ИНФОРМАЦИОННАЯ БЕЗОПАСНОСТЬ

Была обнаружена ранее не зафиксированная группа злоумышленников под названием UNC6692, которая использует методы социальной инженерии через Microsoft Teams для установки на зараженные компьютеры набора специально разработанного вредоносного ПО.

«Как и во многих других случаях взломов в последние годы, UNC6692 в значительной степени полагался на выдачу себя за сотрудников службы ИТ-поддержки, убеждая жертву принять приглашение в чат Microsoft Teams от учетной записи, не принадлежащей их организации», — сообщила принадлежащая Google компания Mandiant в опубликованном сегодня отчете.

UNC6692 связывают с крупной рассылкой электронных писем, цель которой — перегрузить почтовый ящик жертвы потоком спама, создавая ложное ощущение срочности. Затем злоумышленник связывается с жертвой через Microsoft Teams, отправляя сообщение, якобы от имени службы IT-поддержки, с предложением помощи в решении проблемы спам-атак.

Стоит отметить, что эта комбинация — бомбардировка почтового ящика жертвы, за которой следует подделка службы поддержки через Microsoft Teams — давно используется бывшими партнерами Black Basta. Несмотря на то, что группа прекратила свою деятельность по распространению программ-вымогателей в начале прошлого года, этот сценарий не теряет актуальности.

В отчете, опубликованном на прошлой неделе, ReliaQuest сообщила, что этот подход используется для атак на руководителей и сотрудников высшего звена с целью получения первоначального доступа к корпоративным сетям для потенциального хищения данных, латерального перемещения, развертывания программ-вымогателей и вымогательства. В некоторых случаях чаты запускались с интервалом всего в 29 секунд.

Цель разговора — обманом заставить жертв установить легитимные инструменты удаленного мониторинга и управления (RMM), такие как Quick Assist или Supremo Remote Desktop, чтобы получить практический доступ, а затем использовать его для доставки дополнительных вредоносных программ.

«С 1 марта по 1 апреля 2026 года 77% наблюдаемых инцидентов были направлены против сотрудников высшего звена, по сравнению с 59% в первые два месяца 2026 года», — заявили исследователи ReliaQuest Джон Дилген и Алекса Феминелла. «Эта активность демонстрирует, что наиболее эффективные тактики группы злоумышленников могут пережить саму группу».