O campanie de phishing care vizează companii din industria auto, chimică și de producție industrială din Germania și Marea Britanie abuzează de platforma HubSpot pentru a fura datele de conectare la conturile Microsoft Azure.
Actorii de amenințare folosesc linkuri de la HubSpot Free Form Builder și fișiere PDF care imită DocuSign pentru a redirecționa victimele către pagini de colectare a datelor de conectare.
Potrivit echipei de cercetare Unit 42 a Palo Alto Networks, campania, care a început în iunie 2024 și a rămas activă cel puțin până în septembrie 2024, a compromis aproximativ 20.000 de conturi.
„Telemetria noastră indică faptul că actorul de amenințare a vizat cu succes aproximativ 20.000 de utilizatori din diverse companii europene,” explică raportul Unit 42 de la Palo Alto.
HubSpot este o platformă legitimă de gestionare a relațiilor cu clienții (CRM) folosită în automatizarea marketingului, vânzărilor, serviciului pentru clienți, analitică și construirea de site-uri web și pagini de aterizare.
Form Builder este o funcție care le permite utilizatorilor să creeze formulare online personalizate pentru a captura informații de la vizitatorii site-ului web.
În campania de phishing urmărită de Unit 42, actorii de amenințare au exploatat Form Builder de la HubSpot pentru a crea cel puțin șaptesprezece formulare înșelătoare pentru a atrage victimele să furnizeze date de conectare sensibile în etapa următoare.
Deși infrastructura HubSpot în sine nu a fost compromisă, a fost folosită ca un pas intermediar pentru a direcționa victimele către site-uri controlate de atacatori pe domenii ‘.buzz’, imitând paginile de conectare Microsoft Outlook Web App și Azure.
Pagini web care imită sistemul de gestionare a documentelor DocuSign, birourile notariale franceze și portalurile de conectare specifice organizațiilor au fost de asemenea utilizate în atacuri.
Victimele au fost direcționate către acele pagini printr-un mesaj de phishing marca DocuSign care conținea linkuri către HubSpot, fie într-un fișier PDF atașat, fie în HTML încorporat.
Deoarece e-mailurile conțin linkuri către un serviciu legitim (HubSpot), ele nu sunt de obicei semnalate de instrumentele de securitate a e-mailului, astfel că au mai multe șanse să ajungă în cutiile poștale ale țintelor.
Cu toate acestea, e-mailurile de phishing asociate cu această campanie au eșuat în verificările Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) și Domain-based Message Authentication, Reporting, and Conformance (DMARC).
În cazurile de atacuri reușite observate de cercetători, actorii de amenințare au folosit VPN-uri pentru a părea că se află în țara organizației victimizate.
„Atunci când IT-ul a preluat controlul asupra contului, atacatorul a inițiat imediat o resetare a parolei, încercând să-și recupereze controlul,” descriu cercetătorii de la Unit 42.
„Acest lucru a creat un scenariu de luptă în care ambele părți s-au luptat pentru controlul asupra contului.”
Unit 42 a identificat și un număr autonom de sistem (ASN) nou utilizat în campanie, care poate fi folosit pentru identificarea amenințărilor împreună cu șiruri de agent de utilizator specifice și neobișnuite.
Deși majoritatea serverelor care au servit drept suport pentru campania de phishing au fost dezactivate de mult timp, activitatea reprezintă încă un alt exemplu de abuz al serviciilor legitime, întrucât actorii de amenințare explorează constant noi căi de a evita instrumentele de securitate.
API-ul pentru plicuri de la DocuSign abuzat pentru a trimite facturi false realiste
Noi e-mailuri de încălcare a datelor Ledger încearcă să fure portofele de criptomonede
Îți poți îmbunătăți cariera cu acest pachet de cursuri Azure la doar 39,99 dolari
Problemele cu serviciul Microsoft 365 duc la căderea aplicațiilor web Office, centrul de administrare
În interiorul incidentului: Descoperirea unui atac de phishing avansat
Leave a Reply