B
今週中
脅威アクターUNC6692が、Microsoft Teamsを利用して「Snow」と呼ばれるカスタムマルウェアを配布しています
📌 一言でいうと
脅威アクターUNC6692が、Microsoft Teamsを利用して「Snow」と呼ばれるカスタムマルウェアを配布しています。攻撃者は「メール爆弾」で混乱させた後、ITヘルプデスクを装ってTeamsで接触し、スパム対策パッチと偽ったドロッパーをインストールさせます。このマルウェアはブラウザ拡張機能、トンネラー、バックドアで構成されており、最終的に機密データの窃取やドメインの乗っ取りを目的としています。
🏢影響範囲
Microsoft TeamsおよびChrome/Edgeブラウザを利用しているあらゆる組織
✅該当時の対応
不審なTeamsメッセージからのリンククリックやファイル実行を禁止し、ITヘルプデスクの正当な連絡手段を周知すること。また、不審なブラウザ拡張機能のインストールを制限するポリシーを適用することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ITヘルプデスクを装った不審なメッセージへの注意について
お疲れさまです。情報システム担当です。
現在、Microsoft TeamsでITサポート担当者を装い、偽のソフトをインストールさせようとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. Teamsで面識のない相手や、不自然なタイミングで連絡してきた相手から送られたリンクやファイルは絶対に開かないでください。
2. 「スパム対策」や「パッチ適用」などの名目でソフトのインストールを促された場合は、すぐに情報システム部へ報告してください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
現在、Microsoft TeamsでITサポート担当者を装い、偽のソフトをインストールさせようとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. Teamsで面識のない相手や、不自然なタイミングで連絡してきた相手から送られたリンクやファイルは絶対に開かないでください。
2. 「スパム対策」や「パッチ適用」などの名目でソフトのインストールを促された場合は、すぐに情報システム部へ報告してください。
対応期限: 本日中
Subject: [Security Alert] Beware of Impersonation Attacks via Microsoft Teams
Dear employees,
We have observed attacks where threat actors pose as IT support staff on Microsoft Teams to trick users into installing malicious software.
What we need from you:
1. Do not click links or open files sent by unknown individuals or unexpected contacts on Microsoft Teams.
2. If you are asked to install a "patch" or "spam-blocking tool," please report it to the IT department immediately.
Deadline: Immediate
Dear employees,
We have observed attacks where threat actors pose as IT support staff on Microsoft Teams to trick users into installing malicious software.
What we need from you:
1. Do not click links or open files sent by unknown individuals or unexpected contacts on Microsoft Teams.
2. If you are asked to install a "patch" or "spam-blocking tool," please report it to the IT department immediately.
Deadline: Immediate
件名: 【共有】UNC6692によるMicrosoft Teams経由の「Snow」マルウェア感染について
お疲れさまです。UNC6692による新たな攻撃手法に関する情報共有です。
■ 概要
攻撃者は「メール爆弾」で標的を混乱させた後、TeamsでITヘルプデスクを装い、AutoHotkeyスクリプトを用いて「SnowBelt」という悪意のあるChrome拡張機能を展開します。このスイートはトンネラーとバックドアを含み、最終的にドメイン乗っ取りやデータ窃取を狙います。
■ 影響範囲
- Microsoft Teamsを利用し、Chrome/Edgeブラウザを使用しているエンドポイント
■ 対応手順
1. Teamsにおける外部ユーザーとの通信制限および不審なメッセージの監視を強化してください。
2. ブラウザのグループポリシー(GPO)を用いて、未承認の拡張機能のインストールを制限してください。
3. Quick Assist等のリモートアクセスツールの利用状況を監視し、不審なセッションがないか確認してください。
■ 参考情報
- Mandiant / Microsoft Threat Intelligence reports
対応優先度: 高
対応期限: 速やかに
お疲れさまです。UNC6692による新たな攻撃手法に関する情報共有です。
■ 概要
攻撃者は「メール爆弾」で標的を混乱させた後、TeamsでITヘルプデスクを装い、AutoHotkeyスクリプトを用いて「SnowBelt」という悪意のあるChrome拡張機能を展開します。このスイートはトンネラーとバックドアを含み、最終的にドメイン乗っ取りやデータ窃取を狙います。
■ 影響範囲
- Microsoft Teamsを利用し、Chrome/Edgeブラウザを使用しているエンドポイント
■ 対応手順
1. Teamsにおける外部ユーザーとの通信制限および不審なメッセージの監視を強化してください。
2. ブラウザのグループポリシー(GPO)を用いて、未承認の拡張機能のインストールを制限してください。
3. Quick Assist等のリモートアクセスツールの利用状況を監視し、不審なセッションがないか確認してください。
■ 参考情報
- Mandiant / Microsoft Threat Intelligence reports
対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] Deployment of "Snow" Malware by UNC6692 via Microsoft Teams
Dear Security Team,
This is a technical briefing regarding the activities of threat actor UNC6692.
■ Overview
The actor utilizes "email bombing" to create urgency, followed by social engineering via Microsoft Teams posing as IT support. They deploy a dropper that executes AutoHotkey scripts to install "SnowBelt," a malicious browser extension. The full "Snow" suite includes a tunneler and a backdoor for deep network compromise and credential theft.
■ Scope
- Endpoints utilizing Microsoft Teams and Chromium-based browsers (Chrome/Edge).
■ Mitigation Steps
1. Tighten controls on external communications within Microsoft Teams.
2. Implement GPO policies to restrict the installation of unauthorized browser extensions.
3. Monitor for unauthorized use of remote access tools such as Quick Assist.
■ Reference
- Mandiant / Microsoft Threat Intelligence reports
Priority: High
Deadline: Immediate
Dear Security Team,
This is a technical briefing regarding the activities of threat actor UNC6692.
■ Overview
The actor utilizes "email bombing" to create urgency, followed by social engineering via Microsoft Teams posing as IT support. They deploy a dropper that executes AutoHotkey scripts to install "SnowBelt," a malicious browser extension. The full "Snow" suite includes a tunneler and a backdoor for deep network compromise and credential theft.
■ Scope
- Endpoints utilizing Microsoft Teams and Chromium-based browsers (Chrome/Edge).
■ Mitigation Steps
1. Tighten controls on external communications within Microsoft Teams.
2. Implement GPO policies to restrict the installation of unauthorized browser extensions.
3. Monitor for unauthorized use of remote access tools such as Quick Assist.
■ Reference
- Mandiant / Microsoft Threat Intelligence reports
Priority: High
Deadline: Immediate