Malware / Cloud Security

UNC6692 كايستغل Microsoft Teams بانتحال صفة IT Helpdesk باش ينشر Malware "SNOW"

UNC6692 Impersonates IT Helpdesk via Microsoft Teams to Deploy SNOW Malware

24 أبريل 2026

UNC6692 كايستغل Microsoft Teams بانتحال صفة IT Helpdesk باش ينشر Malware "SNOW"

خلاصة (TL;DR)

واحد لمجموعة د التهديدات جديدة سميتها UNC6692، كاتستعمل الطريقة ديال "email bombing" (قصف الإيميلات) باش تبرزط الضحايا، ومن بعد كاتنتاحل صفة الدعم التقني (IT support) على Microsoft Teams. كايضحكو على الناس باش يثبتو واحد لمجموعة د البرامج الخبيثة "SNOW" عن طريق أداة إصلاح وهمية، هادشي كايخليهم يسرقو كلمات السر، يتحركو ف الشبكة ديال الشركة، ويخرجوا البيانات.

الصعود ديال UNC6692

الباحثين ف الأمن المعلوماتي ف شركة Mandiant (اللي تابعة لـ Google) كشفو على نشاط ديال واحد لمجموعة تهديدات متطورة سميتها UNC6692. هاد لمجموعة كاتخدم بخطة "هندسة اجتماعية" (social engineering) فيها بزاف د المراحل، مصممة باش تستغل الثقة اللي كاديرها الشغيلة ف أقسام الـ IT داخل الشركات وف أدوات التواصل بحال Microsoft Teams.

هاد الحملة كاتميز باستعمال برامج خبيثة مطورة خصيصاً لهاد الغرض — وبالضبط مجموعة "SNOW" — وكاتركز على أهداف عندها قيمة كبيرة وسط الشركات.

سلسلة الهجوم: من زوبعة ف لاكارط ميل لـ Teams Chat

الهجوم ما كيبداش بفيروس، ولكن بطريقة نفسية كاتسمى email bombing. UNC6692 كايغرقو "الواجهة" (inbox) ديال الضحية بعدد هائل ديال رسائل الـ spam، باش يخلقو حالة من التوتر والضغط التقني.

التواصل: ملي كاتغرق لاكارط ميل ديال الضحية، "الهاكر" كايتواصل معاه عبر Microsoft Teams. المهاجم كايستعمل حساب من برا الشركة ولكن كاينتاحل صفة موظف ف الـ IT helpdesk، وكايعرض المساعدة باش يحل المشكل ديال الـ "spam".
رابط الاصطياد (Phishing): عكس مجموعات خرى اللي كانت كاتفضل أدوات التحكم عن بعد بحال Quick Assist، UNC6692 كايصيفطو الضحايا لصفحة "phishing" بطلها هو "Mailbox Repair and Sync Utility v2.1.5."
الحمولة (Payload): فاش كايتضغط على الرابط، كايتيليشارجا سكريبت AutoHotkey من واحد الـ AWS S3 bucket. كاين واحد السكريبت "حارس" (gatekeeper) كايتأكد باللي البرنامج غادي يخدم غير عند الضحية المستهدف، باش يتفادى لأنظمة الأمان الآلية (sandboxes).

مجموعة البرامج الخبيثة SNOW

يلا كان الضحية كايستعمل متصفح Microsoft Edge، المهاجم كاينشر نظام ديال برامج خبيثة "modular" كايتسمى "SNOW". هاد لمجموعة فيها تلاتة د المكونات أساسية:

SNOWBELT: إضافة للمتصفح (extension) مبنية على JavaScript كتخدم كـ backdoor ف متصفح Edge اللي مبني على Chromium. هي اللي كاتستقبل الأوامر وكاتنسق مع الموديولات لخرين.
SNOWGLAZE: أداة "tunneling" مبنية بـ Python، كاتصاوب نفق (WebSocket tunnel) مشفر بين الشبكة الداخلية ديال الضحية و "سيرفر التحكم" (C2) ديال المهاجم.
SNOWBASIN: هاد البرنامج هو backdoor كيبقى ف الجهاز وكيسمح بتنفيذ الأوامر عن بعد (عبر PowerShell أو cmd.exe)، نقل الملفات، وتصوير الشاشة. كايخدم بحال سيرفر HTTP محلي.

بالإضافة لنشر هاد البرامج، صفحة الـ phishing فيها واحد الزر سميتو "Health Check". ملي كايتكليكا عليه، كايطلب من المستخدم يدخل كلمات السر ديال الإيميل ديالو، واللي كايتم إرسالها لواحد الـ Amazon S3 bucket.

التحرك ف الشبكة وسرقة البيانات

ملي كايحصلو على الدخول الأولي عبر SNOW، مجموعة UNC6692 كادير عمليات هجومية قوية داخل الشبكة:

Scannage ديال الشبكة: المهاجمين كايستعملو سكريبتات Python باش يقلبو على المنافذ (ports) المفتوحة (135، 445، 3389) باش يعرفو فين يقدروا يتحركو.
تصعيد الامتيازات (Privilege Escalation): عن طريق استخراج الذاكرة (memory) ديال عملية LSASS من Windows Task Manager، لمجموعة كاتحاول تجيب كلمات سر ديال "الآدمين" (Admin).
اختراق الدومين (Domain Compromise): باستعمال تقنيات Pass-The-Hash، لمجموعة كاتتحرك جيهت الـ domain controllers.
إخراج البيانات: لمجموعة كاتستعمل أداة FTK Imager باش تسجل قواعد بيانات حساسة (بحال ملفات Active Directory) وكاتستعمل أداة LimeWire باش تصيفط هاد الملفات لبرا.

توجه طالع ف استهداف المدراء

المعطيات من ReliaQuest كاتبين الخطورة ديال هاد التوجه، حيت ف الفترة ما بين مارس وأبريل 2026، 77% من هاد الهجومات اللي تحت غطاء الـ helpdesk استهدفت موظفين ف رتب عالية ومدراء تنفيديين، مقارنة بـ 59% ف بداية العام.

عن طريق استضافة المكونات الخبيثة ف منصات سحابية (Cloud) موثوقة بحال AWS، مجموعة UNC6692 كاقدر تجاوز "الفلاتر" ديال الشبكة التقليدية، حيت الـ traffic كيبان عادي وموثوق لأغلب أنظمة الحماية.

خلاصة

الظهور ديال UNC6692 كيبين باللي "الهندسة الاجتماعية" باقا من أقوى الأدوات عند الهاكرز. بدمج تكتيكات الضغط النفسي (email bombing) مع منصات تواصل موثوقة (Microsoft Teams)، المهاجمين كايقدروا يتجاوزوا الدفاعات التقنية ويقنعوا المستخدمين باللي يثبتو برامج خبيثة متطورة. الشركات خاصها تزيّر الرقابة على التواصل الخارجي ف Teams ودير نظام صارم للتحقق من طلبات الدعم التقني.

المصدر: https://thehackernews.com/2026/04/unc6692-impersonates-it-helpdesk-via.html

Malware / Cloud Security

UNC6692 كايستغل Microsoft Teams بانتحال صفة IT Helpdesk باش ينشر Malware "SNOW"

UNC6692 Impersonates IT Helpdesk via Microsoft Teams to Deploy SNOW Malware

24 أبريل 2026

حمّل المانغا PDF اقرا الأصل

UNC6692 كايستغل Microsoft Teams بانتحال صفة IT Helpdesk باش ينشر Malware "SNOW"

خلاصة (TL;DR)

الصعود ديال UNC6692

سلسلة الهجوم: من زوبعة ف لاكارط ميل لـ Teams Chat

التواصل: ملي كاتغرق لاكارط ميل ديال الضحية، "الهاكر" كايتواصل معاه عبر Microsoft Teams. المهاجم كايستعمل حساب من برا الشركة ولكن كاينتاحل صفة موظف ف الـ IT helpdesk، وكايعرض المساعدة باش يحل المشكل ديال الـ "spam".
رابط الاصطياد (Phishing): عكس مجموعات خرى اللي كانت كاتفضل أدوات التحكم عن بعد بحال Quick Assist، UNC6692 كايصيفطو الضحايا لصفحة "phishing" بطلها هو "Mailbox Repair and Sync Utility v2.1.5."
الحمولة (Payload): فاش كايتضغط على الرابط، كايتيليشارجا سكريبت AutoHotkey من واحد الـ AWS S3 bucket. كاين واحد السكريبت "حارس" (gatekeeper) كايتأكد باللي البرنامج غادي يخدم غير عند الضحية المستهدف، باش يتفادى لأنظمة الأمان الآلية (sandboxes).

مجموعة البرامج الخبيثة SNOW

SNOWBELT: إضافة للمتصفح (extension) مبنية على JavaScript كتخدم كـ backdoor ف متصفح Edge اللي مبني على Chromium. هي اللي كاتستقبل الأوامر وكاتنسق مع الموديولات لخرين.
SNOWGLAZE: أداة "tunneling" مبنية بـ Python، كاتصاوب نفق (WebSocket tunnel) مشفر بين الشبكة الداخلية ديال الضحية و "سيرفر التحكم" (C2) ديال المهاجم.
SNOWBASIN: هاد البرنامج هو backdoor كيبقى ف الجهاز وكيسمح بتنفيذ الأوامر عن بعد (عبر PowerShell أو cmd.exe)، نقل الملفات، وتصوير الشاشة. كايخدم بحال سيرفر HTTP محلي.

التحرك ف الشبكة وسرقة البيانات

ملي كايحصلو على الدخول الأولي عبر SNOW، مجموعة UNC6692 كادير عمليات هجومية قوية داخل الشبكة:

Scannage ديال الشبكة: المهاجمين كايستعملو سكريبتات Python باش يقلبو على المنافذ (ports) المفتوحة (135، 445، 3389) باش يعرفو فين يقدروا يتحركو.
تصعيد الامتيازات (Privilege Escalation): عن طريق استخراج الذاكرة (memory) ديال عملية LSASS من Windows Task Manager، لمجموعة كاتحاول تجيب كلمات سر ديال "الآدمين" (Admin).
اختراق الدومين (Domain Compromise): باستعمال تقنيات Pass-The-Hash، لمجموعة كاتتحرك جيهت الـ domain controllers.
إخراج البيانات: لمجموعة كاتستعمل أداة FTK Imager باش تسجل قواعد بيانات حساسة (بحال ملفات Active Directory) وكاتستعمل أداة LimeWire باش تصيفط هاد الملفات لبرا.

توجه طالع ف استهداف المدراء

خلاصة

المصدر: https://thehackernews.com/2026/04/unc6692-impersonates-it-helpdesk-via.html