Siber güvenlik araştırmacıları, hesap kimlik bilgilerini toplamak ve kurbanların Microsoft Azure bulut altyapısının kontrolünü ele geçirmek amacıyla Avrupa şirketlerini hedef alan yeni bir kimlik avı kampanyasını ortaya çıkardı.
Saldırı zincirinde HubSpot araçlarının kötüye kullanılması nedeniyle kampanya, Palo Alto Networks Unit 42 tarafından HubPhish olarak kodlandı. Hedefler, Avrupa’da en az 20.000 otomotiv, kimya ve endüstriyel bileşik imalat kullanıcısını içermektedir.
Güvenlik araştırmacıları Shachar Roitman, Ohad Benyamin Maimon ve William Gamazo, “Kampanyanın kimlik avı girişimleri, HubSpot Serbest Form Oluşturucu hizmeti kullanılarak oluşturulan sahte formlarla Haziran 2024’te zirveye ulaştı.” söz konusu The Hacker News ile paylaşılan bir raporda.
Saldırılar, alıcıları bir belgeyi görüntülemeye teşvik eden ve daha sonra kullanıcıları kötü amaçlı yazılımlara yönlendiren Docusign temalı tuzaklarla kimlik avı e-postaları göndermeyi içeriyor. HubSpot Serbest Form Oluşturucu bağlantılarıKimlik bilgilerini çalmak için sahte bir Office 365 Outlook Web App oturum açma sayfasına yönlendiriliyorlar.
Birim 42, kurbanları tehdit aktörlerinin kontrolündeki farklı alanlara yönlendirmek için kullanılan en az 17 çalışan Serbest Form tespit ettiğini söyledi. Bu alan adlarının önemli bir kısmı “.buzz” üst düzey alanında (TLD) barındırılıyordu.
Şirket, “Kimlik avı kampanyasının, Bulletproof VPS ana bilgisayarı da dahil olmak üzere çeşitli hizmetlerde barındırıldığını” söyledi. “[The threat actor] hesap devralma işlemi sırasında güvenliği ihlal edilmiş Microsoft Azure kiracılarına erişmek için de bu altyapıyı kullandı.”
Bir hesaba başarılı bir erişim elde edildikten sonra, kampanyanın arkasındaki tehdidin, kalıcılığı sağlamak için hesaba kendi kontrolü altında yeni bir cihaz eklemesi olduğu tespit edildi.
Birim 42, “Tehdit aktörleri, kimlik avı kampanyasını, kimlik avı kurbanının uç nokta bilgisayarındaki kimlik bilgileri toplama saldırıları yoluyla kurbanın Microsoft Azure bulut altyapısını hedef alacak şekilde yönlendirdi” dedi. “Daha sonra bu aktiviteyi buluta doğru yanal hareket operasyonlarıyla takip ettiler.”
Gelişme, saldırganların benekli XLoader (Formbook’un halefi) adı verilen, bilgi çalan bir kötü amaçlı yazılım ailesi sunmak üzere tasarlanmış kimlik avı e-postalarında SharePoint’in kimliğine bürünmek.
Kimlik avı saldırıları, e-posta güvenlik önlemlerini aşmanın yeni yollarını da giderek daha fazla buluyor; bunların en sonuncusu, meşru hizmetlerin kötüye kullanılmasıdır. Google Takvim ve Google Çizimlerve ayrıca Proofpoint, Barracuda Networks, Mimecast ve Virtru gibi e-posta güvenlik sağlayıcısı markalarını yanıltmak.
Google hizmetleriyle ilişkili güveni suiistimal edenler, Google Formlar veya Google Çizimler’e bağlantı içeren bir takvim (.ICS) dosyası içeren e-postalar göndermeyi içerir. Bağlantıyı tıklayan kullanıcılardan, genellikle reCAPTCHA veya destek düğmesi olarak gizlenen başka bir bağlantıya tıklamaları istenir. Bu bağlantıya tıklandığında mağdurlar finansal dolandırıcılık yapan sahte sayfalara yönlendiriliyor.
Kullanıcılara tavsiye edilir olanak vermek Bu tür kimlik avı saldırılarına karşı koruma sağlamak için Google Takvim’deki “bilinen gönderenler” ayarını kullanın.