B
今週中
脅威アクターUNC6692が、大量のメール送信(メールボンビング)とITサポートへのなりすましを組み合わせた攻撃を展開しています
📌 一言でいうと
脅威アクターUNC6692が、大量のメール送信(メールボンビング)とITサポートへのなりすましを組み合わせた攻撃を展開しています。攻撃者はMicrosoft Teamsで被害者に接触し、偽のメールボックス修復ツールを介して資格情報を窃取し、「Snowbelt」と呼ばれるJavaScriptベースのバックドアを感染させます。この攻撃は、心理的な混乱に乗じて偽の認証画面や修復ツールを信じ込ませる巧妙なソーシャルエンジニアリングを用いています。
🏢影響範囲
Microsoft TeamsおよびMicrosoft Edgeを利用している組織、特にITサポートへの信頼性が高い一般社員を抱える組織。
✅該当時の対応
不審な大量メール受信後のITサポートからの連絡に注意し、公式なルート以外でのツール導入や資格情報入力を禁止すること。また、エンドポイントでのAutoHotKeyなどのスクリプト実行制限を検討してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ITサポートを装った不審な連絡への注意について
お疲れさまです。情報システム担当です。
大量のメールが届いた直後に、ITサポート担当者を名乗る人物からMicrosoft Teamsなどで連絡があり、不審なサイトへ誘導される攻撃が確認されています。
ご協力をお願いしたいこと:
1. ITサポートを名乗る人物から、心当たりのない「修復ツール」の利用やURLのクリックを求められた場合は、絶対にに応じないでください。
2. 偽のログイン画面が表示された場合、パスワードなどの資格情報を入力しないでください。
3. 不審な連絡を受けた場合は、すぐに情報システム部門へ報告してください。
対応期限: 本日中
お疲れさまです。情報システム担当です。
大量のメールが届いた直後に、ITサポート担当者を名乗る人物からMicrosoft Teamsなどで連絡があり、不審なサイトへ誘導される攻撃が確認されています。
ご協力をお願いしたいこと:
1. ITサポートを名乗る人物から、心当たりのない「修復ツール」の利用やURLのクリックを求められた場合は、絶対にに応じないでください。
2. 偽のログイン画面が表示された場合、パスワードなどの資格情報を入力しないでください。
3. 不審な連絡を受けた場合は、すぐに情報システム部門へ報告してください。
対応期限: 本日中
Subject: [Security Alert] Beware of Impersonation Attacks via IT Support
Dear employees,
We have observed attacks where actors send a flood of emails and then impersonate IT support via Microsoft Teams to trick users into installing fake repair tools.
What we need from you:
1. Do not click on any links or use 'repair utilities' suggested by individuals claiming to be IT support via chat, unless verified through official channels.
2. Never enter your corporate credentials into unfamiliar login boxes or pop-ups.
3. Report any suspicious contact to the IT Security team immediately.
Deadline: Immediate
Dear employees,
We have observed attacks where actors send a flood of emails and then impersonate IT support via Microsoft Teams to trick users into installing fake repair tools.
What we need from you:
1. Do not click on any links or use 'repair utilities' suggested by individuals claiming to be IT support via chat, unless verified through official channels.
2. Never enter your corporate credentials into unfamiliar login boxes or pop-ups.
3. Report any suspicious contact to the IT Security team immediately.
Deadline: Immediate
件名: 【共有】UNC6692によるメールボンビングおよびSnowbeltマルウェアへの対応について
お疲れさまです。UNC6692による新たな攻撃手法に関する情報共有です。
■ 概要
攻撃者はメールボンビングで標的を混乱させた後、Microsoft TeamsでITサポートを装い接触します。偽のメールボックス修復ページへ誘導し、資格情報の窃取およびAutoHotKeyを利用してJavaScriptベースのバックドア「Snowbelt」を配備します。
■ 影響範囲
- Microsoft EdgeおよびMicrosoft Teamsを利用している全ユーザー
■ 対応手順
1. ユーザーに対し、ITサポートを名乗る不審なチャット連絡への注意喚起を実施する。
2. EDR等において、不審なAutoHotKeyバイナリおよびスクリプトの実行を監視・ブロックする。
3. 資格情報窃取の兆候(不審なログイン試行)がないかログを確認する。
■ 参考情報
- Google Threat Intelligence Group (GTIG) レポート
対応優先度: 高
対応期限: 速やかに
お疲れさまです。UNC6692による新たな攻撃手法に関する情報共有です。
■ 概要
攻撃者はメールボンビングで標的を混乱させた後、Microsoft TeamsでITサポートを装い接触します。偽のメールボックス修復ページへ誘導し、資格情報の窃取およびAutoHotKeyを利用してJavaScriptベースのバックドア「Snowbelt」を配備します。
■ 影響範囲
- Microsoft EdgeおよびMicrosoft Teamsを利用している全ユーザー
■ 対応手順
1. ユーザーに対し、ITサポートを名乗る不審なチャット連絡への注意喚起を実施する。
2. EDR等において、不審なAutoHotKeyバイナリおよびスクリプトの実行を監視・ブロックする。
3. 資格情報窃取の兆候(不審なログイン試行)がないかログを確認する。
■ 参考情報
- Google Threat Intelligence Group (GTIG) レポート
対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] UNC6692 Email Bombing and Snowbelt Malware Deployment
Dear Security Team,
This is a technical update regarding the activities of threat actor UNC6692.
■ Overview
UNC6692 utilizes email bombing to overwhelm targets, followed by social engineering via Microsoft Teams. They lure victims to a phishing page posing as a mailbox repair utility to harvest credentials and deploy the 'Snowbelt' JavaScript backdoor via AutoHotKey scripts.
■ Scope
- All users utilizing Microsoft Edge and Microsoft Teams.
■ Mitigation Steps
1. Issue a security advisory to employees regarding impersonation via Teams.
2. Configure EDR/AV to monitor and block unauthorized execution of AutoHotKey binaries and scripts.
3. Audit authentication logs for signs of credential theft and unauthorized access.
■ Reference
- Google Threat Intelligence Group (GTIG) Report
Priority: High
Deadline: Immediate
Dear Security Team,
This is a technical update regarding the activities of threat actor UNC6692.
■ Overview
UNC6692 utilizes email bombing to overwhelm targets, followed by social engineering via Microsoft Teams. They lure victims to a phishing page posing as a mailbox repair utility to harvest credentials and deploy the 'Snowbelt' JavaScript backdoor via AutoHotKey scripts.
■ Scope
- All users utilizing Microsoft Edge and Microsoft Teams.
■ Mitigation Steps
1. Issue a security advisory to employees regarding impersonation via Teams.
2. Configure EDR/AV to monitor and block unauthorized execution of AutoHotKey binaries and scripts.
3. Audit authentication logs for signs of credential theft and unauthorized access.
■ Reference
- Google Threat Intelligence Group (GTIG) Report
Priority: High
Deadline: Immediate