Google Threat Intelligence Group і Mandiant розкрили 22 квітня деталі атаки, яка обійшлась без жодної технічної вразливості. Група UNC6692 не зламала жодного сервера — вона переконала співробітників самостійно відкрити двері.
Спочатку — паніка, потім — «допомога»
У кінці грудня 2025 року цільові компанії отримали масований email-спам: поштові скриньки співробітників були буквально заблоковані тисячами повідомлень. Поки жертва шукала вихід із хаосу, в Microsoft Teams з'являлося повідомлення від «колеги з IT-підтримки» — з пропозицією встановити патч, який «зупинить спам».
Критична деталь, яку легко пропустити: повідомлення надходило з зовнішнього акаунту. Teams за замовчуванням дозволяє такі контакти — і більшість співробітників не звертає уваги на позначку «External».
«UNC6692 спиралася на імітацію співробітників IT-helpdesk, переконуючи жертв прийняти запрошення на чат у Teams від акаунту поза межами організації».
— Дослідники Mandiant, JP Glab, Tufail Ahmed, Josh Kelley та Muhammad Umair
SNOW: не один інструмент, а конвеєр
Перехід за посиланням вів на підроблену сторінку «Mailbox Repair and Sync Utility» — і лише в браузері Microsoft Edge (сторінка примусово переключала на нього через URI-схему). Натискання кнопки «Health Check» збирало облікові дані та відправляло їх на S3-бакет зловмисників.
Далі розгорталася модульна система шкідливого програмного забезпечення SNOW:
- SNOWBELT — шкідливе розширення для Chromium-браузера, постійний бекдор-канал;
- SNOWGLAZE — Python-тунелер, що будував зашифрований WebSocket-місток між мережею жертви та C2-сервером зловмисників;
- SNOWBASIN — persistent-бекдор із можливістю виконання команд через PowerShell, захоплення скріншотів і завантаження файлів.
Після закріплення в системі атакуючі сканували внутрішню мережу на порти 135, 445 і 3389, виконували дамп пам'яті процесу LSASS і витягали файли NTDS.dit — фактично повну базу облікових даних Active Directory.
77% жертв — керівники вищої ланки
За даними дослідників, між 1 березня та 1 квітня 2026 року близько 77% зафіксованих інцидентів були спрямовані проти топменеджерів і старших співробітників. Логіка проста: саме вони мають найширший доступ до чутливих систем і найменше часу перевіряти кожен запит від «IT».
Тактика email-бомбардування з подальшою «допомогою» через Teams — не нова. Як зазначає TechJuice, цей підхід раніше активно використовували афіліати групи Black Basta, яка припинила роботу на початку 2025 року. UNC6692 або запозичила метод, або успадкувала його від колишніх учасників.
Microsoft виправила — але не всюди й не автоматично
У січні 2026 року Microsoft розгорнула можливість блокувати зовнішніх користувачів Teams безпосередньо через портал Defender, об'єднавши управління доступом у єдиному інтерфейсі Tenant Allow/Block List. До цього адміністраторам доводилося перемикатися між кількома панелями керування.
Проблема в тому, що функція не вмикається автоматично: потрібен Defender for Office 365 Plan 1 або Plan 2, а також окреме налаштування Teams Admin Center. За оцінками Microsoft, щомісяця Teams використовують понад 320 мільйонів людей — і значна частина їхніх організацій досі не змінила налаштування за замовчуванням.
Атака UNC6692 не використала жодної технічної вразливості — лише те, що Teams відкритий для зовнішніх контактів, а співробітники вірять повідомленням у «безпечному» корпоративному чаті. Якщо ваша організація досі не обмежила зовнішні запити в Teams і не увімкнула блокування через Defender, питання не «чи може таке статись», а — коли саме прийде той «технік підтримки»?
