网络安全研究人员披露了一个针对欧洲公司的新型网络钓鱼活动,其目的是获取账户凭证并控制受害者的微软 Azure 云基础设施。
由于在攻击链中滥用了 HubSpot 工具,Palo Alto Networks Unit 42 将该活动命名为 HubPhish。目标包括欧洲至少 2 万名汽车、化工和工业化合物制造用户。
安全研究人员 Shachar Roitman、Ohad Benyamin Maimon 和 William Gamazo 在与 The Hacker News 分享的一份报告中说:“该活动的网络钓鱼尝试在 2024 年 6 月达到顶峰,使用 HubSpot Free Form Builder 服务创建了虚假表单。”
这些攻击涉及发送带有 Docusign 主题诱饵的钓鱼电子邮件,诱使收件人查看文档,然后将用户重定向到恶意的 HubSpot Free Form Builder 链接,从那里将用户引导到伪造的 Office 365 Outlook Web App 登录页面,以窃取他们的凭据。
Unit 42称,它发现了不少于17个用于将受害者重定向到不同威胁行为者控制的域的有效免费表单。这些域中有很大一部分托管在“.buzz ”顶级域(TLD)上。
该公司表示:“钓鱼活动被托管在各种服务上,包括 Bulletproof VPS 主机。在账户接管行动中,[威胁者]还利用这一基础设施访问被入侵的 Microsoft Azure 租户。”
在成功访问一个账户后,已发现该活动背后的威胁会向该账户添加一个由其控制的新设备,以建立持久性。
“威胁者通过对网络钓鱼受害者的端点计算机进行凭证收集攻击,将网络钓鱼活动指向受害者的 Microsoft Azure 云基础设施,”42 小组说。“然后,他们在此活动之后向云进行横向移动操作。”
攻击者被发现在钓鱼邮件中冒充 SharePoint,旨在发送名为 XLoader(Formbook 的后继者)的信息窃取恶意软件系列。
网络钓鱼攻击也越来越多地找到绕过电子邮件安全措施的新方法,其中最新的方法是滥用谷歌日历和谷歌绘图等合法服务,以及欺骗电子邮件安全提供商品牌,如 Proofpoint、Barracuda Networks、Mimecast 和 Virtru。
那些利用与谷歌服务相关的信任的病毒会发送包含日历(.ICS)文件和谷歌表单或谷歌绘图链接的电子邮件。点击该链接的用户会被提示点击另一个链接,该链接通常伪装成重新验证码或支持按钮。一旦点击该链接,受害者就会被转发到实施金融诈骗的虚假页面。
建议用户在谷歌日历中启用 “已知发件人 ”设置,以防范此类网络钓鱼攻击。
发表评论
您还未登录,请先登录。
登录