Hackers doen zich voor als Microsoft Teams-medewerkers om SNOW-malware te verspreiden

UNC6692 maakt misbruik van de externe samenwerkingsfuncties van Microsoft Teams om zich voor te doen als IT-helpdeskmedewerkers en een aangepaste malware suite af te leveren.

Bedreigingsgroep UNC6692 gebruikt Microsoft Teams IT-imitatie en massale e-mailbombardementen om de SNOW malware-toolkit in te zetten en referenties van bedrijfsnetwerken te stelen.

Darryl Linington (vertaald door DeepL / Ninh Duy), Gepubliceerd 24-04-2026 🇺🇸 🇪🇸 ...

Een onlangs geïdentificeerde bedreigingsgroep gebruikt Microsoft Teams om zich voor te doen als IT-helpdeskmedewerkers, inboxen van bedrijven te bestoken met spam en vervolgens een aangepaste malware-suite in te zetten op bedrijfsnetwerken. Google Threat Intelligence Group en Mandiant hebben de campagne bekendgemaakt en schrijven deze toe aan een cluster die ze volgen onder de naam UNC6692.

Hoe UNC6692 binnenkomt

Volgens het rapport begint de aanval met een massale e-mailbombardement waarbij de inbox van het doelwit wordt overspoeld om een gevoel van crisis te creëren. Een aanvaller neemt vervolgens contact op via Microsoft Teams vanaf een externe account, doet zich voor als IT-ondersteuning en biedt aan om het spamprobleem op te lossen.

Aanvullende rapportage meldt dat werknemers die de chatuitnodiging accepteren een phishing-link krijgen toegestuurd die hen naar een overtuigende neppagina met de naam "Mailbox Repair and Sync Utility v2.1.5" brengt

Een valse Health Check-knop op die pagina verzamelt hun mailboxgegevens en verzendt deze rechtstreeks naar een door de aanvaller beheerde AWS S3 bucket. Volgens Mandiant downloadt een AutoHotKey script ook stilletjes op de achtergrond en begint met het installeren van de malware toolkit van de groep.

Wat SNOW eigenlijk doet

De toolkit heeft drie componenten, volgens de bevindingen in het rapport. SNOWBELT is een schadelijke Chromium browserextensie die zich vermomt als "MS Heartbeat" of "System Heartbeat" en fungeert als de primaire achterdeur.

SNOWGLAZE is een op Python gebaseerde tunneler die verkeer via WebSocket door de machine van het slachtoffer naar de command-and-control server van de groep stuurt. Het verpakt gegevens in Base64-gecodeerde JSON zodat het lijkt op standaard gecodeerd webverkeer.

SNOWBASIN zit onder dit alles als een hardnekkige achterdeur, waardoor de aanvaller op afstand commando's kan uitvoeren, screenshots kan maken en op verzoek toegang heeft tot bestanden. Mandiant zegt dat de drie componenten samen UNC6692 een stille, duurzame basis geven die opgaat in routinematige browser- en netwerkactiviteiten.

Hoe het verder gaat

Vanaf de eerste positie scant de groep het lokale netwerk op open poorten en richt zich op domeincontrollers met behulp van Pass-the-Hash met gestolen NTLM-wachtwoordhashes. Volgens Mandiant haalt de groep het LSASS-procesgeheugen van een back-upserver en exfiltreert dit via LimeWire, waarbij referenties uit de slachtofferomgeving worden gehaald voor offline verwerking.

Eenmaal op een domeincontroller gebruikt UNC6692 volgens Mandiant FTK Imager om het Active Directory databasebestand op te halen, samen met Security Account Manager en SYSTEM registerhives. Vervolgens exfiltreert UNC6692 alles weer via LimeWire voordat er schermafbeeldingen van de domeincontroller worden gemaakt.

Het rapport onthult dat Microsoft Teams een waarschuwing weergeeft wanneer er berichten van buiten de organisatie binnenkomen. Elk ongevraagd extern verzoek om ondersteuning moet worden geverifieerd via een bekend intern kanaal voordat toegang wordt verleend.