Vorsicht bei Microsoft Teams: Als Support getarnte Hacker installieren Malware

UNC6692 nutzt die Funktionen von Microsoft Teams für die externe Zusammenarbeit aus, um sich als IT-Helpdesk-Mitarbeiter auszugeben und eine benutzerdefinierte Malware-Suite auszuliefern.

Die Bedrohungsgruppe UNC6692 nutzt die Vortäuschung von IT-Mitarbeitern über Microsoft Teams sowie massenhafte E-Mail-Bombardements, um das SNOW-Malware-Toolkit zu verbreiten und Zugangsdaten aus Unternehmensnetzwerken zu stehlen.

Darryl Linington (übersetzt von Marius Müller), Veröffentlicht am 24.04.2026 🇺🇸 🇪🇸 ...

Eine neu identifizierte Bedrohungsgruppe nutzt Microsoft Teams, um sich als IT-Helpdesk auszugeben, Unternehmenspostfächer mit Spam zu überfluten und anschließend eine maßgeschneiderte Malware-Suite in Firmennetzwerken zu installieren. Die Google Threat Intelligence Group und Mandiant haben die Kampagne offengelegt und sie einer Gruppe zugeordnet, die sie unter dem Namen UNC6692 verfolgen.

So verschafft sich UNC6692 Zugang

Laut Bericht beginnt der Angriff mit einer massiven E-Mail-Bombardierung des Zielunternehmens, um ein Gefühl von Dringlichkeit zu erzeugen. Anschließend kontaktiert ein Angreifer das Opfer über Microsoft Teams von einem externen Konto aus, gibt sich als IT-Support aus und bietet Hilfe beim Spam-Problem an.

Weitere Recherchen zeigen, dass Mitarbeiter, die die Chat-Anfrage akzeptieren, einen Phishing-Link erhalten. Dieser führt auf eine täuschend echt wirkende Seite namens „Mailbox Repair and Sync Utility v2.1.5“.

Ein gefälschter „Health Check“-Button auf dieser Seite greift die Zugangsdaten des Postfachs ab und überträgt sie direkt in einen vom Angreifer kontrollierten Amazon S3-Bucket. Laut Mandiant wird im Hintergrund zudem unbemerkt ein AutoHotKey-Skript heruntergeladen, das mit der Installation des Malware-Toolkits beginnt.

Was SNOW tatsächlich macht

Das Toolkit besteht laut Bericht aus drei Komponenten:
SNOWBELT ist eine bösartige Chromium-Browsererweiterung, die sich als „MS Heartbeat“ oder „System Heartbeat“ tarnt und als primäre Hintertür dient.

SNOWGLAZE ist ein auf Python basierender Tunnel-Mechanismus, der den Datenverkehr über den Rechner des Opfers via WebSocket an den Command-and-Control-Server der Angreifer weiterleitet. Die Daten werden in Base64-kodiertes JSON verpackt, um wie normaler verschlüsselter Webverkehr zu wirken.

SNOWBASIN fungiert als persistente Hintertür und ermöglicht Remote-Befehle, Screenshots sowie Zugriff auf Dateien. Zusammengenommen verschaffen diese Komponenten laut Mandiant einen unauffälligen und dauerhaften Zugriff, der sich in gewöhnliche Browser- und Netzwerkaktivitäten einfügt.

Wie der Angriff weitergeht

Nach dem ersten Zugriff scannt die Gruppe das lokale Netzwerk nach offenen Ports und bewegt sich mithilfe von Pass-the-Hash-Angriffen mit gestohlenen NTLM-Hashes in Richtung Domain-Controller.

Mandiant zufolge extrahieren die Angreifer den Speicher des LSASS-Prozesses von einem Backup-Server und exfiltrieren ihn über LimeWire, um Anmeldedaten offline auszuwerten.

Sobald sie Zugriff auf einen Domain-Controller haben, nutzen sie FTK Imager, um die Active-Directory-Datenbank sowie die Registry-Hives (SAM und SYSTEM) zu kopieren und ebenfalls über LimeWire abzuziehen. Zusätzlich fertigen sie Screenshots des Domain-Controllers an.

Sicherheits-Hinweis

Der Bericht weist darauf hin, dass Microsoft Teams eine Warnung anzeigt, wenn Nachrichten von externen Absendern stammen. Unaufgeforderte Support-Anfragen sollten grundsätzlich über bekannte interne Kanäle überprüft werden, bevor Zugriff gewährt wird.

Quelle(n)

Nachrichten zur Cybersicherheit

Google Cloud Blog

⟨

Ältere News

Gaming-Biest zum Kampfpreis vorgestellt: Wasserkühlung, Bypass-Laden, Schultertasten und 6.500-mAh-Akku

Teilen Sie diesen Artikel, um uns zu unterstützen. Jeder Link hilft!

Keine Kommentare zum Artikel

Fragen, Anregungen, zusätzliche Informationen zu diesem Artikel? - Uns interessiert Deine Meinung (auch ohne Anmeldung möglich)!

Keine Kommentare zum Artikel / Antworten

Loading Comments

Diesen Artikel kommentieren / Antworten

Verwandte Artikel

Autor des Originals: Darryl Linington - Tech Writer - 222 Artikel auf Notebookcheck veröffentlicht seit 2025

I’m a tech editor and journalist with more than 20 years of experience covering smartphones, AI, gaming hardware, and emerging technology. I’m passionate about making complex topics clear, engaging, and relevant—especially when they shape how we live, work, and play. I’m also an author with a love for psychological thrillers, horror, and honest, emotionally driven storytelling. My books include Drowning, 3:33 a.m., The Midnight Murderer, Keystrokes of Vengeance, and Life’s Too Short For This Sh!t!. Whether I’m writing about technology or fiction, my goal is always to connect with readers, spark thought, and leave a lasting impression. Inspired by my daughters and shaped by years of media experience, I bring curiosity and purpose to everything I write.

Kontakt: @DarrylLinington, Facebook, DarrylLinington, LinkedIn

Übersetzer: Marius Müller - Tech Writer - 4087 Artikel auf Notebookcheck veröffentlicht seit 2024

Als Kind der 90er war mein Gameboy mein ständiger Begleiter. Nach der Schule wurde die PlayStation angeworfen. Als ich schließlich meinen ersten PC bekam, war es vollends um mich geschehen. Meine Leidenschaft fürs Gaming ist seitdem nie wieder abgeflacht. Für Notebookcheck zu schreiben bedeutet für mich, über Themen zu berichten, die mir wirklich am Herzen liegen – neben Gaming auch gerne über E-Mobilität, Fotovoltaik oder innovative Gadgets. Wenn ich gerade nicht am Rechner sitze, schiebe ich wahrscheinlich Wasserrettungsdienst an der Ostseeküste oder versuche, den Schattenseiten meines Geek-Lebens – nämlich dem langen Sitzen – in der lokalen Schwimmhalle entgegenzuwirken.