© E. Vartanyan
Хакеры атакуют через Teams: новая схема от UNC6692 крадёт пароли и заражает сети
Узнайте о новой мошеннической схеме: хакеры выдают себя за IT-специалистов в Microsoft Teams, крадут логины/пароли с поддельных страниц и заражают корпоративные сети вредоносным ПО.
27.04.2026 13:30
Илья Степанов
Киберпреступная группа UNC6692 атакует корпорации через Microsoft Teams, маскируясь под IT-специалистов. Как выяснили в Google Threat Intelligence Group и Mandiant, атакующие сначала заваливают сотрудников спамом, чтобы создать хаос, а затем связываются с жертвой в Teams с внешнего аккаунта, предлагая «помощь». Жертву заманивают на поддельную страницу «Утилита для восстановления и синхронизации почтовых ящиков v2.1.5», где кнопка «Проверка состояния» крадет логин и пароль, после чего запускается скрипт для установки вредоносного ПО. pepelac.news
В арсенале группы три инструмента: SNOWBELT — вредоносное расширение для браузеров на Chromium, работающее как бэкдор; SNOWGLAZE — Python-инструмент для скрытой передачи данных через WebSocket, маскирующий трафик; и SNOWBASIN — основной модуль для удаленного выполнения команд, создания скриншотов и доступа к файлам. Проникнув в сеть, злоумышленники сканируют инфраструктуру, проводят атаки Pass-the-Hash и крадут данные из памяти процессов, а также могут получить контроль над Active Directory.
Эксперты рекомендуют быть осторожными: хотя Microsoft Teams помечает сообщения извне, любые запросы на помощь нужно проверять через внутренние каналы, прежде чем передавать какие-либо данные.