Almanya ve İngiltere'deki otomotiv, kimyasal ve endüstriyel imalat şirketlerini hedefleyen bir kimlik avı kampanyası, HubSpot'u Microsoft Azure hesap kimlik bilgilerini çalmak için kötüye kullanıyor.
Tehdit aktörleri, kurbanları kimlik bilgisi-hasat sayfalarına yönlendirmek için HubSpot Free Form Oluşturucu bağlantıları ve Docusign Mimicking PDF'leri kullanıyor.
Palo Alto Networks'in birim 42 araştırmacı ekibine göre, Haziran 2024'te başlayan ve en az Eylül 2024'e kadar aktif kalan kampanya yaklaşık 20.000 hesaptan ödün verdi.
Palo Alto Unit 42 raporunda, "Telemetremiz, tehdit aktörünün çeşitli Avrupa şirketlerinde yaklaşık 20.000 kullanıcıyı başarıyla hedeflediğini gösteriyor."
HubSpot, pazarlama otomasyonu, satış, müşteri hizmetleri, analiz ve bina web siteleri ve açılış sayfalarında kullanılan meşru bir müşteri ilişkileri yönetimi (CRM) platformudur.
Form Oluşturucu, kullanıcıların web sitesi ziyaretçilerinden bilgileri yakalamak için özel çevrimiçi formlar oluşturmalarını sağlayan bir özelliktir.
42 Tracked Phishing kampanyası biriminde, tehdit aktörleri, kurbanları bir sonraki adımda hassas kimlik bilgileri sağlamaya teşvik etmek için en az on yedi aldatıcı form oluşturmak için Hubspot Form Builder'dan yararlandı.
HubSpot altyapısının kendisi tehlikeye atılmasa da, kurbanları Microsoft Outlook web uygulamasını ve Azure giriş sayfalarını taklit eden '.buzz' alanlarına saldırgan kontrollü sitelere yönlendirmek için bir ara adım olarak kullanıldı.
Saldırılarda DocuSign'ın belge yönetim sistemi, Fransız noter ofisleri ve organizasyona özgü giriş portallarını taklit eden web sayfaları da kullanıldı.
Mağdurlar, bağlı bir PDF veya gömülü HTML'de HubSpot'a bağlantılar içeren Docusign markalı kimlik avı mesajları ile bu sayfalara yönlendirildi.
E -postalar meşru bir hizmete (HubSpot) bağlantılar içerdiğinden, genellikle e -posta güvenlik araçları tarafından işaretlenmez, bu nedenle hedef gelen kutularına ulaşma olasılıkları daha yüksektir.
Bununla birlikte, bu kampanyayla ilişkili kimlik avı e-postaları gönderen ilke çerçevesi (SPF), DomainKeys tanımlanmış posta (DKIM) ve etki alanı tabanlı mesaj kimlik doğrulaması, raporlama ve uygunluk (DMARC) kontrollerini başarısızlığa uğrattı.
Araştırmacılar tarafından görülen başarılı saldırılar durumunda, tehdit aktörleri, mağdur örgütün ülkesine dayanıyormuş gibi görünmesini sağlamak için VPN'leri kullandılar.
Ünite 42 araştırmacıları, "Hesabın kontrolünü yeniden kazandığında, saldırgan derhal bir şifre sıfırlaması başlattı ve kontrolü yeniden kazanmaya çalıştı."
Diyerek şöyle devam etti: "Bu, her iki tarafın da hesap üzerinde kontrol için mücadele ettiği bir savaş römorkörü senaryosu yarattı."
Ünite 42 ayrıca, kampanyada kullanılan ve belirli, olağandışı kullanıcı ajanı dizeleriyle birlikte tehdit tanımlaması için kullanılabilen yeni bir otonom sistem numarası (ASN) tanımladı.
Kimlik avı kampanyasının omurgası olarak hareket eden sunucuların çoğu uzun zamandır çevrimdışı olmasına rağmen, tehdit aktörleri sürekli olarak güvenlik araçlarını atlamak için yeni yolları keşfettikleri için etkinlik, meşru hizmet kötüye kullanımının bir başka örneğidir.
DocuSign Zarfları API gerçekçi sahte faturalar göndermek için istismar edildi
Devam eden kimlik avı saldırısı, Google takvimini spam filtrelerini atlamak için kötüye kullanıyor
Yeni sahte defter veri ihlali e -postaları kripto cüzdanlarını çalmaya çalışır
Bu 39,99 $ Azure Kursu Düzeniyle Kariyerinizi Artırın
Microsoft 365 Outage, Office Web Uygulamalarını, Yönetici Merkezi
Kaynak: Bleeping Computer