文章总结： 本文分析了UNC6692黑客组织通过MicrosoftTeams进行钓鱼攻击的进阶渗透手法。攻击者先通过邮件轰炸制造紧急情况，再冒充IT支持人员诱导受害者下载恶意AHK脚本，利用无头Edge浏览器加载SNOWBELT扩展，进而部署SNOWBASIN后门和SNOWGLAZE隧道工具进行内网渗透、权限提升和数据窃取。建议加强协作工具安全策略、严格验证流程并监控可疑行为。 综合评分： 85 文章分类： 渗透测试,红队,内网渗透,威胁情报,应急响应

邮件轰炸+Teams钓鱼？一文带你打透UNC6692的进阶渗透手法

原创

Kit Chung Kit Chung

安全圈动向

2026年4月27日 08:04 广东

在小说阅读器读本章

去阅读

哈喽兄弟们，今天咱们来聊个实战案例。

过去咱们防钓鱼，主要盯死邮件附件和可疑链接。但现在的黑客组织，套路玩得是越来越深了。最近，Google旗下的Mandiant披露了一个代号为 UNC6692 的新型威胁活动集群。这帮家伙不走寻常路，直接把黑手伸向了我们每天都在用的办公协同软件——Microsoft Teams。

他们不仅玩了一手极为丝滑的“连环社工”，还部署了一套非常硬核的自定义恶意软件矩阵（SNOW全家桶）。今天我就带大家一层层剥开这个攻击链路，看看他们到底是怎么绕过重重防御，把内网底裤给扒光的。

01 攻击的起点：社工遇上“连环套”

很多近期的入侵事件都有个共性：攻击者非常喜欢冒充IT Helpdesk（技术支持）人员。 UNC6692 的套路堪称经典教科书。他们首先发动一场大规模的邮件轰炸，瞬间塞爆高管或高级员工的收件箱，人为制造一种“系统崩溃、极其紧急”的假象。

就在受害者焦头烂额的时候，攻击者顺理成章地通过 Microsoft Teams 发来一条私聊：“您好，我是IT部门的，检测到您的邮箱出现异常，需要协助处理吗？”

在这种高压环境下，加上是对公通信工具Teams，受害者的防备心几乎降到了零。据ReliaQuest的报告，这种战术最初由前 Black Basta 勒索软件成员发扬光大，且极具杀伤力——甚至有受害者在收到消息后仅29秒就开始了互动。

02 初始突破：免杀AHK与“无头”Edge浏览器的暗战

一旦受害者上钩，真正的技术对抗就开始了。

传统的思路是骗受害者装个向日葵或者TeamViewer，但UNC6692的做法更隐蔽。他们会通过Teams发一个名为“Mailbox Repair and Sync Utility v2.1.5（邮箱修复与同步工具）”的钓鱼链接，诱导受害者安装所谓的“本地补丁”。

点击链接后，会从攻击者控制的 AWS S3 存储桶下载一个 AutoHotkey (AHK) 脚本。

技术高光时刻： 为什么用AHK？因为它可以极好地规避自动化沙箱的检测。这个AHK脚本扮演着“看门狗（Gatekeeper）”的角色，它会先做本地侦察，确认是不是目标环境。

最秀的操作来了：如果确认环境没问题，脚本会调用受害者的 Edge 浏览器，利用 --load-extension 命令行参数，在无头模式（Headless Mode，即后台静默运行，无图形界面）下，强制加载一个名为 SNOWBELT 的恶意基于 Chromium 的浏览器扩展。

如果检测到受害者没用 Edge？钓鱼页面还会弹出一个持久性的覆盖警告，逼你换浏览器。这波操作，直接把合法工具变成了武器，把免杀玩到了极致。

03 核心武器库：硬核拆解 SNOW 恶意矩阵

UNC6692 的主战武器不是单一的木马，而是一个模块化的工具包。通过前面的 AHK 脚本，攻击者会进一步拉取一个包含便携式 Python 环境及其依赖库的 ZIP 压缩包，彻底激活 SNOW 生态系统。

这个矩阵主要由三个模块组成，配合得天衣无缝：

• SNOWBELT（神经末梢）：

  这是一个基于 JavaScript 的后门扩展。它的作用是接收指令，并把这些指令中继给本地的 SNOWBASIN 执行。

• SNOWBASIN（执行核心）：

  这是一个常驻后门，作为本地 HTTP 服务器运行在 8000、8001 或 8002 端口上。它能干啥？通过 cmd.exe 或 powershell.exe 执行远程命令、截屏、上传/下载文件。

• SNOWGLAZE（隐蔽通道）：

  这是一个基于 Python 的隧道工具。它在受害者的内网与攻击者的 C2（命令与控制）服务器之间，建立起一个经过身份验证的 WebSocket 隧道。

💡 架构解析： 攻击者不需要直接暴露C2，他们通过云端服务中转，利用 WebSocket 这种常驻且合法的协议穿透防火墙，再由本地的 HTTP Server（SNOWBASIN）执行具体的系统级指令。这种“扩展(JS) -> 本地服务(Python) -> 隧道穿透”的架构，极大地增加了取证和网络流量分析的难度。

同时，钓鱼页面还会弹出一个包含“健康检查”按钮的配置管理面板，诱骗用户输入邮箱凭据。这些凭据会被直接打包，通过 S3 存储桶静默外发。

04 后渗透狂欢：内网漫游与数据洗劫

拿到初始访问权限（Initial Access）后，UNC6692 展现出了极其老道的内网渗透手法，基本是一套标准的 APT 级打法：

1. 探测与横向移动：

   使用 Python 脚本扫描内网的 135、445 和 3389 端口。利用前面建好的 SNOWGLAZE WebSocket 隧道，直接起 PsExec 会话，甚至反向 RDP 连接到内网的备份服务器。

2. 权限提升 (Privesc)：

   没用什么花哨的漏洞，直接利用本地管理员账户，通过 Windows 自带的任务管理器（Task Manager）Dump 出 LSASS 进程内存。这是非常经典的 LoLBin（离地掩护）操作，防病毒软件往往很难拦截系统自带工具的动作。

3. 哈希传递 (Pass-The-Hash) 与拖库：

   拿到高权限凭据后，直接 PtH 横向平移到域控 (Domain Controller)。接着，下载大名鼎鼎的取证工具 FTK Imager 来抓取敏感数据（比如直接拖走 Active Directory 的 NTDS.dit 数据库文件）。

4. 数据外发 (Exfiltration)：

   最后，他们居然用古早的 LimeWire 文件上传工具，把窃取的数据顺滑地传输出去。

05 防御建议

看完整个链路，不得不感叹，UNC6692 这波操作把社会工程学、自定义模块化恶意软件、合法云服务滥用融合得极其巧妙。他们把恶意载荷托管在 AWS S3 等受信任的云平台上，成功绕过了传统的网络信誉过滤器，混迹于海量的合法云流量中。

正如网络安全公司 Cato Networks 在分析类似的 PhantomBackdoor 案例时所说，通过 Teams 发起的假冒技术支持，正在逐渐取代传统的邮件附件钓鱼，但最终导向的都是：PowerShell 落地执行 + WebSocket 后门持久化。

给各位安全同行的建议：

• 协作工具不再是安全区：

  请把 Teams、钉钉、飞书等工具视为一级的攻击面，必须收紧外部通信和屏幕共享权限。

• 强化 IT Helpdesk 验证流程：

  建立严格的双重认证机制，不让“伪装网管”有可乘之机。

• 收敛 PowerShell 与本地行为：

  监控无头浏览器的启动参数（如 --load-extension），严控利用任务管理器 dump LSASS 这种危险行为。

技术在演进，黑客的剧本也在迭代。与其被动挨打，不如把这些硬核的攻击手法拆解吃透，把防御做到前面去。兄弟们，咱们下期见！

免责声明：

本文所载程序、技术方法仅面向合法合规的安全研究与教学场景，旨在提升网络安全防护能力，具有明确的技术研究属性。

任何单位或个人未经授权，将本文内容用于攻击、破坏等非法用途的，由此引发的全部法律责任、民事赔偿及连带责任，均由行为人独立承担，本站不承担任何连带责任。

本站内容均为技术交流与知识分享目的发布，若存在版权侵权或其他异议，请通过邮件联系处理，具体联系方式可点击页面上方的联系我。

本文转载自：安全圈动向 Kit Chung Kit Chung《邮件轰炸+Teams钓鱼？一文带你打透UNC6692的进阶渗透手法》