近日,网络安全研究人员披露了一项针对欧洲公司的新型网络钓鱼活动,旨在窃取账户凭证并控制受害者的 Microsoft Azure 云基础设施。
Palo Alto Networks Unit 42 将该活动命名为 HubPhish,因为攻击链中滥用了 HubSpot 工具。受害者包括至少 20,000 名来自汽车、化学和工业复合材料制造领域的欧洲用户。
“该钓鱼活动在 2024 年 6 月达到了高峰,利用 HubSpot 免费表单构建器服务创建了虚假表单,”安全研究人员 Shachar Roitman、Ohad Benyamin Maimon 和 William Gamazo 在一份与《The Hacker News》共享的报告中表示。
这些攻击通过伪装成 Docusign 的钓鱼邮件,诱使收件人查看文档,随后将用户重定向到恶意的 HubSpot 免费表单构建器链接,从那里再引导到一个假的 Office 365 Outlook Web App 登录页面,以窃取用户的凭证。
Unit 42 发现至少 17 个有效的免费表单,用户点击后被重定向到多个由攻击者控制的恶意域名。其中,大部分域名托管在 “.buzz” 顶级域(TLD)上。
“钓鱼活动托管在多个平台上,包括 Bulletproof VPS 主机,”该公司表示。“[攻击者] 还利用这些基础设施访问了被攻击的 Microsoft Azure 租户,在账户接管操作中进行进一步渗透。”
在成功访问账户后,攻击者会在账户中添加一个新设备以确保持续控制。
“攻击者通过钓鱼活动针对受害者的 Microsoft Azure 云基础设施,利用凭证盗窃攻击从受害者的终端设备获取凭证,”Unit 42 解释道。“随后,他们通过横向渗透操作进入云端。”
此事的披露与攻击者冒充 SharePoint 进行的钓鱼邮件活动有关,目的是传播一种名为 XLoader 的信息盗窃者恶意软件,它是 Formbook 的继任者。
钓鱼攻击也在不断演变,采用新颖的方法绕过电子邮件安全措施。最新的攻击方式包括滥用 Google 日历和 Google 绘图等合法服务,以及伪造电子邮件安全供应商品牌,如 Proofpoint、Barracuda Networks、Mimecast 和 Virtru。
这些利用 Google 服务信任的攻击通常会发送包含日历(.ICS)文件的邮件,文件内有指向 Google Forms 或 Google Drawings 的链接。点击该链接后,用户会被引导到另一个链接,通常伪装成 reCAPTCHA 或支持按钮。一旦点击,受害者将被转发到假页面,进行财务诈骗。
消息来源:The Hacker News, 编译:zhongx;
本文由 HackerNews.cc 翻译整理,封面来源于网络;
转载请注明“转自 HackerNews.cc”并附上原文
暂无评论内容