C
月内に
脅威アクターUNC6692が、MS Teamsを悪用してITサポートを装い、企業内部ネットワークへ侵入する攻撃を展開しています
📌 一言でいうと
脅威アクターUNC6692が、MS Teamsを悪用してITサポートを装い、企業内部ネットワークへ侵入する攻撃を展開しています。攻撃者はまず大量のメールを送信して混乱を招き、その後Teamsで「スパム対策パッチ」を偽装した悪性ファイルを配布します。この攻撃では「Snow」と呼ばれるカスタムマルウェア(ブラウザ拡張機能、トンネリングツール、バックドア)が使用され、最終的にドメイン権限の奪取を狙います。
🏢影響範囲
Microsoft Teamsを利用している企業の全組織、特にITサポート体制が整備されていない、または外部からのTeams連絡を許可している組織。
✅該当時の対応
1. 外部ユーザーからのMS Teams招待およびメッセージに対する警戒を強化すること。 2. ITサポートがTeamsを通じて個別にパッチのインストールを要求することはない旨を社員に周知すること。 3. 外部ユーザーとの通信設定を見直し、信頼できない外部アカウントからのアクセスを制限すること。
📧 メール案を見る (社員向け + 管理者向け)
⚠️ これは AI が生成した参考例です。配信前に必ず内容をご確認のうえ、貴社の状況に合わせて編集してご利用ください。実際の被害状況や自社の利用環境を踏まえた判断は、貴社のセキュリティ責任者にご確認ください。
件名: 【注意喚起】ITサポートを装った偽メッセージにご注意ください
お疲れさまです。情報システム担当です。
現在、Microsoft TeamsでITサポート担当者を装い、偽のセキュリティパッチをインストールさせようとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知らない相手や外部アカウントからTeamsで「パッチの適用」や「設定変更」を依頼された場合、絶対にリンクをクリックしたりファイルをダウンロードしたりしないでください。
2. 不審な連絡を受けた場合は、すぐに情報システム部門へ報告してください。
対応期限: 本日中(周知確認)
お疲れさまです。情報システム担当です。
現在、Microsoft TeamsでITサポート担当者を装い、偽のセキュリティパッチをインストールさせようとする攻撃が確認されています。
ご協力をお願いしたいこと:
1. 知らない相手や外部アカウントからTeamsで「パッチの適用」や「設定変更」を依頼された場合、絶対にリンクをクリックしたりファイルをダウンロードしたりしないでください。
2. 不審な連絡を受けた場合は、すぐに情報システム部門へ報告してください。
対応期限: 本日中(周知確認)
Subject: [Security Alert] Beware of Fake IT Support Messages on MS Teams
Dear employees,
We have detected a security threat where attackers impersonate IT support staff via Microsoft Teams to trick users into installing malicious software.
What we need from you:
1. Do NOT click any links or download any files sent via Teams by unknown users or external accounts, especially those claiming to be 'security patches.'
2. If you receive any suspicious messages, please report them to the IT Security team immediately.
Deadline: Immediate
Dear employees,
We have detected a security threat where attackers impersonate IT support staff via Microsoft Teams to trick users into installing malicious software.
What we need from you:
1. Do NOT click any links or download any files sent via Teams by unknown users or external accounts, especially those claiming to be 'security patches.'
2. If you receive any suspicious messages, please report them to the IT Security team immediately.
Deadline: Immediate
件名: 【共有】UNC6692によるMS Teams悪用攻撃(Snowマルウェア)への対応について
お疲れさまです。UNC6692による標的型攻撃に関する情報共有です。
■ 概要
攻撃者は大量のメール送信で混乱を誘発した後、MS TeamsでITヘルプデスクを装い、AutoHotkeyスクリプトおよび「SnowBelt」という悪性ブラウザ拡張機能を含むマルウェアスイート「Snow」を配布します。最終的な目的は認証情報の窃取およびドメイン権限の奪取です。
■ 影響範囲
- Microsoft Teamsを利用し、外部ユーザーとのコラボレーションを許可している組織
■ 対応手順
1. Teamsの外部アクセス設定(External Access)を見直し、必要最小限の制限をかける。
2. EDR/SIEMにて、AutoHotkeyの不審な実行や、AWS S3からの不審なバイナリダウンロードを監視する。
3. ユーザーに対し、ITサポートがTeamsで個別にパッチ配布を行うことはない旨を再徹底する。
■ 参考情報
- Mandiant Research
対応優先度: 高
対応期限: 速やかに
お疲れさまです。UNC6692による標的型攻撃に関する情報共有です。
■ 概要
攻撃者は大量のメール送信で混乱を誘発した後、MS TeamsでITヘルプデスクを装い、AutoHotkeyスクリプトおよび「SnowBelt」という悪性ブラウザ拡張機能を含むマルウェアスイート「Snow」を配布します。最終的な目的は認証情報の窃取およびドメイン権限の奪取です。
■ 影響範囲
- Microsoft Teamsを利用し、外部ユーザーとのコラボレーションを許可している組織
■ 対応手順
1. Teamsの外部アクセス設定(External Access)を見直し、必要最小限の制限をかける。
2. EDR/SIEMにて、AutoHotkeyの不審な実行や、AWS S3からの不審なバイナリダウンロードを監視する。
3. ユーザーに対し、ITサポートがTeamsで個別にパッチ配布を行うことはない旨を再徹底する。
■ 参考情報
- Mandiant Research
対応優先度: 高
対応期限: 速やかに
Subject: [Threat Intel] UNC6692 Campaign utilizing MS Teams and 'Snow' Malware
Dear Security Team,
This is a technical alert regarding the activities of threat actor UNC6692.
■ Overview
The actor employs a social engineering tactic involving an initial email flood followed by impersonation of IT support via MS Teams. They distribute a custom malware suite named 'Snow,' which includes a malicious Chromium-based extension (SnowBelt), tunneling tools, and backdoors to achieve domain dominance.
■ Scope
- Organizations utilizing Microsoft Teams with enabled external collaboration features.
■ Mitigation Steps
1. Review and restrict MS Teams External Access settings to minimize the attack surface.
2. Monitor EDR/SIEM for unauthorized AutoHotkey execution and suspicious downloads from AWS S3 buckets.
3. Conduct security awareness training focusing on 'Helpdesk Impersonation' via collaboration tools.
■ Reference
- Mandiant Research
Priority: High
Deadline: Immediate
Dear Security Team,
This is a technical alert regarding the activities of threat actor UNC6692.
■ Overview
The actor employs a social engineering tactic involving an initial email flood followed by impersonation of IT support via MS Teams. They distribute a custom malware suite named 'Snow,' which includes a malicious Chromium-based extension (SnowBelt), tunneling tools, and backdoors to achieve domain dominance.
■ Scope
- Organizations utilizing Microsoft Teams with enabled external collaboration features.
■ Mitigation Steps
1. Review and restrict MS Teams External Access settings to minimize the attack surface.
2. Monitor EDR/SIEM for unauthorized AutoHotkey execution and suspicious downloads from AWS S3 buckets.
3. Conduct security awareness training focusing on 'Helpdesk Impersonation' via collaboration tools.
■ Reference
- Mandiant Research
Priority: High
Deadline: Immediate