Yoan AGOSTINI

Yoan AGOSTINI

1337 G33k

Threat actor uses Microsoft Teams to deploy new “Snow” malware

1 minute de lecture

Mis à jour :

Menace « Snow » : Infiltration via Microsoft Teams

Le groupe de menace UNC6692 déploie une suite logicielle malveillante sophistiquée baptisée « Snow » en exploitant des tactiques d’ingénierie sociale sur Microsoft Teams. En se faisant passer pour le support informatique, les attaquants incitent les utilisateurs à installer un prétendu correctif de sécurité, permettant une prise de contrôle profonde du réseau et un vol de données à grande échelle.

Points clés :

  • Vecteur d’attaque : Utilisation de l’« email bombing » pour créer un sentiment d’urgence, suivi d’une prise de contact via Microsoft Teams sous une fausse identité de support technique.
  • La suite « Snow » : Composée d’une extension Chrome malveillante (« SnowBelt »), d’un tunnelier (« SnowGlaze ») et d’une porte dérobée (« SnowBasin »).
  • Objectifs : Persistance sur le système, accès à distance, exfiltration de fichiers, captures d’écran et exécution de commandes PowerShell/CMD.
  • Mouvement latéral : Après compromission initiale, les attaquants scannent le réseau (SMB, RDP), extraient des identifiants (LSASS) et visent les contrôleurs de domaine pour dérober la base de données Active Directory.

Vulnérabilités :

  • Aucune CVE spécifique n’est mentionnée, car l’attaque repose sur l’exploitation humaine (ingénierie sociale) et l’abus de fonctionnalités légitimes de gestion à distance.

Recommandations :

  • Sensibilisation : Former les utilisateurs à la méfiance envers les sollicitations inattendues via Microsoft Teams, même si elles semblent provenir du support informatique.
  • Validation des privilèges : Restreindre les droits d’installation des extensions de navigateur et limiter l’exécution de scripts non autorisés (AutoHotkey, PowerShell).
  • Surveillance réseau : Détecter les connexions inhabituelles via WebSocket, surveiller les exécutions de tâches planifiées suspectes et auditer les accès aux fichiers sensibles (NTDS.dit, SAM, SECURITY).
  • Sécurité des identifiants : Mettre en œuvre des mesures robustes contre le vol de données d’identification (ex: protection du processus LSASS, authentification forte).
  • Outils de détection : Utiliser les règles YARA et les indicateurs de compromission (IoCs) fournis par les chercheurs de Mandiant pour identifier la présence de la suite « Snow ».

Source

Vous pourriez aimer