Корпоративные пользователи Microsoft 365 и Microsoft Teams столкнулись с новой угрозой, которая демонстрирует сдвиг тактики злоумышленников - они перестали полагаться исключительно на email как канал доставки вредоносных ссылок. Обнародованные 23 апреля 2026 года данные исследования компаний Google Threat Intelligence и Mandiant описывают ранее неизвестный кластер угроз UNC6692, использующий собственный набор вредоносных программ под кодовым названием Snow. Этот инцидент интересен не столько новизной компонентов, сколько продуманной схемой социальной инженерии, которая делает неэффективной традиционную почтовую защиту.
Описание
Уникальность атаки заключается в двухэтапном подходе. Сначала злоумышленники организуют массированную рассылку тысяч писем с подписками и уведомлениями на почтовый ящик жертвы. Цель такой email-бомбардировки - не нанести технический вред, а создать для пользователя проблему, с которой ему понадобится помощь. Затем атакующий инициирует чат в Microsoft Teams от имени сотрудника IT-поддержки, используя внешний клиент, настроенный так, чтобы он отображался как внутренний. Жертве предлагают перейти по ссылке на фишинговую страницу, размещённую на Amazon S3, якобы для установки утилиты восстановления почтового ящика. На самом деле загрузка представляет собой скрипт на языке AutoHotkey, который устанавливает в браузер Chromium вредоносное расширение.
Mandiant и Google Threat Intelligence сообщили о трёх ключевых компонентах набора Snow. Первый - SNOWBELT, бэкдор на JavaScript, замаскированный под расширение браузера с безобидными названиями вроде MS Heartbeat или System Heartbeat. Он обеспечивает долгоживущий канал связи с инфраструктурой злоумышленника через случайные корзины Amazon S3. Второй компонент - SNOWGLAZE, туннель на Python, который открывает WebSocket Secure-соединение к управляющему серверу, размещённому на платформе Heroku, и предоставляет функционал SOCKS-прокси для любого исходящего трафика. Третий - SNOWBASIN, бэкдор на Python, прослушивающий локальный порт 8000 и выполняющий команды через cmd.exe или powershell.exe, делающий снимки экрана и подготавливающий файлы к краже. Все три компонента связаны единым сеансом аутентификации, что позволяет атакующему управлять системой через браузер, туннель и локальный сервер одновременно.
После успешного проникновения группа UNC6692 демонстрирует агрессивное поведение, типичное не для обычных массовых атак, а для целевых операций. Используя атаку Pass the Hash (метод перемещения по сети с помощью хэшей паролей), злоумышленник добирается до контроллера домена. Затем он легально загружает утилиту FTK Imager (инструмент для криминалистического копирования данных) и с её помощью извлекает базу данных Active Directory NTDS.dit, а также кусты реестра SAM, SYSTEM и SECURITY. Полученный архив эксфильтрируется через LimeWire (программа для обмена файлами). Такой набор действий прямо указывает на то, что целью является полная компрометация доменных учётных записей. Полученные данные можно использовать для повторного доступа, подготовки к атаке программами-вымогателями или продажи другим преступным группам.
Особую опасность представляет тот факт, что вредоносная ссылка передаётся не в почтовом взрыве, а в чате Teams, который пользователь воспринимает как внутренний. Многие организации до сих пор рассматривают Microsoft Teams как доверенный канал и не применяют к нему те же меры фильтрации, что и к электронной почте. В результате самый дорогой почтовый шлюз становится бесполезным - он видит только шум от подписок, а реальная угроза проходит через мессенджер. Кроме того, трафик управления смешивается с легитимным облачным использованием: SNOWBELT обращается к Amazon S3, а SNOWGLAZE - к Heroku, что затрудняет обнаружение.
Для защиты от подобных атак специалистам по информационной безопасности стоит немедленно пересмотреть политики работы с Microsoft Teams. Самое эффективное действие - ограничить или полностью отключить внешнюю федерацию, чтобы неизвестные пользователи из других клиентов не могли инициировать чат с сотрудниками. Второй шаг - внедрить строгий контроль над установкой расширений браузера: разрешать только из официального магазина и блокировать появление незнакомых дополнений с именами MS Heartbeat и System Heartbeat. Третий - проверить все рабочие станции на наличие локального HTTP-сервера, слушающего на порту 8000, и немедленно изолировать подозрительные хосты.
Не менее важно проводить обучение сотрудников сценариям, в которых злоумышленник использует техподдержку как прикрытие. Если после внезапного потока писем кто-то связывается через Teams и предлагает установить программу для решения проблемы, это должно стать однозначным поводом проверить личность собеседника через другой канал.
Судя по публикации, в настоящее время набор Snow обнаружен лишь в одном инциденте, а его инструментарий считается кастомным и не встречался у других жертв. Однако техники, применённые UNC6692, легко воспроизвести, и копировальная активность других группировок может начаться в ближайшие недели. Кампания Snow наглядно показывает, что атакующие двинулись вслед за пользователями в мессенджеры и совместные рабочие пространства. Защитникам придётся следовать за ними, иначе именно там, где нет привычных средств фильтрации, они продолжат проигрывать.
Индикаторы компрометации
Phishing page URL pattern
- service-page-[ID]-outlook.s3.us-west-2.amazonaws.com/update.html?email=
C2 URL pattern
- [a-f0-9]{24}-[0-9]{6,7}-[0-9]{1}.s3.us-east-2.amazonaws.com
Heroku WebSocket C2 host
- sad4w7h913-b4a57f9c36eb.herokuapp.com
WebSocket Secure C2 endpoint
- wss://sad4w7h913-b4a57f9c36eb.herokuapp.com:443/ws
