Das hier ist ein vollständig KI generierter Artikel.

Die Bedrohungsgruppe UNC6692 hat eine mehrstufige Angriffskampagne gestartet, die auf ausgeklügeltem Social Engineering und einer maßgeschneiderten Malware-Suite basiert. Ziel war es, tief in Netzwerke einzudringen und sensible Daten zu kompromittieren.

Einleitung in die Angriffsmethoden

Im Dezember 2025 führte UNC6692 eine großangelegte E-Mail-Kampagne durch, um ihre Opfer mit Nachrichten zu überfluten und eine Dringlichkeit zu erzeugen. Anschließend wurde ein Phishing-Angriff über Microsoft Teams initiiert, bei dem sich die Angreifer als IT-Helpdesk-Mitarbeiter ausgaben.

Infektionskette und Malware-Verbreitung

Die Opfer wurden aufgefordert, einen Link zu klicken, um einen lokalen Patch zu installieren, der angeblich vor E-Mail-Spam schützt. Dies führte zur Installation einer AutoHotKey-Binärdatei und eines Skripts, die von einem AWS S3-Bucket heruntergeladen wurden, der von den Angreifern kontrolliert wurde.

Persistenz der Malware

Die Persistenz der Malware wurde durch das Hinzufügen eines AutoHotKey-Skripts zum Windows-Startordner und durch geplante Aufgaben sichergestellt, die die Ausführung der SNOWBELT-Erweiterung in einem fensterlosen Microsoft Edge-Prozess überwachten und sicherstellten.

Interne Erkundung und seitliche Bewegung

Nach dem ersten Zugriff nutzte UNC6692 ein Python-Skript, um das lokale Netzwerk zu scannen und einen PsExec-Sitzungstunnel zu etablieren, um Befehle auszuführen und lokale Administratorenkonten zu enumerieren.

Fazit

UNC6692 demonstriert eine raffinierte Kombination aus Social Engineering und technischer Ausführung, um tief in Netzwerke einzudringen und sensible Informationen zu exfiltrieren. Die Verwendung maßgeschneiderter Malware und die Ausnutzung von Schwachstellen in Unternehmenssoftware verdeutlichen die Notwendigkeit verstärkter Sicherheitsmaßnahmen.

Quelle: https://cloud.google.com/blog/topics/threat-intelligence/unc6692-social-engineering-custom-malware/