Google 旗下威脅情報機構 Mandiant 於 2025 年 4 月 23 日發布研究報告,揭露一個代號為 UNC6692 的新興威脅行為者,其攻擊手法的核心特徵之一,是系統性濫用AWS 雲端服務的 S3 儲存桶(S3 Bucket),作為惡意酬載的投放管道與指令控制(C2)基礎設施的一部分,藉此混入合法雲端流量、繞過傳統網路聲譽過濾機制。
攻擊起點:社交工程鋪路,S3 完成投遞
UNC6692 的攻擊鏈始於大規模電子郵件轟炸,透過短時間內向目標信箱發送大量郵件製造恐慌情緒,再由攻擊者冒充 IT 服務台人員,透過 Microsoft Teams 主動聯繫受害者,聲稱能協助排除郵件異常問題。
攻擊者透過 Teams 訊息提供一個釣魚連結,誘使受害者點擊後開啟一個 HTML 頁面。該頁面的實際功能,是從攻擊者控制的 AWS S3 儲存桶下載兩個檔案:一個經過改名的 AutoHotkey 執行檔,以及一個同名的 AutoHotkey 腳本。
這裡存在一個關鍵的技術細節:AutoHotkey 執行檔若偵測到當前目錄中存在與自身同名的腳本檔案,便會自動執行該腳本,無需任何額外的命令列參數。UNC6692 正是利用此機制,在不觸發異常執行行為的情況下,悄然啟動後續的惡意程式安裝流程。
S3 作為投放管道的防禦盲點
選擇 AWS S3 作為 Payload 投放節點,對防禦方而言構成顯著挑戰。傳統網路安全設備(如防火牆、代理伺服器、入侵偵測系統)普遍依賴網域聲譽評分機制,對已知惡意網域進行封鎖。然而,AWS S3 的儲存桶網址屬於 amazonaws.com 子網域,在絕大多數企業環境中被列為可信任的合法服務網域。
換言之,當受害者的瀏覽器向攻擊者控制的 S3 儲存桶發出 HTTPS 請求時,這筆流量在網路層面與員工日常使用 AWS 服務所產生的流量幾乎無從區分。Mandiant 研究人員特別指出,此類「寄生於合法雲端服務」(Living off Trusted Sites,LoTS)的手法,使攻擊者能夠有效規避傳統以網路聲譽為基礎的過濾機制。
Snow 惡意程式套件的雲端整合架構
成功植入後,AutoHotkey 腳本安裝 SnowBelt,一個不經由 Chrome 線上應用程式商店(Chrome Web Store)發布的惡意 Chromium 瀏覽器擴充套件。SnowBelt 在無頭(Headless)Microsoft Edge 實例中靜默執行,受害者不會察覺任何異狀,並透過排程工作(Scheduled Task)與啟動資料夾捷徑建立持久性(Persistence)。
SnowBelt 的核心功能在於作為持久化機制與指令中繼層,負責將攻擊者的指令傳遞至基於 Python 開發的後門程式 SnowBasin。指令傳遞管道由另一工具 SnowGlaze 建立的 WebSocket 隧道(Tunnel)承載,用以掩蓋受感染主機與 C2 基礎設施之間的通訊特徵。SnowGlaze 同時支援 SOCKS 代理操作,允許任意 TCP 流量透過受感染主機進行路由。
SnowBasin 在本機啟動一個 HTTP 伺服器,執行攻擊者下達的 CMD 或 PowerShell 指令,並透過相同管道回傳結果。其功能涵蓋遠端 Shell 存取、資料竊取、檔案下載、截圖擷取與基本檔案管理操作。
憑證竊取與橫向移動
取得初始存取權限後,攻擊者以 Python 腳本掃描內網,探測 135、445 與 3389 等服務埠,並列舉本機管理員帳號。攻擊者隨後利用本機管理員帳號,透過 SnowGlaze 從受害系統發起遠端桌面協定(RDP)連線,抵達備份伺服器。
在備份伺服器上,攻擊者傾卸 LSASS(Local Security Authority Subsystem Service)處理程序記憶體,提取系統中所有曾登入帳號的使用者名稱、密碼與雜湊值(Hash),再透過 LimeWire 工具將記憶體內容匯出,並使用進攻性安全工具(Offensive Security Tool)提取憑證。
最終,UNC6692 運用雜湊傳遞技術橫向移動至網域控制器,部署 FTK Imager 擷取 Active Directory 資料庫,連同 SYSTEM、SAM 與 SECURITY 登錄區一併竊出,實現對整個網域憑證資料的全面掌控。
防禦建議
Mandiant 研究人員強調,面對此類攻擊手法,防禦者必須將監控範圍從傳統的處理程序行為擴展至瀏覽器活動與非預期的雲端流量。以下為針對技術團隊的具體建議:
- 稽核瀏覽器擴充套件:定期盤點端點上已安裝的擴充套件,對非來自官方商店、以無頭模式執行的擴充套件應優先調查。
- 監控非預期的 AWS 流量:建立雲端流量基準線,對存取非常用 S3 儲存桶網址的端點行為設定告警規則。
- 偵測 AutoHotkey 與 Python 異常執行:針對由瀏覽器程序衍生的 AutoHotkey 或 Python 執行事件設定偵測規則。
- 保護 LSASS 記憶體:啟用 Windows Credential Guard 及 LSASS 保護模式,限制非授權程序存取 LSASS 記憶體。
- 部署 YARA 規則:Mandiant 報告已提供針對 Snow 工具集的 YARA 規則與入侵指標(Indicators of Compromise,IOC),建議立即導入EDR及SIEM平台進行比對偵測。