แฮกเกอร์กลุ่ม UNC6692 ใช้ช่องโหว่ Microsoft Teams ติดตั้งมัลแวร์ SNOW

กลุ่มแฮกเกอร์ UNC6692 ใช้กลโกงผ่าน Microsoft Teams โดยปลอมเป็นข้อความแจ้งเตือนจากฝ่ายไอทีเพื่อติดตั้งมัลแวร์ SNOW, ขโมยข้อมูลประจำตัว และเจาะเข้าสู่เครือข่ายองค์กรในการโจมตีระดับสูง

มีการตรวจพบแคมเปญขโมยข้อมูลโดยกลุ่มแฮกเกอร์น้องใหม่อย่าง UNC6692 ซึ่งใช้เทคนิควิศวกรรมสังคม (Social Engineering) ร่วมกับชุดเครื่องมือแบบโมดูลาร์ที่เรียกว่า "ระบบนิเวศ SNOW" (SNOW ecosystem) เพื่อเจาะเข้าสู่เครือข่ายองค์กร งานวิจัยจาก Mandiant (ส่วนหนึ่งของ Google Threat Intelligence Group หรือ GTIG) ระบุว่าแคมเปญนี้เริ่มขึ้นในช่วงปลายเดือนธันวาคม 2025

กับดักบน Microsoft Teams

จากรายงานของ Google ระบุว่าห่วงโซ่การโจมตีเริ่มขึ้นด้วยเทคนิค "Email Bombing" โดยแฮกเกอร์จะระดมส่งอีเมลขยะจำนวนหลายพันฉบับไปยังกล่องจดหมายของเป้าหมาย ในขณะที่เหยื่อกำลังสับสนกับอีเมลขยะเหล่านั้น แฮกเกอร์จะส่งข้อความผ่าน Microsoft Teams โดยปลอมตัวเป็นเจ้าหน้าที่ฝ่าย Helpdesk ของไอที และเสนอลิงก์สำหรับ "Patch" ที่อ้างว่าสามารถหยุดอีเมลขยะเหล่านั้นได้

ลิงก์ดังกล่าวคือกับดัก ซึ่งจะนำไปสู่หน้าเพจขโมยรหัสผ่านที่ออกแบบมาให้ดูเหมือนโปรแกรมซ่อมแซมกล่องจดหมาย (Mailbox Repair Utility) และเพื่อความแนบเนียน หน้าเพจนี้จะใช้กลจิตวิทยาโดยการ "ปฏิเสธรหัสผ่านใน 2 ครั้งแรก" เพื่อให้เหยื่อมั่นใจว่าต้องใส่รหัสที่ถูกต้องจริงๆ ในครั้งที่สาม เมื่อเหยื่อหลงเชื่อและทำตามขั้นตอน ระบบจะดาวน์โหลดไฟล์และสคริปต์ AutoHotkey ซึ่งเป็นจุดเริ่มต้นของกระบวนการติดมัลแวร์ในเครื่อง

ระบบนิเวศมัลแวร์ SNOW

งานวิจัยเผยว่า UNC6692 ใช้ชุดเครื่องมือแบบโมดูลาร์เพื่อเลี่ยงการตรวจจับ ประกอบด้วย:
    •    SNOWBELT: ส่วนขยายเบราว์เซอร์ (Browser Extension) ที่เป็นอันตราย ทำหน้าที่เป็นจุดยึดเหนี่ยวหลักและรับคำสั่งจากแฮกเกอร์
    •    SNOWGLAZE: เครื่องมือสร้างอุโมงค์การเชื่อมต่อ (Tunneler) ที่เขียนด้วยภาษา Python เพื่อสร้างการเชื่อมต่อลับไปยังเซิร์ฟเวอร์ของคนร้าย
    •    SNOWBASIN: ประตูหลัง (Backdoor) ที่ช่วยให้แฮกเกอร์รันคำสั่งจากระยะไกล (RCE) ผ่าน PowerShell หรือ cmd.exe เพื่อถ่ายภาพหน้าจอ และเตรียมไฟล์ที่ขโมยมาได้

หลังจากนั้น แฮกเกอร์จะเริ่มสำรวจเครือข่ายภายใน (Internal Reconnaissance) โดยใช้สคริปต์ Python สแกนหาพอร์ต 135, 445 และ 3389 (ซึ่งใช้สำหรับการแชร์ไฟล์และ Remote Desktop) เพื่อมุ่งหน้าไปยังเซิร์ฟเวอร์หลักที่เก็บรหัสผ่านของพนักงานทุกคน

การขโมยข้อมูลและการขยายผล

UNC6692 มุ่งเป้าไปที่กระบวนการ LSASS (Local Security Authority Subsystem Service) บนเซิร์ฟเวอร์สำรองข้อมูล (Backup Servers) เพื่อขโมยรายละเอียดการเข้าสู่ระบบ เนื่องจากกระบวนการนี้จะเก็บชื่อผู้ใช้ รหัสผ่าน และค่า Hash ของบัญชีที่เคยเข้าใช้งานระบบเอาไว้

คนร้ายใช้เทคนิค Pass-The-Hash เพื่อขยับขยายสิทธิ์ (Lateral Movement) จนไปถึง Domain Controllers (เซิร์ฟเวอร์ที่ควบคุมอัตลักษณ์ผู้ใช้ทั้งหมดในบริษัท) ทำให้สามารถเข้าควบคุมระบบได้อย่างเบ็ดเสร็จ

จากนั้นพวกเขาใช้เครื่องมือชื่อ FTK Imager เพื่อดึงฐานข้อมูล Active Directory (NTDS.dit) และไฟล์ Registry สำคัญ (SAM, SYSTEM, SECURITY) ออกมา และสุดท้ายได้ใช้โปรแกรม LimeWire ในการส่งข้อมูลมหาศาลเหล่านี้ออกไปยังเซิร์ฟเวอร์ของคนร้าย

บทสรุปสำหรับผู้ดูแลระบบ:

นักวิจัยสรุปว่าแคมเปญนี้แสดงให้เห็นถึง "วิวัฒนาการของแท็กติก" ที่น่าสนใจ โดยการใช้บริการคลาวด์ที่ถูกกฎหมาย (เช่น Microsoft Teams) เพื่อให้กิจกรรมการโจมตีดูกลมกลืนไปกับทราฟฟิกปกติในออฟฟิศ

Reference :  UNC6692 Hackers Exploit Microsoft Teams to Deploy SNOW Malware