UNC6692冒充IT服務臺，透過Teams散布惡意軟體套件Snow

這波攻擊行動約從2025年12月底出現，UNC6692先大規模寄送垃圾信轟炸使用者，然後再冒充IT或客服人員，透過Teams向使用者發送釣魚訊息，聲稱可以協助處理爆量信件。駭客提供連結，號稱只要在本機電腦安裝修補程式，就能防堵電子郵件信箱被轟炸的情況。

一旦使用者照做，瀏覽器就會開啟特定的HTML網頁，從駭客控制的AWS S3儲存桶下載命名為AutoHotKey的二進位檔，以及AutoHotkey指令碼，然後執行指令碼進行偵察，並下載惡意Chrome延伸套件SnowBelt安裝，並透過啟動資料夾與工作排程讓SnowBelt在受害電腦持續運作。

UNC6692利用此延伸套件於受害電腦下載其他檔案，包括隧道工具SnowGlaze、Bindshell程式SnowBasin、AutoHotkey指令碼，以及其他執行作案工具所需的執行環境元件。駭客利用Python指令碼掃描區域網路的135、445、3389埠，並使用SnowGlaze建立隧道通訊，並找出本機管理員帳號，然後建立遠端桌面連線（RDP）將資料外傳至駭客的伺服器。

這些駭客也利用本機管理員帳號，從Windows工作管理員擷取LSASS處理程序的記憶體內容，再透過LimeWire外傳，接著，UNC6692利用Pass-The-Hash手法橫向移動到網域控制器（DC），並竊取AD資料庫檔案NTDS.dit、Windows安全帳號管理員（SAM）資料庫，以及SECURITY和SYSTEM的機碼資料，並使用LimeWire傳送至外部。