Se ha emitido una alerta de inteligencia cibernética tras la divulgación por parte de Google Threat Intelligence Group (GTIG) sobre una sofisticada campaña de intrusión corporativa operada por el grupo de amenazas UNC6692. Este actor destaca por lograr un compromiso total del dominio de Active Directory sin explotar una sola vulnerabilidad de software. En su lugar, la campaña orquesta ingeniería social de alta presión a través de Microsoft Teams, combinada con un ecosistema de malware modular (“SNOW”) que utiliza una estrategia de “Vivir de la Nube” (Living off the Cloud) para evadir las defensas perimetrales tradicionales.
Anatomía del Ataque
El ataque documentado se apoya fuertemente en la manipulación psicológica del usuario y el abuso de características de colaboración legítimas:
- Bombardeo de Correos y Distracción: La operación inicia con una avalancha masiva de correos electrónicos (email bombing) hacia los buzones de las víctimas, generando confusión y saturación en el usuario.
- Suplantación de Helpdesk en Teams: Aprovechando el caos, el atacante contacta a la víctima directamente a través de Microsoft Teams, presentándose como personal de soporte de TI que ofrece “ayuda” para detener el spam. Este contacto se realiza abusando de la configuración de acceso externo de Teams, eludiendo las advertencias de seguridad de la plataforma.
- Pipeline de Ataque en Fases: El atacante envía un enlace hacia una supuesta “Utilidad de Reparación de Buzones”, alojada en un bucket de AWS S3. La página de aterrizaje ejecuta un flujo malicioso estructurado:
- Filtro de Entorno: Obliga a la víctima a usar Microsoft Edge mediante esquemas de URI (microsoft-edge:).
- Recolección Psicológica: Falsifica un inicio de sesión que rechaza intencionalmente los dos primeros intentos de contraseña para asegurar que la víctima la escriba sin errores tipográficos.
- Distracción y Despliegue: Mientras muestra una falsa barra de progreso, descarga y ejecuta un binario de AutoHotkey que instala silenciosamente SNOWBELT, una extensión maliciosa de Chromium camuflada como “System Heartbeat”.
Ecosistema de Malware “SNOW” y Movimiento Lateral
El conjunto de herramientas de UNC6692 se divide en tres módulos diseñados para operar bajo el radar de los EDR:
- SNOWBELT: Extensión de navegador que sirve como cabeza de puente, interceptando tráfico y utilizando URLs de AWS S3 (generadas por DGA) para Comando y Control (C2).
- SNOWGLAZE: Un túnel basado en Python que enruta el tráfico TCP de la víctima a través de WebSockets hacia un servidor C2 en Heroku, ocultando el tráfico como navegación web cifrada estándar.
- SNOWBASIN: Un servidor HTTP local utilizado para ejecutar comandos shell y exfiltrar archivos.
Impacto (Compromiso del Dominio): Una vez establecido el túnel, el impacto operativo es crítico:
- Pivoteo RDP y Volcado de Credenciales: Los atacantes utilizan herramientas nativas (PsExec) a través del túnel de SNOWGLAZE para acceder por RDP a servidores de respaldo, donde vuelcan la memoria del proceso LSASS utilizando el Administrador de Tareas.
- Exfiltración de las ‘Joyas de la Corona’: Utilizando ataques Pass-the-Hash, se autentican en los Controladores de Dominio. Allí instalan FTK Imager para montar la unidad local y extraer la base de datos de Active Directory (NTDS.dit) y las colmenas del registro (SAM, SYSTEM, SECURITY). Toda la exfiltración se realiza mediante la red P2P LimeWire.
Recomendaciones y Mitigación
Dada la naturaleza de la amenaza (abuso de herramientas nativas y confianza del usuario), la respuesta debe enfocarse en la restricción de comunicaciones y el monitoreo conductual:
- Restricción de Colaboración Externa (Prioridad Alta): Administradores del tenant de Microsoft 365 deben auditar y restringir de forma estricta las configuraciones de acceso externo en Teams. Bloquear la capacidad de inquilinos (tenants) externos desconocidos para iniciar chats con empleados de la organización.
- Monitorización de Extensiones y Procesos Headless: Configurar el EDR para alertar sobre la instalación de extensiones de navegador no aprobadas o la ejecución silenciosa de procesos de Microsoft Edge en modo headless sin interfaz gráfica de usuario visible.
- Auditoría de Tráfico de Nube: Debido a la táctica de Living off the Cloud, los bloqueos por IP son ineficaces. Los SOC deben centrarse en perfilar y alertar sobre volúmenes inusuales de tráfico de salida (egress) continuo hacia dominios como s3.amazonaws.com o herokuapp.com que se originen desde estaciones de trabajo de usuarios estándar.
- Bloqueo de Indicadores de Compromiso (IoCs): Implementar reglas de bloqueo a nivel perimetral para el servidor C2 conocido: wss://sad4w7h913-b4a57f9c36eb[.]herokuapp[.]com y auditar la presencia de archivos sospechosos como RegSrvc.exe o Protected.ahk.
