Siber güvenlik araştırmacıları, hesap kimlik bilgilerini toplamak ve kurbanların Microsoft Azure bulut altyapısının kontrolünü ele geçirmek amacıyla Avrupa şirketlerini hedef alan yeni bir kimlik avı kampanyasını ortaya çıkardı.
Saldırı zincirinde HubSpot araçlarının kötüye kullanılması nedeniyle kampanya, Palo Alto Networks Unit 42 tarafından HubPhish olarak kodlandı. Hedefler, Avrupa’da en az 20.000 otomotiv, kimya ve endüstriyel bileşik imalat kullanıcısını içermektedir.
Güvenlik araştırmacıları Shachar Roitman, Ohad Benyamin Maimon ve William Gamazo, The Hacker News ile paylaşılan bir raporda “Kampanyanın kimlik avı girişimleri Haziran 2024’te HubSpot Free Form Builder hizmeti kullanılarak oluşturulan sahte formlarla zirveye ulaştı” dedi.
Saldırılar, alıcıları bir belgeyi görüntülemeye teşvik eden Docusign temalı kimlik avı e-postaları göndermeyi içeriyor; bu e-postalar, kullanıcıları kötü amaçlı HubSpot Serbest Form Oluşturucu bağlantılarına yönlendiriyor ve buradan da sahte bir Office 365 Outlook Web Uygulaması oturum açma sayfasına yönlendiriliyorlar. kimlik bilgileri.
Birim 42, kurbanları tehdit aktörlerinin kontrolündeki farklı alanlara yönlendirmek için kullanılan en az 17 çalışan Serbest Form tespit ettiğini söyledi. Bu alan adlarının önemli bir kısmı “.buzz” üst düzey alanında (TLD) barındırılıyordu.
Şirket, “Kimlik avı kampanyasının, Bulletproof VPS ana bilgisayarı da dahil olmak üzere çeşitli hizmetlerde barındırıldığını” söyledi. “[The threat actor] hesap devralma işlemi sırasında güvenliği ihlal edilmiş Microsoft Azure kiracılarına erişmek için de bu altyapıyı kullandı.”
Bir hesaba başarılı bir erişim elde edildikten sonra, kampanyanın ardındaki tehdidin, kalıcılığı sağlamak için hesaba kendi kontrolü altında yeni bir cihaz eklemesi olduğu tespit edildi.
Birim 42, “Tehdit aktörleri, kimlik avı kampanyasını, kimlik avı kurbanının uç nokta bilgisayarındaki kimlik bilgileri toplama saldırıları yoluyla kurbanın Microsoft Azure bulut altyapısını hedef alacak şekilde yönlendirdi” dedi. “Daha sonra bu aktiviteyi buluta doğru yanal hareket operasyonlarıyla takip ettiler.”
Bu gelişme, saldırganların XLoader (Formbook’un halefi) adı verilen bilgi hırsızı kötü amaçlı yazılım ailesini sunmak üzere tasarlanmış kimlik avı e-postalarında SharePoint’in kimliğine büründüklerinin tespit edilmesiyle ortaya çıktı.
Kimlik avı saldırıları, e-posta güvenlik önlemlerini atlamanın yeni yollarını giderek daha fazla buluyor; bunların en sonuncusu, Google Takvim ve Google Çizimler gibi meşru hizmetlerin kötüye kullanılmasının yanı sıra Proofpoint, Barracuda Networks, Mimecast gibi e-posta güvenlik sağlayıcısı markalarının sahtekarlığıdır. Virtru.
Google hizmetleriyle ilişkili güveni suiistimal edenler, Google Formlar veya Google Çizimler’e bağlantı içeren bir takvim (.ICS) dosyası içeren e-postalar göndermeyi içerir. Bağlantıyı tıklayan kullanıcılardan, genellikle reCAPTCHA veya destek düğmesi olarak gizlenen başka bir bağlantıya tıklamaları istenir. Bu bağlantıya tıklandığında mağdurlar finansal dolandırıcılık yapan sahte sayfalara yönlendiriliyor.
Kullanıcıların, bu tür kimlik avı saldırılarına karşı korunmak için Google Takvim’deki “bilinen gönderenler” ayarını etkinleştirmeleri önerilir.