Istraživači cyber sigurnosti otkrili su novu phishing kampanju koja je ciljala evropske kompanije s ciljem prikupljanja krendicijala računa i preuzimanja kontrole nad Microsoft Azure cloud infrastrukturom žrtava.
Kampanja je dobila kodni naziv HubPhish od strane Palo Alto Networks Unit 42 zbog zloupotrebe HubSpot alata u lancu napada. Ciljevi uključuju najmanje 20.000 korisnika u proizvodnji automobilskih, hemijskih i industrijskih smeša u Evropi.
“Pokušaji krađe identiteta u kampanji dostigli su vrhunac u junu 2024., s lažnim obrascima kreiranim pomoću usluge HubSpot Free Form Builder”, rekli su istraživači sigurnosti Shachar Roitman, Ohad Benyamin Maimon i William Gamazo u izvještaju podijeljenom za The Hacker News.
Napadi uključuju slanje phishing e-poruka s mamcima na temu Docusign koji pozivaju primaoce da pogledaju dokument, koji zatim preusmjerava korisnike na maliciozne veze HubSpot Free Form Builder , odakle ih vode na lažnu stranicu za prijavu na Office 365 Outlook Web App kako bi ukrali njihove akreditive.
Kao što Jedinica 42 ističe, niti HubSpot nije bio kompromitovan tokom phishing kampanje, niti su linkovi Free Form Builder isporučeni ciljanim žrtvama putem infrastrukture korisničke platforme.
Kompanija je saopštila da je identifikovala ne manje od 17 slobodnih obrazaca koji rade na besplatnim formularima koji se koriste za preusmeravanje žrtava na različite domene koje kontrolišu hakeri. Značajan dio tih domena bio je hostovan na “.buzz” domenu najvišeg nivoa (TLD).
„Kampanja za krađu identiteta bila je hostovana na različitim servisima, uključujući Bulletproof VPS host“, kažu iz kompanije. „[Haker] je takođe koristio ovu infrastrukturu za pristup kompromitovanim Microsoft Azure zakupcima tokom operacije preuzimanja naloga.“
Nakon uspješnog pristupa nalogu, utvrđena je prijetnja koja stoji iza kampanje za dodavanje novog uređaja pod njihovom kontrolom na račun kako bi se uspostavila postojanost.
“Učesnici prijetnji usmjerili su kampanju phishinga da cilja žrtvinu Microsoft Azure cloud infrastrukturu putem napada prikupljanja akreditiva na krajnji računar žrtve phishinga”, navodi Jedinica 42. “Potom su ovu aktivnost pratili operacijama bočnog kretanja do cloud-a.”
Razvoj dolazi kada su napadači uočeni kako se imitiraju kao SharePoint u phishing emailovima koji su dizajnirani da isporuče familiju malvera za krađu informacija pod nazivom XLoader (nasljednik Formbook-a).
Napadi krađe identiteta takođe sve više pronalaze nove načine da zaobiđu sigurnosne mjere e-pošte, a posljednji među njima je zloupotreba legitimnih usluga kao što su Google Kalendar i Google crteži , uklanjanje URL protokola (HTTP/HTTPS) iz ugrađenih veza u e-porukama, kao i lažiranje brendovi provajdera sigurnosti e-pošte, kao što su Proofpoint, Barracuda Networks, Mimecast i Virtru.
Oni koji iskorištavaju povjerenje povezano s Google-ovim uslugama uključuju slanje e-pošte uključujući kalendarski (.ICS) fajl sa vezom na Google Forms ili Google crteže. Korisnici koji kliknu na vezu bivaju upitani da kliknu na drugu, koja je obično maskirana kao reCAPTCHA ili dugme za podršku. Kada se klikne na ovu vezu, žrtve se prosleđuju na lažne stranice koje vrše finansijske prevare.
Kako bi napadima dodatno dali prsten autentičnosti, hakeri šalju pozivnice za sastanke koje sadrže maliciozni link putem Kalendara, čime u potpunosti zaobilaze alate za sigurnost e-pošte. Korisnicima se savjetuje da omoguće postavku “poznati pošiljaoci” u Google kalendaru kako bi se zaštitili od ove vrste phishing napada.
(Priča je ažurirana nakon objavljivanja kako bi se naglasilo da kampanja nije uključivala kompromis HubSpot-a ili njegove infrastrukture.)
Izvor:The Hacker News