT 帮助台工作人员的账户发送 Microsoft Teams 聊天请求来开始接触。一旦目标接受邀请，攻击者说服受害者下载并执行一个文件，该文件投递 SNOW 恶意软件套件。这个定制的后门包括凭证盗窃、键盘记录和在目标网络内横向移动的能力，尽管研究人员尚未公开披露负载的全部技术细节。

依赖于 Microsoft Teams 作为投递向量是值得注意的，因为该平台在企业环境中被广泛使用，帮助台冒充具有固有的可信度。在活动中使用的攻击者账户似乎是外部被入侵或为操作而创建的，因为它们与受害者组织的租户没有关联。UNC6692 的战术与其他滥用协作工具的近期入侵中观察到的技术一致，例如 Mandiant 和 Microsoft Threat Intelligence 所记录的那些。

缓解措施与建议

组织应实施严格的政策，要求员工在接受未经请求的 Teams 聊天或执行未知发送者的文件之前，通过二级渠道（例如，电子邮件或当面确认）验证 IT 帮助台联系人。管理员应限制外部 Teams 聊天邀请到批准的域，并启用所有 Teams 交互的日志记录。部署端点检测和响应（EDR）规则，以标记通过协作平台投递的未签名二进制文件的执行。

UNC6692 劫持 Microsoft Teams 部署 SNOW 恶意软件套件