Snow-haittaohjelma leviää Teams-puheluilla — hyökkääjät esiintyvät IT-tukena

Googlen uhkatiedusteluryhmä Mandiant on paljastanut uuden hyökkääjäryhmän, joka esiintyy IT-tukihenkilönä Microsoft Teams -puheluissa ja asentaa uhrien koneille monivaiheisen Snow-haittaohjelmiston. UNC6692-nimellä seurattu ryhmä on toiminut joulukuusta 2025 lähtien, ja 77 prosenttia sen kohteista on ollut organisaatioiden johtotason henkilöitä.

Miten hyökkäys etenee

Mandiantin raportin mukaan hyökkäys alkaa massiivisella roskapostitulvalla, joka täyttää uhrin sähköpostilaatikon hetkessä. Tämän jälkeen hyökkääjä ottaa yhteyttä Teams-puhelulla ja tarjoutuu auttamaan roskapostiongelman ratkaisemisessa. Hyökkääjä esiintyy organisaation IT-tukena tai Microsoftin edustajana.

Uhri ohjataan väärennetylle "Mailbox Repair Utility" -sivulle, joka on isännöity Amazonin pilvipalvelussa. Sivusto kerää uhrin tunnukset ja lataa koneelle haittaohjelman.

Snow-haittaohjelmistoon kuuluu kolme osaa:

• SNOWBELT — Chromium-selainlaajennus, joka naamioituu nimellä "MS Heartbeat" tai "System Heartbeat". Toimii pysyvyysmekanismina ja välittää komentoja hyökkääjälle.
• SNOWGLAZE — Python-pohjainen tunnelointiohjelma, joka luo WebSocket-yhteyden uhrin verkon ja hyökkääjän välille. Mahdollistaa mielivaltaisen verkkoliikenteen ohjaamisen uhrin verkon kautta.
• SNOWBASIN — Takaovi, joka mahdollistaa etähallinnan, kuvakaappaukset, tiedostojen hallinnan ja tietojen varastamisen.

Hyökkäyksen jälkeen UNC6692 liikkuu organisaation verkossa, varastaa Active Directory -tietokantoja ja kohdistaa hyökkäyksiä varmuuskopiointipalvelimiin.

Suomalainen yhteys

Kyberturvallisuuskeskus varoitti elokuussa 2025 täsmälleen samankaltaisesta hyökkäysmallista: IT-tukena esiintyvät hyökkääjät lähestyvät suomalaisia organisaatioita Teams-puheluilla ja pyytävät etäyhteyttä uhrin koneeseen. Kyberturvallisuuskeskuksen mukaan hyökkäyksissä käytettiin englannin kieltä ja kohdistettiin erityisesti henkilöihin, joiden Teams-asetukset sallivat ulkoiset yhteydet.

Microsoft Teams on suomalaisten yritysten ja julkishallinnon käytetyin viestintäalusta, mikä tekee tästä hyökkäysmallista erityisen merkityksellisen. Microsoft 365 -tilimurrot ovat jo ennestään yksi merkittävimmistä kyberuhkista suomalaisille organisaatioille — Kyberturvallisuuskeskukselle ilmoitettiin vuoden 2025 aikana 330 tilimurto- tai tietojenkalastelutapausta. UNC6692:n kaltainen hyökkäys, joka ohittaa sähköpostisuodattimet kokonaan siirtymällä Teams-kanavaan, tekee perinteisestä kalastelun torjunnasta riittämätöntä.

Tunnistusmerkit

• Sähköpostilaatikkoon ilmestyy yhtäkkiä suuri määrä roskapostia
• Pian roskapostitulvan jälkeen joku ottaa yhteyttä Teamsissa ja tarjoutuu auttamaan
• Teams-puhelu tulee organisaation ulkopuoliselta taholta
• Sinua pyydetään asentamaan selainlaajennus tai lataamaan työkalu
• Apua tarjoava henkilö puhuu englantia

Mitä tehdä

Organisaatiot:

• Rajoittakaa Teamsin ulkoiset yhteydet — oletusasetuksilla kuka tahansa ulkopuolinen voi soittaa tai lähettää viestejä
• Estäkää selainlaajennusten vapaa asentaminen ryhmäkäytäntöjen tai päätelaitehallinnan avulla
• Kouluttakaa erityisesti johtoa: aito IT-tuki ei koskaan pyydä asentamaan selainlaajennuksia tai lataamaan ohjelmia puhelun aikana
• Valvokaa epätavallisia WebSocket-yhteyksiä ja Python-prosesseja

Yksittäiset käyttäjät:

• Jos sähköpostilaatikkosi täyttyy yhtäkkiä roskapostista ja joku tarjoutuu auttamaan Teamsissa, kyseessä on todennäköisesti hyökkäys. Ilmoita asiasta IT-tuelle välittömästi.
• Älä koskaan anna etäyhteyttä koneeseesi tuntemattomalle henkilölle
• Ilmoita epäilyttävistä yhteydenotoista Kyberturvallisuuskeskukselle osoitteessa ilmoita.kyberturvallisuuskeskus.fi

Jos olet jo uhri:

• Irrota kone verkosta välittömästi ja ota yhteyttä organisaatiosi IT-tukeen
• Vaihda kaikki salasanasi puhtaalta laitteelta
• Tee rikosilmoitus osoitteessa poliisi.fi
• Rikosuhripäivystys tarjoaa tukea numerossa 116 006