Группировка UNC6692 последовательно совершенствует свои атаки на корпоративные сети, и свежие данные Mandiant (дочерняя структура Google) рисуют довольно неприятную картину. Схема простая на первый взгляд, но технически выверенная: злоумышленники притворяются сотрудниками IT-поддержки в Microsoft Teams, завязывают разговор с жертвой и в итоге разворачивают на её машине целый арсенал вредоносного ПО под общим названием SNOW.
Атака начинается с почтовой бомбардировки — входящий ящик жертвы буквально заваливается спамом, чтобы создать ощущение хаоса и срочности. Сразу после этого в Teams приходит сообщение якобы от IT-специалиста, который предлагает помочь разобраться с проблемой. Жертву просят перейти по ссылке и установить «локальный патч». Ссылка ведёт на AutoHotkey-скрипт, размещённый в корзине AWS S3 — то есть на вполне легитимной инфраструктуре Amazon, которую стандартные фильтры безопасности обычно не блокируют.
Скрипт ведёт себя осторожно: сначала проверяет, использует ли жертва Microsoft Edge. Если нет — выводит навязчивое предупреждение, фактически не давая работать дальше. Это одновременно и механизм давления на пользователя, и способ уклонения от автоматических песочниц, которые запускают вредоносный код в нестандартных средах. Если Edge обнаружен, скрипт запускает браузер в фоновом режиме с ключом
SNOWBELT — это вредоносное расширение для Chromium, написанное на JavaScript. Оно получает команды от C2-сервера и передаёт их следующему звену цепочки — SNOWBASIN. Тот работает как локальный HTTP-сервер на портах 8000, 8001 или 8002 и умеет выполнять команды через
Параллельно жертве показывается фишинговая страница с названием «Mailbox Repair and Sync Utility v2.1.5» — псевдоинструмент с «Панелью управления конфигурацией». Там есть кнопка «Health Check», нажав которую сотрудник вводит свои почтовые учётные данные. Эти данные немедленно отправляются во второй бакет AWS S3. Всё выглядит как рутинная проверка состояния почтового ящика — пока не становится поздно.
Исследователи Mandiant JP Glab, Tufail Ahmed, Josh Kelley и Muhammad Umair зафиксировали, что после получения первоначального доступа группировка переходит к агрессивному горизонтальному перемещению по сети. С помощью локальной учётной записи администратора извлекается память процесса LSASS через диспетчер задач Windows. Полученные хэши паролей используются в атаке Pass-the-Hash для доступа к контроллерам домена. Затем запускается FTK Imager и снимается база данных Active Directory. Украденные данные сохраняются в папку
Данные ReliaQuest, опубликованные неделей ранее исследователями Джоном Дилгеном и Алексой Феминеллой, дополняют картину тревожной статистикой. В первые два месяца 2026 года 59% целей составляли руководители и старшие сотрудники. С 1 марта по 1 апреля 2026 года эта доля выросла до 77%. Некоторые вредоносные сообщения в чатах отправлялись с интервалом всего в 29 секунд — признак автоматизации или заранее отработанных сценариев атаки.
В части случаев атакующие не устанавливают никакого кастомного вредоноса, а вместо него убеждают жертву самостоятельно поставить легитимные RMM-инструменты: Quick Assist или Supremo Remote Desktop. Получив удалённый доступ через доверенное ПО, они могут делать то же самое — красть данные, перемещаться по сети, готовить почву для вымогательства. Формально ничего подозрительного не установлено, а значит, EDR-решения могут и не среагировать.
Компания Cato Networks зафиксировала параллельную кампанию с голосовым фишингом — тоже под видом техподдержки Microsoft Teams. Там схема несколько иная: жертву убеждают запустить обфусцированный PowerShell-скрипт, который тянет с внешнего сервера троян PhantomBackdoor, работающий через WebSocket.
Примечательно, что группировка ранее была связана с операциями по вымогательству, однако свернула их в начале прошлого года. Нынешние кампании показывают, что от активности она не отказалась — просто сместила акцент. Специалисты по безопасности рекомендуют рассматривать корпоративные мессенджеры как полноценный вектор атаки, внедрять строгие процедуры верификации для любых запросов от «IT-поддержки», ограничивать возможности для внешних контактов в Teams, а также жёстче контролировать исполнение PowerShell-скриптов в корпоративной среде.
Изображение носит иллюстративный характер
Атака начинается с почтовой бомбардировки — входящий ящик жертвы буквально заваливается спамом, чтобы создать ощущение хаоса и срочности. Сразу после этого в Teams приходит сообщение якобы от IT-специалиста, который предлагает помочь разобраться с проблемой. Жертву просят перейти по ссылке и установить «локальный патч». Ссылка ведёт на AutoHotkey-скрипт, размещённый в корзине AWS S3 — то есть на вполне легитимной инфраструктуре Amazon, которую стандартные фильтры безопасности обычно не блокируют.
Скрипт ведёт себя осторожно: сначала проверяет, использует ли жертва Microsoft Edge. Если нет — выводит навязчивое предупреждение, фактически не давая работать дальше. Это одновременно и механизм давления на пользователя, и способ уклонения от автоматических песочниц, которые запускают вредоносный код в нестандартных средах. Если Edge обнаружен, скрипт запускает браузер в фоновом режиме с ключом
--load-extension и устанавливает первый компонент экосистемы — SNOWBELT. SNOWBELT — это вредоносное расширение для Chromium, написанное на JavaScript. Оно получает команды от C2-сервера и передаёт их следующему звену цепочки — SNOWBASIN. Тот работает как локальный HTTP-сервер на портах 8000, 8001 или 8002 и умеет выполнять команды через
cmd.exe или powershell.exe, делать скриншоты, загружать и скачивать файлы, а также завершать себя по команде. Третий компонент — SNOWGLAZE, написанный на Python. Он строит аутентифицированный WebSocket-туннель между заражённой машиной и сервером атакующих, создавая устойчивый и зашифрованный канал связи. Параллельно жертве показывается фишинговая страница с названием «Mailbox Repair and Sync Utility v2.1.5» — псевдоинструмент с «Панелью управления конфигурацией». Там есть кнопка «Health Check», нажав которую сотрудник вводит свои почтовые учётные данные. Эти данные немедленно отправляются во второй бакет AWS S3. Всё выглядит как рутинная проверка состояния почтового ящика — пока не становится поздно.
Исследователи Mandiant JP Glab, Tufail Ahmed, Josh Kelley и Muhammad Umair зафиксировали, что после получения первоначального доступа группировка переходит к агрессивному горизонтальному перемещению по сети. С помощью локальной учётной записи администратора извлекается память процесса LSASS через диспетчер задач Windows. Полученные хэши паролей используются в атаке Pass-the-Hash для доступа к контроллерам домена. Затем запускается FTK Imager и снимается база данных Active Directory. Украденные данные сохраняются в папку
\Downloads и уходят наружу через инструмент LimeWire. Данные ReliaQuest, опубликованные неделей ранее исследователями Джоном Дилгеном и Алексой Феминеллой, дополняют картину тревожной статистикой. В первые два месяца 2026 года 59% целей составляли руководители и старшие сотрудники. С 1 марта по 1 апреля 2026 года эта доля выросла до 77%. Некоторые вредоносные сообщения в чатах отправлялись с интервалом всего в 29 секунд — признак автоматизации или заранее отработанных сценариев атаки.
В части случаев атакующие не устанавливают никакого кастомного вредоноса, а вместо него убеждают жертву самостоятельно поставить легитимные RMM-инструменты: Quick Assist или Supremo Remote Desktop. Получив удалённый доступ через доверенное ПО, они могут делать то же самое — красть данные, перемещаться по сети, готовить почву для вымогательства. Формально ничего подозрительного не установлено, а значит, EDR-решения могут и не среагировать.
Компания Cato Networks зафиксировала параллельную кампанию с голосовым фишингом — тоже под видом техподдержки Microsoft Teams. Там схема несколько иная: жертву убеждают запустить обфусцированный PowerShell-скрипт, который тянет с внешнего сервера троян PhantomBackdoor, работающий через WebSocket.
Примечательно, что группировка ранее была связана с операциями по вымогательству, однако свернула их в начале прошлого года. Нынешние кампании показывают, что от активности она не отказалась — просто сместила акцент. Специалисты по безопасности рекомендуют рассматривать корпоративные мессенджеры как полноценный вектор атаки, внедрять строгие процедуры верификации для любых запросов от «IT-поддержки», ограничивать возможности для внешних контактов в Teams, а также жёстче контролировать исполнение PowerShell-скриптов в корпоративной среде.
