MadmxShell развернут с помощью троянской программы установки GlobalProtect

security

Компания Palo Alto расследовала несколько недавних случаев, когда злоумышленники использовали Microsoft Teams.

Описание

  • Злоумышленники связываются с потенциальными жертвами через Teams и выдают себя за сотрудников службы поддержки жертвы.
  • Они пытаются убедить потенциальных жертв запустить троянскую программу установки GlobalProtect.
  • GlobalProtect - это защищенное решение VPN/удаленного доступа для клиентов Palo Alto Networks.
  • Эта волна атак затрагивает следующие домены и полностью определенные доменные имена (FQDN):
    • Домены легитимных серверов, скомпрометированных злоумышленниками:
      • cristox[.]cl
      • deuscapacitaciones[.]cl
      • parusiafm[.]cl
      • pathernostrum[.]org
      • sancupertino[.]cl
    • FQDN от легитимных сервисов, которыми злоупотребляют злоумышленники:
      • helpdesklocal.onmicrosoft[.]com - первое публичное сообщение: 2025-04-24
      • ithelpdepartment.onmicrosoft[.]com - пока нет публичных сообщений
      • pathernostrum.onmicrosoft[.]com - пока не обнародовано.
  •  Palo Alto наблюдали адреса электронной почты, начинающиеся с «andrewhelpdesk», из связанных с ними звонков в Teams.

Подробности:

  • Получив доступ к узлу жертвы, злоумышленник загружает и запускает файл с именем globalprotect.msi.
  • Это троянский установщик с легитимной версией Global Protect.
  • Этот установщик настроен через командную строку на использование C2-сервера по адресу live-up[.]co.
  • Впервые live-up[.]co был зарегистрирован в 2013 году и с тех пор разрешался на IP-адреса различных хостинг-провайдеров.
  • 2025-04-08, live-up[.]co начал преобразовываться в 164.92.67[.]56 незадолго до начала этих атак.
  • Файл globalprotect.msi порождает закодированный сценарий PowerShell для загрузки дополнительного вредоносного ПО, которое приводит к появлению MadMXShell.
  • Palo Alto обнаружили новые образцы MadMxShell, которые используют HTTPS или DNS через HTTPS для C2-трафика.

Индикаторы компрометации

IPv4

  • 107.170.37.233
  • 161.35.151.75
  • 164.92.67.56
  • 45.61.136.214
  • 45.61.136.238

Domains

  • dnscomp.com
  • helpdesk-rating.com
  • leafinet.com
  • netsapi.com
  • nodicomtel.com
  • okoqi.com
  • vaihonet.com
  • vpn.fastcall.cc
  • vpn-pa.com
  • vpnpalo.com
  • webtpd.com
  • zehful.com
Комментарии: 0