B
今週中
UNC6692という脅威アクターが、Microsoft Teamsを通じてITヘルプデスクを装い、カスタムマルウェア「SNOW」を配布していること
📌 一言でいうと
UNC6692という脅威アクターが、Microsoft Teamsを通じてITヘルプデスクを装い、カスタムマルウェア「SNOW」を配布していることが判明しました。攻撃者はまず大量のスパムメールを送信してターゲットを混乱させ、その後Teamsでサポートを装って接触する巧妙なソーシャルエンジニアリング手法を用いています。この手法は以前にBlack Bastaのアフィリエイトが使用していた戦術と類似しています。
🏢影響範囲
Microsoft Teamsを利用し、外部からのチャット招待を許可している組織
✅該当時の対応
外部ユーザーからのMicrosoft Teamsチャット招待を制限し、ITサポートを名乗る不審な連絡があった場合は公式なルートで確認することを徹底してください。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ITサポートを装った不審なチャットへの注意について
お疲れさまです。情報システム担当です。
現在、ITヘルプデスクの職員を装い、Microsoft Teamsで接触してマルウェアに感染させようとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 外部ユーザーから「ITサポート」や「ヘルプデスク」を名乗るTeamsチャットが届いても、安易に承諾したり、指示に従ってファイルを開いたりしないでください。
2. 大量のスパムメールが届いた直後に、サポートを申し出る不審な連絡があった場合は、すぐに社内の正規ルートで担当者に報告してください。
不審な連絡には十分にご注意いただき、速やかなご報告をお願いいたします。
お疲れさまです。情報システム担当です。
現在、ITヘルプデスクの職員を装い、Microsoft Teamsで接触してマルウェアに感染させようとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 外部ユーザーから「ITサポート」や「ヘルプデスク」を名乗るTeamsチャットが届いても、安易に承諾したり、指示に従ってファイルを開いたりしないでください。
2. 大量のスパムメールが届いた直後に、サポートを申し出る不審な連絡があった場合は、すぐに社内の正規ルートで担当者に報告してください。
不審な連絡には十分にご注意いただき、速やかなご報告をお願いいたします。
Subject: [Security Notice] Beware of Impersonation Attacks via Microsoft Teams
Hi everyone,
We have received reports of attackers impersonating IT Helpdesk staff via Microsoft Teams to deploy malicious software.
How you can help:
1. Be cautious of Microsoft Teams chat invitations from external users claiming to be from "IT Support" or "Helpdesk." Do not follow their instructions or open any files they send.
2. If you experience a sudden flood of spam emails followed by a message from someone offering to "help" with the issue, please report it to the official IT channel immediately.
Please remain vigilant and report any suspicious activity promptly.
Hi everyone,
We have received reports of attackers impersonating IT Helpdesk staff via Microsoft Teams to deploy malicious software.
How you can help:
1. Be cautious of Microsoft Teams chat invitations from external users claiming to be from "IT Support" or "Helpdesk." Do not follow their instructions or open any files they send.
2. If you experience a sudden flood of spam emails followed by a message from someone offering to "help" with the issue, please report it to the official IT channel immediately.
Please remain vigilant and report any suspicious activity promptly.
件名: 【共有】UNC6692によるTeamsを悪用したソーシャルエンジニアリング攻撃について
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
脅威アクター「UNC6692」が、大量のスパムメール送信(メールボンビング)で標的を混乱させた後、Microsoft TeamsでITヘルプデスクを装って接触し、カスタムマルウェア「SNOW」を配布する手法が確認されました。
■ 影響範囲
- Microsoft Teamsを利用し、外部ユーザーからのチャット招待を許可している組織
■ 対応手順
1. Teamsの外部アクセス設定を見直し、必要に応じて外部ユーザーからのチャット招待を制限することを検討してください。
2. ユーザーに対し、ITサポートがTeamsの外部アカウントから接触することはない旨を周知してください。
3. EDR等のログを確認し、不審な外部アカウントとの通信や、未知のバイナリの実行がないか監視を強化してください。
■ 参考情報
- Mandiant Report (UNC6692)
対応優先度: 高(速やかな設定確認と周知を推奨)
お疲れさまです。標的型攻撃に関する情報共有です。
■ 概要
脅威アクター「UNC6692」が、大量のスパムメール送信(メールボンビング)で標的を混乱させた後、Microsoft TeamsでITヘルプデスクを装って接触し、カスタムマルウェア「SNOW」を配布する手法が確認されました。
■ 影響範囲
- Microsoft Teamsを利用し、外部ユーザーからのチャット招待を許可している組織
■ 対応手順
1. Teamsの外部アクセス設定を見直し、必要に応じて外部ユーザーからのチャット招待を制限することを検討してください。
2. ユーザーに対し、ITサポートがTeamsの外部アカウントから接触することはない旨を周知してください。
3. EDR等のログを確認し、不審な外部アカウントとの通信や、未知のバイナリの実行がないか監視を強化してください。
■ 参考情報
- Mandiant Report (UNC6692)
対応優先度: 高(速やかな設定確認と周知を推奨)
Subject: [FYI] Social Engineering Campaign by UNC6692 via Microsoft Teams
Hi all,
This is a security advisory regarding a campaign by the threat actor UNC6692.
■ Overview
UNC6692 is utilizing a multi-stage attack: first, overwhelming the target's inbox with spam (email bombing), and then impersonating IT Helpdesk staff via Microsoft Teams to deploy a custom malware suite known as "SNOW."
■ Scope
- Organizations using Microsoft Teams with external chat invitations enabled.
■ Recommended Actions
1. Review Microsoft Teams external access settings and consider restricting chat invitations from external users.
2. Educate employees that official IT support will not contact them via external Teams accounts.
3. Enhance monitoring via EDR/SIEM for suspicious external communications and the execution of undocumented binaries.
■ Reference
- Mandiant Report (UNC6692)
Priority: High (Prompt review of configurations and user awareness is recommended)
Hi all,
This is a security advisory regarding a campaign by the threat actor UNC6692.
■ Overview
UNC6692 is utilizing a multi-stage attack: first, overwhelming the target's inbox with spam (email bombing), and then impersonating IT Helpdesk staff via Microsoft Teams to deploy a custom malware suite known as "SNOW."
■ Scope
- Organizations using Microsoft Teams with external chat invitations enabled.
■ Recommended Actions
1. Review Microsoft Teams external access settings and consider restricting chat invitations from external users.
2. Educate employees that official IT support will not contact them via external Teams accounts.
3. Enhance monitoring via EDR/SIEM for suspicious external communications and the execution of undocumented binaries.
■ Reference
- Mandiant Report (UNC6692)
Priority: High (Prompt review of configurations and user awareness is recommended)