Google Threat Intelligence Group и Mandiant раскрыли 22 апреля детали атаки, которая обошлась без единой технической уязвимости. Группа UNC6692 не взломала ни одного сервера — она убедила сотрудников самостоятельно открыть двери.
Сначала — паника, потом — «помощь»
В конце декабря 2025 года целевые компании получили массовый email-спам: почтовые ящики сотрудников были буквально заблокированы тысячами сообщений. Пока жертва искала выход из хаоса, в Microsoft Teams появлялось сообщение от «коллеги из IT-поддержки» — с предложением установить патч, который «остановит спам».
Критическая деталь, которую легко пропустить: сообщение поступало с внешнего аккаунта. Teams по умолчанию разрешает такие контакты — и большинство сотрудников не обращает внимания на отметку «External».
«UNC6692 полагалась на имитацию сотрудников IT-helpdesk, убеждая жертв принять приглашения на чат в Teams от аккаунта вне организации».
— Исследователи Mandiant, JP Glab, Tufail Ahmed, Josh Kelley и Muhammad Umair
SNOW: не один инструмент, а конвейер
Переход по ссылке вел на поддельную страницу «Mailbox Repair and Sync Utility» — и только в браузере Microsoft Edge (страница принудительно переключала на него через URI-схему). Нажатие кнопки «Health Check» собирало учетные данные и отправляло их на S3-бакет злоумышленников.
Далее разворачивалась модульная система вредоносного программного обеспечения SNOW:
- SNOWBELT — вредоносное расширение для Chromium-браузера, постоянный backdoor-канал;
- SNOWGLAZE — Python-туннелер, строивший зашифрованный WebSocket-мост между сетью жертвы и C2-сервером злоумышленников;
- SNOWBASIN — persistent-backdoor с возможностью выполнения команд через PowerShell, захвата скриншотов и загрузки файлов.
После закрепления в системе атакующие сканировали внутреннюю сеть на портах 135, 445 и 3389, выполняли дамп памяти процесса LSASS и извлекали файлы NTDS.dit — по сути полную базу учетных данных Active Directory.
77% жертв — руководители высшего звена
По данным исследователей, между 1 марта и 1 апреля 2026 года около 77% зафиксированных инцидентов были направлены против топ-менеджеров и старших сотрудников. Логика проста: именно они имеют самый широкий доступ к чувствительным системам и меньше всего времени проверять каждый запрос от «IT».
Тактика email-бомбардировки с последующей «помощью» через Teams — не новая. Как отмечает TechJuice, этот подход ранее активно использовали аффилиаты группы Black Basta, которая прекратила работу в начале 2025 года. UNC6692 либо позаимствовала метод, либо унаследовала его от бывших участников.
Microsoft исправила — но не везде и не автоматически
В январе 2026 года Microsoft развернула возможность блокировать внешних пользователей Teams непосредственно через портал Defender, объединив управление доступом в единый интерфейс Tenant Allow/Block List. До этого администраторам приходилось переключаться между несколькими панелями управления.
Проблема в том, что функция не включается автоматически: требуется Defender for Office 365 Plan 1 или Plan 2, а также отдельная настройка Teams Admin Center. По оценкам Microsoft, ежемесячно Teams используют более 320 миллионов человек — и значительная часть их организаций по-прежнему не изменила настройки по умолчанию.
Атака UNC6692 не использовала никакой технической уязвимости — только то, что Teams открыт для внешних контактов, а сотрудники верят сообщениям в «безопасном» корпоративном чате. Если ваша организация до сих пор не ограничила внешние запросы в Teams и не включила блокирование через Defender, вопрос не «может ли это случиться», а — когда именно придет тот «техник поддержки»?
