Команда Sekoia по обнаружению и исследованию угроз обнаружила фишинговую кампанию с использованием HTML-вложений, имитирующих страницы входа в Microsoft 365.
Mamba 2FA
Эти фишинговые страницы использовали уязвимости многофакторной аутентификации (MFA) с помощью JavaScript-библиотеки Socket.IO для передачи данных между жертвой и внутренним сервером. Первоначально считалось, что эта кампания связана с фишинговой платформой Tycoon 2FA, но позже выяснилось, что в ней участвует новый фишинговый набор «противник посередине» (AiTM), получивший название Mamba 2FA.
Mamba 2FA, продаваемая как платформа «фишинг как услуга» (PhaaS), имеет фишинговые страницы, имитирующие различные сервисы Microsoft, такие как OneDrive и SharePoint, и может работать с методами MFA, не устойчивыми к фишингу. Похищенные учетные данные и куки сессии отправляются злоумышленникам через ботов Telegram. Набор рекламируется в Telegram, предлагая услугу по подписке за 250 долларов в месяц, с HTML-вложениями, перенаправляющими жертв на фишинговые сайты. Инфраструктура Mamba 2FA включает в себя домены-ссылки и ретрансляционные серверы, которые занимаются фишингом, а в последних обновлениях были добавлены прокси-серверы для сокрытия их IP-адресов в журналах аутентификации.
Indicators of Compromise
IPv4
- 172.86.104.178
- 172.86.104.33
- 172.86.104.64
- 172.86.105.59
- 172.86.105.72
- 172.86.106.94
- 172.86.64.212
- 172.86.96.128
- 172.86.96.84
- 172.86.97.165
- 172.86.97.78
- 23.26.206.99
- 23.26.35.67
- 45.61.130.11
- 45.61.169.4
- 45.86.54.206
- 45.9.153.102
IPv6
- 2607:5500:3000:1cab::2
- 2607:5500:3000:312::2
- 2607:5500:3000:7a5::2
- 2607:5500:3000:7bc::2
- 2607:5500:3000:a8c::2
- 2607:5500:3000:b16::2
- 2607:5500:3000:fea::2
Domains
- 10decadesmen.com
- 10trioneyue8ss.com
- 11beamgools.com
- 11cyclesforest.com
- 1messisnfarm.com
- 2moniunesson.com
- 3alphabetjay.com
- 4sessionmoon.com
- 5poleanalhy.com
- 6treesmangle.com
- 7motionmansa.com
- 88mansession.com
- 8boomandool.com
- 9cantronnfit.com
- ccokies1cakes.com
- ccokies2mangoes.com
- ccokies3tomatoes.com
- copefood.xyz
- copelustration.xyz
- fivemanchool.com
- fiveradio-newbam.com
- fourmanchurch.com
- fourthmanservice.com
- hypexfinancial.com
- m1tis-apicookies.com
- m2fes-apicookies.com
- m3mas-apicookies.com
- nine9manforest.com
- onemanforest.com
- planchereserver.com
- sevenmanjungle.com
- seven-oranges.com
- sithchibb.com
- sixmanteams.com
- tenetur.top
- tenetur.xyz
- thirdmandomavis.com
- threemanshop.com
- twomancake.com
- voltampereactive.com
- winss0conect.click
- winstnet80nss.cfd