欧洲公司受到有效的DocuSign主题网络钓鱼电子邮件的打击

据帕洛阿尔托网络第42单元的研究人员称，一个希望接管欧洲公司的微软Azure云基础设施的威胁行为者成功地泄露了不同公司多个受害者的帐户。

网络钓鱼活动

今年早些时候，欧洲（包括德国和英国）汽车、化工和工业化合物制造领域的公司约20,000名用户收到了网络钓鱼电子邮件。竞选活动在2024年6月达到顶峰。

这些电子邮件看起来像是审查和签署文档的DocuSign请求，并包含所附的启用DocuSign的PDF文件或嵌入式HTML链接。

两者都将受害者引导到恶意的HubSpot Free Form Builder链接和以下表单：

指向网络钓鱼OWA页面的自由表格（来源：PAN Unit 42）

研究人员确定了至少17种有效的自由形式。单击“在微软安全云上查看文档”按钮，潜在受害者会看到一个欺骗的Microsoft Outlook Web App（OWA）登录页面，该页面在不同的威胁行为者控制的域上，URL使用目标受害者组织的名称。

任何输入的登录凭据都由威胁行为者收集。

帐户接管尝试

“自由表单窗口中的措辞（…）表明网络钓鱼活动也针对微软帐户。第42单元的研究人员指出，我们验证了网络钓鱼活动确实尝试了几次连接到受害者的Microsoft Azure云基础设施。

通过分析从受害者那里收集的遥测数据，他们发现威胁者使用相同的托管基础设施进行多个有针对性的网络钓鱼操作，以及在帐户接管操作期间访问被入侵的Microsoft Azure租户。

研究人员指出：“[这]表明，威胁行为者拥有托管服务器，而不是租用或订阅共享的’托管’服务。”

攻击者使用被泄露的凭据，偶尔会使用VPN代理来模拟与受害组织来自同一国家的登录尝试。在帐户接管期间，他们还在受害者的帐户中添加了一台新设备，试图实现对帐户的持久访问，并启动密码重置。