据 Google 威胁情报小组 (GTIG) 的一份报告显示,一个名为 UNC6692 的网络犯罪组织正利用 Microsoft Teams 和定制化的“Snow”恶意软件渗透企业机构并窃取敏感数据。
Google 研究人员在 2025 年 12 月底发现了一场大规模的电子邮件攻击活动,并由此首次锁定了该组织。攻击者的手段是先通过海量的垃圾邮件轰炸目标机构,制造一种紧迫感。
在垃圾邮件攻势之后,攻击者会通过 Microsoft Teams 联系员工,并伪装成 IT 帮助台人员。他们声称可以解决邮件积压问题,诱导用户点击一个名为“邮箱修复工具 (Mailbox Repair Utility)”的虚假链接。
据《The Register》报道,该钓鱼页面采用了一种“二次输入”的心理诱导策略。脚本会自动拒绝用户的前两次密码输入,并提示错误,从而误导受害者相信该系统是真实有效的。
GTIG 在报告中指出:“这一手段具有双重作用:一方面强化了用户对系统真实性的信任,并实现了实时验证;另一方面,它确保攻击者能捕获两次密码,从而显著降低了窃取数据时因用户输入错误而导致信息失效的风险。”
在用户等待虚假的“完整性检查”期间,该网站会将凭据和元数据发送到攻击者控制的 Amazon S3 存储桶中。随后,攻击程序会在用户机器上部署文件,以建立持久化的控制权限。
Snow 恶意软件生态系统
在初始感染阶段,攻击者会下载一个 AutoHotKey 脚本,进而安装名为 SnowBelt 的恶意 Chromium 扩展程序。该扩展程序并未在官方应用商店上架,主要依靠社会工程学手段进行传播。
SnowBelt 实际上是一个基于 JavaScript 的后门程序,为了躲避检测,它经常使用“MS Heartbeat”或“System Heartbeat”等具有误导性的名称。该扩展程序是整个“Snow”恶意软件家族的入口,该家族还包括 SnowGlaze 和 SnowBaserm。
其中,SnowGlaze 是一款基于 Python 的隧道程序,能够在 Windows 和 Linux 环境下运行。它负责管理与攻击者命令与控制 (C2) 基础设施之间的通信,并频繁利用 Heroku 的子域名进行活动。
为了规避检测,该恶意软件会将恶意流量封装在 JSON 对象中,并使用 Base64 编码。这种技术使得数据传输看起来像是标准的加密网络流量。
