C
月内に
UNC6692という新たな脅威アクターによる、高度なソーシャルエンジニアリングを用いた侵入キャンペーン
📌 一言でいうと
UNC6692という新たな脅威アクターによる、高度なソーシャルエンジニアリングを用いた侵入キャンペーンが確認されました。攻撃者はITヘルプデスクを装い、Microsoft Teamsの外部チャット招待を通じて標的を誘導し、カスタムマルウェアスイートや悪意のあるブラウザ拡張機能を展開しました。この攻撃は、企業ソフトウェアへの信頼を悪用してネットワーク深部への浸透を図る巧妙な手法を特徴としています。
✅該当時の対応
外部からのMicrosoft Teamsチャット招待に対する警戒を強め、従業員へのソーシャルエンジニアリング対策トレーニングを実施すること。また、不審なブラウザ拡張機能のインストールを制限するポリシーを適用することを推奨します。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ITヘルプデスクを装った不審なチャットへの警戒について
お疲れさまです。情報システム担当です。
ITヘルプデスクの職員を装い、Microsoft Teamsなどのチャットツールで接触して悪意のあるソフトをインストールさせようとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 組織外(外部アカウント)からのMicrosoft Teamsチャット招待やメッセージに不審な点がないか十分にご注意ください。
2. 知り合いや社内担当者であっても、不自然なファイル送信やブラウザ拡張機能のインストールを求められた場合は、決して同意せず、すぐにシステム管理者に報告してください。
不審な連絡を受けた際は、速やかにご報告をお願いいたします。
お疲れさまです。情報システム担当です。
ITヘルプデスクの職員を装い、Microsoft Teamsなどのチャットツールで接触して悪意のあるソフトをインストールさせようとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 組織外(外部アカウント)からのMicrosoft Teamsチャット招待やメッセージに不審な点がないか十分にご注意ください。
2. 知り合いや社内担当者であっても、不自然なファイル送信やブラウザ拡張機能のインストールを求められた場合は、決して同意せず、すぐにシステム管理者に報告してください。
不審な連絡を受けた際は、速やかにご報告をお願いいたします。
Subject: [Security Notice] Beware of Impersonation Attacks via Chat Tools
Hi everyone,
We have received reports of a security threat where attackers impersonate IT helpdesk staff via Microsoft Teams to trick users into installing malicious software.
How you can help:
1. Be extremely cautious of Microsoft Teams chat invitations or messages coming from external accounts.
2. If anyone—even someone claiming to be from IT—asks you to download a file or install a browser extension unexpectedly, do not proceed and report it to the IT department immediately.
Please stay vigilant and report any suspicious activity promptly.
Hi everyone,
We have received reports of a security threat where attackers impersonate IT helpdesk staff via Microsoft Teams to trick users into installing malicious software.
How you can help:
1. Be extremely cautious of Microsoft Teams chat invitations or messages coming from external accounts.
2. If anyone—even someone claiming to be from IT—asks you to download a file or install a browser extension unexpectedly, do not proceed and report it to the IT department immediately.
Please stay vigilant and report any suspicious activity promptly.
件名: 【共有】UNC6692によるソーシャルエンジニアリングを用いた侵入キャンペーンについて
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
脅威アクター「UNC6692」による、高度なソーシャルエンジニアリングを用いた侵入キャンペーンが確認されました。攻撃者はITヘルプデスクを装い、Microsoft Teamsの外部チャット招待を通じて標的を誘導し、カスタムマルウェアスイートや悪意のあるブラウザ拡張機能を展開してネットワーク深部への浸透を図ります。
■ 影響範囲
- Microsoft Teamsを利用し、外部ユーザーとの通信を許可している組織
- ブラウザ拡張機能のインストール制限が不十分な環境
■ 対応手順
1. 外部ユーザーからのTeamsチャット招待に関するセキュリティ設定の見直しおよび監視の強化
2. 従業員に対し、ITサポートを装った外部からの接触に対する注意喚起の実施
3. グループポリシー等を用い、未承認のブラウザ拡張機能のインストールを制限するポリシーの適用
■ 参考情報
- Mandiant: Snow Flurries: How UNC6692 Employed Social Engineering to Deploy a Custom Malware Suite
対応優先度: 高(速やかな対策検討を推奨)
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
脅威アクター「UNC6692」による、高度なソーシャルエンジニアリングを用いた侵入キャンペーンが確認されました。攻撃者はITヘルプデスクを装い、Microsoft Teamsの外部チャット招待を通じて標的を誘導し、カスタムマルウェアスイートや悪意のあるブラウザ拡張機能を展開してネットワーク深部への浸透を図ります。
■ 影響範囲
- Microsoft Teamsを利用し、外部ユーザーとの通信を許可している組織
- ブラウザ拡張機能のインストール制限が不十分な環境
■ 対応手順
1. 外部ユーザーからのTeamsチャット招待に関するセキュリティ設定の見直しおよび監視の強化
2. 従業員に対し、ITサポートを装った外部からの接触に対する注意喚起の実施
3. グループポリシー等を用い、未承認のブラウザ拡張機能のインストールを制限するポリシーの適用
■ 参考情報
- Mandiant: Snow Flurries: How UNC6692 Employed Social Engineering to Deploy a Custom Malware Suite
対応優先度: 高(速やかな対策検討を推奨)
Subject: [FYI] Intrusion Campaign by UNC6692 via Social Engineering
Hi,
This is a security advisory regarding a newly identified campaign by the threat actor UNC6692.
■ Overview
UNC6692 is employing sophisticated social engineering by impersonating IT helpdesk personnel. They leverage external Microsoft Teams chat invitations to lure victims into deploying a custom modular malware suite and malicious browser extensions, enabling deep network penetration.
■ Scope
- Organizations using Microsoft Teams with external communication enabled.
- Environments with permissive browser extension installation policies.
■ Recommended Actions
1. Review and tighten security configurations regarding external Teams chat invitations and increase monitoring for such activity.
2. Conduct security awareness training for employees specifically targeting IT impersonation via chat tools.
3. Implement and enforce policies (e.g., via GPO) to restrict the installation of unauthorized browser extensions.
■ Reference
- Mandiant: Snow Flurries: How UNC6692 Employed Social Engineering to Deploy a Custom Malware Suite
Priority: High (Prompt action is recommended)
Hi,
This is a security advisory regarding a newly identified campaign by the threat actor UNC6692.
■ Overview
UNC6692 is employing sophisticated social engineering by impersonating IT helpdesk personnel. They leverage external Microsoft Teams chat invitations to lure victims into deploying a custom modular malware suite and malicious browser extensions, enabling deep network penetration.
■ Scope
- Organizations using Microsoft Teams with external communication enabled.
- Environments with permissive browser extension installation policies.
■ Recommended Actions
1. Review and tighten security configurations regarding external Teams chat invitations and increase monitoring for such activity.
2. Conduct security awareness training for employees specifically targeting IT impersonation via chat tools.
3. Implement and enforce policies (e.g., via GPO) to restrict the installation of unauthorized browser extensions.
■ Reference
- Mandiant: Snow Flurries: How UNC6692 Employed Social Engineering to Deploy a Custom Malware Suite
Priority: High (Prompt action is recommended)