UNC6692 маскируется под IT в Microsoft Teams и ставит SNOW-модули

Коллеги, хочу обратить внимание в сфере кибербезопасности: Mandiant описал кампанию UNC6692, где злоумышленники через Teams выдают себя за IT‑поддержку и доставляют набор SNOW.
Кратко:
- Сценарий: массовый спам, затем сообщение в Teams с предложением «решить» проблему.
- Доставка: ссылка загружает скрипт с S3, ставит расширение SNOWBELT в Edge и другие модули (SNOWGLAZE, SNOWBASIN).
- Цели: преимущественно руководители; ReliaQuest фиксирует рост атак.
Рекомендации: верификация обращений IT, запрет внешних приглашений/screen sharing, ограничить установку RMM и усилить аудит PowerShell.
Почему это важно: злоумышленники используют доверие к легитимным сервисам и облаку для обхода защиты.
Какие у Вас процедуры верификации обращений IT?
#кибербезопасность #MicrosoftTeams #ThreatIntel #информационнаябезопасность


Последние комментарии
Комментариев пока нет.