Nhóm tấn công UNC6692 sử dụng "Email Bombing" và Kỹ thuật xã hội để phát tán mã độc 'Snow'

Theo báo cáo từ Nhóm Tình báo Mối đe dọa của Google (GTIG), một nhóm tấn công mới được theo dõi dưới tên mã UNC6692 đang hoạt động tích cực. Nhóm này sử dụng chiến thuật "email bombing" (gửi hàng loạt email rác) kết hợp với kỹ thuật xã hội tinh vi để xâm nhập vào mạng lưới của các tổ chức.

Vào tháng 12 năm 2025, UNC6692 đã được phát hiện khi thực hiện việc dồn dập gửi tin nhắn email đến nạn nhân. Ngay sau đó, chúng liên hệ với nạn nhân thông qua Microsoft Teams, giả danh là nhân viên của bộ phận hỗ trợ kỹ thuật (helpdesk).

Tấn công qua email

Giả vờ hỗ trợ giải quyết vấn đề quá tải email, kẻ tấn công đã lừa nạn nhân nhấp vào một URL dẫn đến trang lừa đảo (phishing). Trang web này mạo danh một tiện ích sửa chữa hộp thư (mailbox repair utility). Nó kiểm tra tham số email trong liên kết và đảm bảo trình duyệt của nạn nhân là Microsoft Edge trước khi hiển thị giao diện giả mạo.

Khi nạn nhân nhấn nút "health check" (kiểm tra sức khỏe), một hộp thoại xác thực giả xuất hiện để thu thập và xác thực thông tin đăng nhập của người dùng. Đồng thời, một thanh tiến trình giả cũng được hiển thị để giảm bớt sự nghi ngờ.

Quy trình nhiễm mã độc và duy trì quyền truy cập

Ngay trong lúc đó, một tập lệnh trên nền tảng đã tải xuống tệp nhị phân AutoHotKey và tập lệnh AutoHotKey vào hệ thống. Sau khi được thực thi, các payload này đã lây nhiễm hệ thống bằng một cửa sau (backdoor) dựa trên JavaScript có tên là Snowbelt, được triển khai dưới dạng tiện ích mở rộng của trình duyệt Chromium.

Để duy trì sự tồn tại (persistence) của tiện ích này, mã độc đã thêm lối tắt đến tập lệnh AutoHotKey vào thư mục khởi động của Windows và tạo hai tác vụ lập lịch. Các tác vụ này có nhiệm vụ mở một quy trình Edge không có cửa sổ để tải Snowbelt và kết thúc các quy trình Edge headless.

Di chuyển ngang và thu thập dữ liệu

Tiếp theo, kẻ tấn công sử dụng tiện ích mở rộng độc hại để tải thêm các payload khác từ một bộ chứa AWS S3 do chúng kiểm soát. Các payload này bao gồm các tập lệnh AutoHotkey, tệp lưu trữ ZIP, đường hầm Snowglaze và mã độc Snowbasin.

UNC6692 sử dụng Snowglaze để thiết lập phiên làm việc Sysinternals PsExec tới hệ thống và liệt kê các tài khoản quản trị. Sử dụng một trong các tài khoản này, chúng khởi tạo phiên giao thức Máy tính từ xa (RDP) tới một máy chủ sao lưu thông qua đường hầm Snowglaze.

Bảo mật mạng

Nhóm tấn công đã đổ bộ nhớ quy trình LSASS từ máy chủ sao lưu và exfiltrate (tải ra ngoài) qua LimeWire để trích xuất tên người dùng, mật khẩu và băm tài khoản người dùng từ đó.

Sau đó, UNC6692 sử dụng kỹ thuật Pass-The-Hash để truy cập bộ điều khiển miền của mạng. Chúng tải xuống FTK Imager, sử dụng công cụ này để gắn ổ lưu trữ cục bộ và ghi tệp cơ sở dữ liệu Active Directory, các hive registry SAM, System và Security vào thư mục Downloads, sau đó sử dụng LimeWire để đánh cắp dữ liệu.

Bộ mã độc "Snow"

Ba thành phần chính của khung mã độc mô-đun "Snow" được sử dụng trong cuộc tấn công này là Snowbelt, Snowglaze và Snowbasin. GTIG nhận định rằng chúng "tạo thành một đường ống phối hợp, tạo điều kiện cho hành trình của kẻ tấn công từ quyền truy cập dựa trên trình duyệt ban đầu vào mạng nội bộ của tổ chức".

• Snowbelt: Chặn lệnh và chuyển chúng đến Snowbasin để thực thi, cung cấp quyền truy cập được xác thực vào môi trường, cho phép di chuyển ngang và thăng đặc quyền.
• Snowglaze: Một công cụ tạo đường hầm dựa trên Python, tạo ra đường hầm WebSocket được xác thực bảo mật tới máy chủ chỉ huy và kiểm soát (C&C) của kẻ tấn công, hỗ trợ hoạt động proxy SOCKS và ẩn lưu lượng độc hại.
• Snowbasin: Một cửa sau liên tục hoạt động như một máy chủ HTTP cục bộ, hỗ trợ thực thi lệnh, chụp ảnh màn hình và thu thập dữ liệu.

"Chiến dịch của UNC6692 chứng minh cách các kẻ tấn công hiện đại kết hợp kỹ thuật xã hội và né tránh kỹ thuật để giành được chỗ đứng trong môi trường. Bằng cách lưu trữ các thành phần độc hại trên các nền tảng đám mây đáng tin cậy, kẻ tấn công thường có thể vượt qua các bộ lọc danh tiếng mạng truyền thống và hòa mình vào lượng lớn lưu lượng đám mây hợp pháp," GTIG lưu ý.