Negli attacchi attribuiti al cluster noto come UNC6692, il punto di partenza è quasi sempre il social engineering: campagne di spam massivo seguite da messaggi su Microsoft Teams nei quali l’attaccante si spaccia per l’helpdesk. La strategia mira a creare urgenza e convincere l’utente a cliccare un link o installare un presunto aggiornamento che in realtà avvia una catena di compromissione più profonda.
Il payload iniziale è spesso uno script AutoHotkey che innesca il download di un’estensione per browser basati su Chromium. Da qui si attiva il framework denominato Snow, composto da più moduli cooperanti progettati per ottenere persistenza, comando remoto e movimentazione laterale all’interno della rete aziendale.
Meccanismo di infezione e primo punto d’appoggio
La catena di attacco tipica comincia con un messaggio su Microsoft Teams che invita a installare una patch urgente.
Lo script AutoHotkey scarica e lancia un dropper che installa l’estensione maligna chiamata SNOWBELT. Questa estensione agisce come backdoor JavaScript all’interno del browser, rendendosi persistente aggiungendo collegamenti nella cartella di avvio e creando attività pianificate. Il risultato è un punto d’appoggio silenzioso che sopravvive ai riavvii e si integra con l’attività del browser per evitare rilevazioni facili.
Il ruolo del dropper e dell’estensione
Il dropper sfrutta l’istantanea di un’installazione browser per eseguire codice senza mostrare finestre evidenti all’utente. SNOWBELT riceve comandi da remoto e li inoltra ai moduli interni: funge da relay e da meccanismo di persistenza. Questo approccio permette agli attaccanti di sfruttare il traffico web legittimo come vettore di controllo, minimizzando anomalie apparenti nel traffico di rete monitorato dagli strumenti tradizionali.
Componenti del framework Snow e funzioni principali
Il framework include almeno tre elementi distinti: SNOWBELT (estensione browser), SNOWBASIN (backdoor Python) e SNOWGLAZE (tunneler Python). SNOWBASIN espone un server HTTP locale che esegue comandi, cattura screenshot e gestisce file, mentre SNOWGLAZE crea un tunnel WebSocket verso l’infrastruttura di comando e controllo (C2), permettendo anche il proxying tramite SOCKS.
Persistenza e comunicazione cifrata
La comunicazione tra moduli avviene in maniera da sembrare traffico web normale, con dati incapsulati in JSON e spesso codificati. SNOWGLAZE abilita il forwarding del traffico TCP tramite il tunneling, rendendo difficile isolare la reale destinazione delle connessioni. Nel frattempo SNOWBASIN esegue i comandi ricevuti e ritorna i risultati attraverso lo stesso canale, garantendo controllo remoto continuo.
Movimenti laterali, furto di credenziali e esfiltrazione
Dalla post-compromissione il gruppo conduce attività di ricognizione interna, cercando servizi come SMB e RDP per estendere l’accesso. Gli attori possono sfruttare tecniche di pass-the-hash per muoversi tra host e raggiungere i controller di dominio. Per ottenere credenziali e informazioni critiche, viene effettuato il dump della memoria del processo LSASS e utilizzato FTK Imager per estrarre il database di Active Directory e le hive di registro SYSTEM, SAM e SECURITY.
Canali di esfiltrazione e indicatori
I file sensibili estratti vengono poi esfiltrati tramite strumenti poco ortodossi, come nel caso documentato dell’uso di LimeWire per trasferire i dati. I ricercatori di Mandiant hanno pubblicato IoC e regole YARA per supportare la rilevazione, oltre a suggerire come monitorare indicatori specifici legati a processi, attività del browser e connessioni WebSocket sospette.
Contromisure e raccomandazioni pratiche
Per mitigare minacce di tipo Snow è fondamentale combinare formazione degli utenti e controlli tecnici. Consigli pratici includono implementare MFA su tutte le soglie critiche, abilitare soluzioni EDR e behavioral monitoring, limitare i privilegi amministrativi e segmentare la rete per ridurre il rischio di movimento laterale. È altresì importante applicare le regole YARA fornite e controllare eventi legati a AutoHotkey, estensioni Chromium sospette e attività insolite legate a Microsoft Teams.
La comparsa di toolkit come Snow conferma che gli attacchi moderni uniscono ingegneria sociale e strumenti tecnici sofisticati. Una strategia difensiva efficace richiede monitoraggio continuo, procedure di incident response aggiornate e condivisione delle informazioni tra team e comunità di sicurezza per ridurre rapidamente l’impatto di queste campagne.
