Компания Palo Alto расследовала несколько недавних случаев, когда злоумышленники использовали Microsoft Teams.
Описание
- Злоумышленники связываются с потенциальными жертвами через Teams и выдают себя за сотрудников службы поддержки жертвы.
- Они пытаются убедить потенциальных жертв запустить троянскую программу установки GlobalProtect.
- GlobalProtect - это защищенное решение VPN/удаленного доступа для клиентов Palo Alto Networks.
- Эта волна атак затрагивает следующие домены и полностью определенные доменные имена (FQDN):
- Домены легитимных серверов, скомпрометированных злоумышленниками:
- cristox[.]cl
- deuscapacitaciones[.]cl
- parusiafm[.]cl
- pathernostrum[.]org
- sancupertino[.]cl
- FQDN от легитимных сервисов, которыми злоупотребляют злоумышленники:
- helpdesklocal.onmicrosoft[.]com - первое публичное сообщение: 2025-04-24
- ithelpdepartment.onmicrosoft[.]com - пока нет публичных сообщений
- pathernostrum.onmicrosoft[.]com - пока не обнародовано.
- Домены легитимных серверов, скомпрометированных злоумышленниками:
- Palo Alto наблюдали адреса электронной почты, начинающиеся с «andrewhelpdesk», из связанных с ними звонков в Teams.
Подробности:
- Получив доступ к узлу жертвы, злоумышленник загружает и запускает файл с именем globalprotect.msi.
- Это троянский установщик с легитимной версией Global Protect.
- Этот установщик настроен через командную строку на использование C2-сервера по адресу live-up[.]co.
- Впервые live-up[.]co был зарегистрирован в 2013 году и с тех пор разрешался на IP-адреса различных хостинг-провайдеров.
- 2025-04-08, live-up[.]co начал преобразовываться в 164.92.67[.]56 незадолго до начала этих атак.
- Файл globalprotect.msi порождает закодированный сценарий PowerShell для загрузки дополнительного вредоносного ПО, которое приводит к появлению MadMXShell.
- Palo Alto обнаружили новые образцы MadMxShell, которые используют HTTPS или DNS через HTTPS для C2-трафика.
Индикаторы компрометации
IPv4
- 107.170.37.233
- 161.35.151.75
- 164.92.67.56
- 45.61.136.214
- 45.61.136.238
Domains
- dnscomp.com
- helpdesk-rating.com
- leafinet.com
- netsapi.com
- nodicomtel.com
- okoqi.com
- vaihonet.com
- vpn.fastcall.cc
- vpn-pa.com
- vpnpalo.com
- webtpd.com
- zehful.com