Cybersecurity-onderzoekers hebben een nieuwe phishing-campagne onthuld die zich richt op Europese bedrijven met als doel accountreferenties te verzamelen en de controle over de Microsoft Azure-cloudinfrastructuur van de slachtoffers over te nemen.
De campagne heeft door Palo Alto Networks Unit 42 de codenaam HubPhish gekregen vanwege misbruik van HubSpot-tools in de aanvalsketen. Doelstellingen omvatten ten minste 20.000 gebruikers van de auto-, chemische en industriële samenstellingenproductie in Europa.
“De phishing-pogingen van de campagne bereikten hun hoogtepunt in juni 2024, met valse formulieren gemaakt met behulp van de HubSpot Free Form Builder-service”, zeiden beveiligingsonderzoekers Shachar Roitman, Ohad Benyamin Maimon en William Gamazo in een rapport gedeeld met The Hacker News.
Bij de aanvallen worden phishing-e-mails verzonden met lokmiddelen met een Docusign-thema, waarin ontvangers worden aangespoord een document te bekijken, waarna gebruikers worden omgeleid naar kwaadaardige HubSpot Free Form Builder-links, vanwaar ze naar een valse Office 365 Outlook Web App-inlogpagina worden geleid om gegevens te stelen hun geloofsbrieven.
Eenheid 42 zei dat het niet minder dan 17 werkende vrije formulieren heeft geïdentificeerd die worden gebruikt om slachtoffers door te sturen naar verschillende door bedreigingsactoren gecontroleerde domeinen. Een aanzienlijk deel van deze domeinen werd gehost op het “.buzz” topniveaudomein (TLD).
“De phishing-campagne werd gehost via verschillende diensten, waaronder Bulletproof VPS-host”, aldus het bedrijf. “(De bedreigingsacteur) gebruikte deze infrastructuur ook om toegang te krijgen tot gecompromitteerde Microsoft Azure-tenants tijdens de accountovernameoperatie.”
Nadat ze met succes toegang tot een account hadden verkregen, bleek dat de dreiging achter de campagne een nieuw apparaat onder hun controle aan het account zou toevoegen om zo persistentie tot stand te brengen.
“Dreigingsactoren hebben de phishing-campagne erop gericht de Microsoft Azure-cloudinfrastructuur van het slachtoffer te targeten via aanvallen op het verzamelen van inloggegevens op de eindpuntcomputer van het phishing-slachtoffer”, aldus Unit 42. “Ze volgden deze activiteit vervolgens met zijdelingse bewegingsoperaties naar de cloud.”
De ontwikkeling komt nadat aanvallers zijn opgemerkt die zich voordoen als SharePoint in phishing-e-mails die zijn ontworpen om een informatiestelende malwarefamilie te leveren genaamd XLoader (een opvolger van Formbook).
Phishing-aanvallen vinden ook steeds vaker nieuwe manieren om e-mailbeveiligingsmaatregelen te omzeilen, waarvan de meest recente het misbruik zijn van legitieme diensten zoals Google Agenda en Google Tekeningen, evenals het spoofen van merken van e-mailbeveiligingsproviders, zoals Proofpoint, Barracuda Networks, Mimecast en Virtu.
Degenen die misbruik maken van het vertrouwen dat verband houdt met Google-services, omvatten het verzenden van e-mails met een kalenderbestand (.ICS) met een link naar Google Forms of Google Tekeningen. Gebruikers die op de link klikken, worden gevraagd op een andere link te klikken, meestal vermomd als een reCAPTCHA- of ondersteuningsknop. Zodra op deze link wordt geklikt, worden de slachtoffers doorgestuurd naar valse pagina’s die financiële oplichting plegen.
Gebruikers wordt geadviseerd om de instelling ‘bekende afzenders’ in Google Agenda in te schakelen om zich te beschermen tegen dit soort phishing-aanvallen.