27 апреля 2026 13:28:08

Хакеры маскируются под техподдержку в Teams и воруют пароли

Хакерская группа UNC6692 использует Teams для проникновения в корпоративные сети

Хакерская группа UNC6692 использует мессенджер Microsoft Teams для проникновения в корпоративные сети, маскируясь под специалистов техподдержки. По данным Google Threat Intelligence Group и Mandiant, атака начинается с массового спама на почту, что создает у сотрудников ложное чувство срочности. Затем злоумышленники через внешний аккаунт в Teams связываются с жертвой и предлагают «помощь», направляя фишинговую ссылку на поддельную страницу с «Утилитой для восстановления и синхронизации почтовых ящиков v2.1.5». pepelac.news.

После заполнения формы учетные данные перехватываются, а на устройстве запускается скрипт для установки вредоносного ПО. В набор под названием SNOW входят три компонента: SNOWBELT — расширение для браузеров на Chromium, работающее как бэкдор; SNOWGLAZE — Python-инструмент для скрытой передачи данных через WebSocket с маскировкой трафика; и SNOWBASIN — главный модуль для удаленного выполнения команд, создания скриншотов и доступа к файлам.

Получив контроль над системой, хакеры исследуют сеть, проводят атаки Pass-the-Hash и извлекают данные из памяти процессов. Также они могут получить доступ к базе Active Directory и другим важным элементам инфраструктуры, после чего выгружают информацию. Эксперты подчеркивают, что хотя Teams помечает сообщения из внешних учетных записей как подозрительные, пользователям рекомендуется проверять любые подобные запросы через официальные внутренние каналы, прежде чем давать доступ.