Een dreigingsgroep die bekendstaat als UNC6692 zet social engineering in om een nieuwe, op maat gemaakte malware-suite genaamd “Snow” te verspreiden. Deze malware bestaat uit een browserextensie, een tunneler en een backdoor, met als doel het stelen van gevoelige gegevens na een diepgaande netwerkcompromittering via credential theft en domeinovername.

Volgens onderzoekers van Google’s Mandiant gebruikt de aanvaller een tactiek van “email bombing” om urgentie te creëren, waarna slachtoffers via Microsoft Teams worden benaderd door zich voor te doen als IT-helpdeskmedewerkers. Een recent rapport van Microsoft benadrukt de groeiende populariteit van deze methode binnen de cybercriminaliteit, waarbij gebruikers worden misleid om aanvallers via Quick Assist of andere tools voor externe toegang toegang te verlenen.

In het geval van UNC6692 wordt het slachtoffer gevraagd op een link te klikken om een patch te installeren die e-mailspam zou blokkeren. In werkelijkheid ontvangt het slachtoffer een dropper die AutoHotkey-scripts uitvoert en de kwaadaardige Chrome-extensie “SnowBelt” laadt. Deze extensie draait op een headless Microsoft Edge-instance, zodat de gebruiker niets merkt. Daarnaast worden geplande taken en een snelkoppeling in de opstartmap aangemaakt om persistentie te waarborgen.

SnowBelt fungeert als persistentie- en relaismechanisme voor opdrachten die de operator verstuurt naar een Python-gebaseerde backdoor genaamd SnowBasin. Deze opdrachten worden via een WebSocket-tunnel gestuurd, opgezet door een tunneler-tool genaamd SnowGlaze, die de communicatie tussen het geïnfecteerde systeem en de command-and-control infrastructuur maskeert. SnowGlaze ondersteunt ook SOCKS-proxyfuncties, waardoor willekeurig TCP-verkeer via de geïnfecteerde host kan worden geleid.

SnowBasin draait een lokale HTTP-server en voert CMD- of PowerShell-commando’s uit die door de aanvaller worden aangeleverd. De resultaten worden teruggestuurd via dezelfde tunnel. De malware biedt functies voor remote shell-toegang, data-exfiltratie, bestandsdownloads, het maken van screenshots en basisbestandsbeheer. De operator kan de backdoor ook op afstand laten beëindigen.

Na de compromittering voerden de aanvallers interne verkenningen uit, waarbij ze diensten zoals SMB en RDP scanden om extra doelen te identificeren en zich lateraal door het netwerk bewogen. Ze dumpten het geheugen van LSASS om credentials te extraheren en gebruikten pass-the-hash technieken om zich bij andere hosts aan te melden, uiteindelijk met toegang tot domeincontrollers. In de laatste fase van de aanval werd FTK Imager ingezet om de Active Directory-database en belangrijke registerhives te extraheren. Deze bestanden werden via LimeWire uit het netwerk gehaald, waarmee de aanvallers toegang kregen tot gevoelige credentials binnen het domein.

Het rapport bevat uitgebreide indicators of compromise (IoC’s) en YARA-regels om de “Snow” toolset te detecteren.