NYHETER

1 min read

Ny hackergrupp UNC6692 utnyttjar Microsoft Teams för att sprida SNOW-skadlig kod

Ny hackergrupp UNC6692 utnyttjar Microsoft Teams för att sprida SNOW-skadlig kod

Googles hotanalysgrupp Mandiant har avslöjat en ny hackergrupp kallad UNC6692 som använder Microsoft Teams för att lura anställda att installera skadlig kod. Gruppen använder en egen verktygslåda kallad SNOW för att ta sig in i företagsnätverk och stjäla känslig data.

Så börjar attacken

UNC6692 inleder med att bombardera offrets inkorg med tusentals mejl. Medan offret är distraherat av kaoset skickar angriparna ett meddelande via Microsoft Teams där de utger sig för att vara IT-support. De erbjuder en länk till en "patch" som ska stoppa spammet.

Länken leder till en falsk inloggningssida som ser ut som ett reparationsverktyg för brevlådan. Sidan använder ett psykologiskt trick: den avvisar de två första inloggningsförsöken för att verka trovärdig. När offret till slut interagerar med sidan laddas skadlig kod ner i bakgrunden.

SNOW-verktygslådan

Gruppen använder tre huvudverktyg:

  • SNOWBELT: ett skadligt webbläsartillägg som fungerar som brohuvud och vidarebefordrar kommandon från angriparna
  • SNOWGLAZE: en Python-baserad tunnel som skapar en dold anslutning till angriparnas servrar
  • SNOWBASIN: en bakdörr som låter angriparna köra kommandon via PowerShell, ta skärmdumpar och förbereda stulen data

Från fotfäste till full kontroll

Efter det första intrånget skannar angriparna nätverket efter delade resurser och fjärråtkomst. De riktar in sig på LSASS-processen (som hanterar inloggningsuppgifter i Windows) på backupservrar för att stjäla lösenord och hashvärden.

Med Pass-The-Hash-tekniken rör de sig vidare genom nätverket till domänkontrollanterna, där de med verktyget FTK Imager extraherar hela Active Directory-databasen (NTDS.dit) tillsammans med registerhives som SAM, SYSTEM och SECURITY.

Vem drabbas?

Enligt Mandiant riktade UNC6692 77 procent av sina attacker mot seniora medarbetare mellan 1 mars och 1 april 2026. Kampanjen startade i slutet av december 2025.

Google bekräftar att UNC6692 är en separat grupp utan koppling till liknande aktörer som ShinyHunters eller Scattered Spider, trots att de använder liknande social engineering-taktiker.