Нещодавно дослідники кібербезпеки зафіксували діяльність раніше недокументованого кластера загроз, відомого як UNC6692. Ця група активно застосовує тактики соціальної інженерії, використовуючи платформу Microsoft Teams для здійснення цілеспрямованих атак. Основний метод полягає в імітації співробітників IT-підтримки, що дозволяє зловмисникам переконати жертв прийняти запрошення до чату в Teams від скомпрометованого або фейкового облікового запису.
Після встановлення контакту, UNC6692 використовує довіру жертви для подальшого розгортання власного шкідливого програмного забезпечення, відомого як SNOW malware, на скомпрометованих хостах. Цей підхід підкреслює постійну ефективність соціальної інженерії як ключового вектора для початкового доступу до систем.
Атаки UNC6692 демонструють високий рівень підготовки та орієнтованість на людський фактор. Сценарій атаки зазвичай включає наступні кроки:
- Ініціація контакту: Зловмисники створюють або компрометують облікові записи, що видають себе за легітимних співробітників IT-відділу.
- Соціальна інженерія через Teams: Жертва отримує запрошення до чату в Microsoft Teams, яке виглядає як запит від IT-підтримки (наприклад, щодо проблеми з обліковим записом, оновленням програмного забезпечення тощо).
- Переконання та розгортання: Після того, як жертва приймає запрошення, зловмисники використовують різні тактики переконання, щоб спонукати її виконати певні дії, що призводять до завантаження та встановлення SNOW malware. Це може бути запуск "інструменту діагностики" або "оновлення системи", яке насправді є шкідливим ПЗ.
- Приховане виконання: SNOW malware, будучи кастомним шкідливим ПЗ, розроблено для виконання певних зловмисних функцій на заражених хостах, деталі яких наразі досліджуються.
Ця загроза є актуальною для широкого кола організацій, особливо тих, що активно використовують Microsoft Teams як основний інструмент корпоративної комунікації. До потенційних жертв належать:
- Корпоративні користувачі: Співробітники будь-яких відділів, які можуть стати мішенню для фішингових атак через Teams.
- IT-відділи: Хоча зловмисники імітують IT-підтримку, самі IT-фахівці також можуть стати жертвами, якщо не дотримуються строгих протоколів перевірки.
- Урядові та фінансові установи: Організації з високою цінністю даних, де успішна атака може призвести до значних фінансових та репутаційних втрат.
Основний ризик полягає в експлуатації довіри до внутрішніх комунікаційних каналів та недостатній обізнаності персоналу щодо методів соціальної інженерії.
Для мінімізації ризиків, пов'язаних з атаками UNC6692 та подібними загрозами, Cyber Index UA рекомендує наступні заходи:
- Навчання з кібергігієни: Регулярно проводьте тренінги для співробітників щодо розпізнавання фішингових атак, зокрема тих, що використовують соціальну інженерію через Teams або інші месенджери. Наголошуйте на важливості перевірки особистості відправника.
- Багатофакторна автентифікація (MFA): Запровадьте MFA для всіх корпоративних облікових записів, особливо для доступу до чутливих систем та платформ комунікації.
- Політики безпеки для Teams: Налаштуйте суворі політики для Microsoft Teams, включаючи обмеження на зовнішні запрошення, моніторинг підозрілої активності та заборону на встановлення програмного забезпечення без дозволу адміністратора.
- Протоколи перевірки IT-запитів: Встановіть чіткі протоколи для IT-підтримки, які вимагають позасмугової перевірки (наприклад, телефонний дзвінок або запит через офіційний портал) перед виконанням будь-яких дій, що стосуються встановлення ПЗ або зміни конфігурації.
- Рішення EDR/XDR: Використовуйте сучасні системи виявлення та реагування на кінцевих точках (EDR) або розширеного виявлення та реагування (XDR) для моніторингу та блокування шкідливої активності.
- Сегментація мережі: Застосовуйте принципи мінімальних привілеїв та сегментації мережі для обмеження потенційного поширення шкідливого ПЗ у разі компрометації.