UNC6692 电子邮件轰炸投递 Snow 恶意软件以实现持久访问

UNC6692 邮件轰炸投递 Snow 恶意软件以实现持久访问

执行摘要

根据 2026 年 4 月 27 日 SecurityWeek 发布的报告，Mandiant 追踪的威胁行为者 UNC6692 被观察到使用一种新颖的两阶段攻击链，结合邮件轰炸和社会工程学部署 Snow 恶意软件家族的三个变种——Snowbelt、Snowglaze 和 Snowbasin。攻击者首先用数千封垃圾邮件淹没目标的收件箱，然后冒充 IT 支持人员联系受害者，指示他们安装远程访问软件，最终投递恶意软件以实现持久的后门访问。此活动没有与 CVE ID 或特定产品漏洞相关联；该技术完全依赖于人为操纵。

技术分析

攻击始于邮件轰炸阶段，UNC6692 向目标的企业或个人收件箱发送大量垃圾邮件。这使受害者不知所措，为第二阶段创造了借口：攻击者通过电话或聊天冒充内部 IT 支持或可信供应商联系受害者。社会工程师声称邮件洪水是一个需要立即补救的安全事件，并指示受害者安装合法的远程桌面工具（如 AnyDesk 或 TeamViewer）或伪装成安全修复的恶意负载。

一旦受害者授予远程访问权限或执行提供的文件，攻击者就会部署三种 Snow 恶意软件变体之一：

• Snowbelt：一个建立持久 C2 通信的后门，能够进行文件外泄和命令执行。
• Snowglaze：一个专注于凭据盗窃和键盘记录的变种，通常用于横向移动。
• Snowbasin：一个模块化后门，可以加载额外的插件，包括屏幕捕获和数据暂存。

Mandiant 将活动归因于 UNC6692，这是一个先前与技术和电信部门的目标入侵有关的集群，尽管报告中没有详细说明当前活动的目标学。恶意软件家族共享代码相似性和基础设施重叠，表明有一个单一的开发团队。

缓解措施与建议

防御者应实施电子邮件过滤规则，检测并隔离批量垃圾邮件爆发，并在入站电子邮件上配置速率限制以标记异常体积。用户意识培训应特别涵盖 IT 支持在电子邮件中断后未经请求联系员工的场景——合法的 IT 团队很少通过电话主动联系处理垃圾邮件问题。组织应强制应用允许列表以阻止未经授权的远程桌面工具，并监控与电子邮件洪水同时发生的不寻常的帮助台电话。网络检测团队可以使用已知的指标（如果有来自 Mandiant 或威胁情报源的）寻找 Snow 变体的 C2 流量。