Хакерская группа UNC6692 атакует корпоративные сети, используя Microsoft Teams для маскировки под IT-поддержку. Схему обнаружили специалисты Google Threat Intelligence Group вместе с Mandiant. Об этом сообщает Cyber security news.
Их цель – выманить у сотрудников доступы к корпоративным аккаунтам и под этим прикрытием тихо установить в системе вредоносный набор SNOW.
Читайте также"Быть везде одновременно" благодаря ИИ-двойникам: как этим пользуются СЕО технокомпаний
Сценарий атаки начинается с массированного email-спама, который перегружает почту сотрудников. После этого злоумышленники связываются с жертвой через Teams, представляясь IT-отделом, и предлагают "решить проблему". Пользователя переводят на фишинговую страницу "Mailbox Repair and Sync Utility", где похищаются логины и пароли.
После ввода данных система незаметно подтягивает вредоносный скрипт, который устанавливает компоненты SNOW. Далее злоумышленники получают скрытый доступ к устройству, могут обмениваться данными со своим сервером и фактически управлять системой – от просмотра файлов до выполнения команд.
Получив доступ, злоумышленники используют украденные данные, чтобы заходить на другие компьютеры и серверы внутри компании, включая контроллеры домена. Далее они собирают ценную информацию, в том числе базы Active Directory, и тихо выгружают ее наружу.
Эксперты советуют не доверять подобным "обращениям от поддержки" даже в Microsoft Teams – все нужно проверять через внутренние каналы компании.
Напомним, что хакеры начали использовать эмодзи для обхода систем безопасности. В 2025 году хакеры взломали Pornhub и получили данные премиум-пользователей.
