HubPhish 利用 HubSpot 工具针对 20,000 名欧洲用户进行凭证盗窃
网络安全研究人员披露了一项针对欧洲公司的新网络钓鱼活动,目的是获取账户凭证并控制受害者的 Microsoft Azure 云基础设施。
网络安全研究人员披露了一项针对欧洲公司的新网络钓鱼活动,目的是获取账户凭证并控制受害者的 Microsoft Azure 云基础设施。
由于攻击链中滥用了 HubSpot 工具,Palo Alto Networks Unit 42 将该活动代号为 HubPhish。目标包括欧洲至少 20,000 名汽车、化学和工业复合材料制造用户。
安全研究人员 Shachar Roitman、Ohad Benyamin Maimon 和 William Gamazo在与 The Hacker News 分享的一份报告中表示: “该活动的网络钓鱼尝试在 2024 年 6 月达到顶峰,使用 HubSpot Free Form Builder 服务创建了虚假表格。”
这些攻击包括发送带有 Docusign 主题诱饵的网络钓鱼电子邮件,敦促收件人查看文档,然后将用户重定向到恶意的HubSpot Free Form Builder 链接,从那里将他们引导至虚假的 Office 365 Outlook Web App 登录页面以窃取他们的凭据。
Unit 42 表示,它发现了至少 17 个有效的免费表单,用于将受害者重定向到不同的威胁行为者控制的域名。这些域名中有相当一部分托管在“.buzz”顶级域名 (TLD) 上。
该公司表示:“网络钓鱼活动由各种服务托管,包括 Bulletproof VPS 主机。”“[威胁行为者] 还在账户接管操作期间使用此基础设施访问受感染的 Microsoft Azure 租户。”
成功访问帐户后,发现该活动背后的威胁会将他们控制的新设备添加到该帐户,以建立持久性。
Unit 42 表示:“威胁者通过对网络钓鱼受害者的终端计算机进行凭证收集攻击,将网络钓鱼活动瞄准受害者的 Microsoft Azure 云基础设施。”“然后,他们随后对云进行了横向移动操作。”
此前有报道称,攻击者在钓鱼电子邮件中冒充SharePoint,旨在传播名为XLoader(Formbook 的后继者)的信息窃取恶意软件家族。
网络钓鱼攻击也越来越多地 找到绕过电子邮件安全措施的 新方法,其中最新的一种是滥用Google 日历和 Google Drawings等合法服务,以及冒充电子邮件安全提供商品牌,例如 Proofpoint、Barracuda Networks、Mimecast 和 Virtru。
那些利用 Google 服务信任度的黑客会发送电子邮件,其中包含一个日历 (.ICS) 文件,其中包含指向 Google Forms 或 Google Drawings 的链接。点击该链接的用户会被提示点击另一个链接,该链接通常伪装成 reCAPTCHA 或支持按钮。点击此链接后,受害者会被转发到实施金融诈骗的虚假页面。
建议用户在 Google 日历中启用“已知发件人”设置,以防止此类网络钓鱼攻击。
由于攻击链中滥用了 HubSpot 工具,Palo Alto Networks Unit 42 将该活动代号为 HubPhish。目标包括欧洲至少 20,000 名汽车、化学和工业复合材料制造用户。
安全研究人员 Shachar Roitman、Ohad Benyamin Maimon 和 William Gamazo在与 The Hacker News 分享的一份报告中表示: “该活动的网络钓鱼尝试在 2024 年 6 月达到顶峰,使用 HubSpot Free Form Builder 服务创建了虚假表格。”
这些攻击包括发送带有 Docusign 主题诱饵的网络钓鱼电子邮件,敦促收件人查看文档,然后将用户重定向到恶意的HubSpot Free Form Builder 链接,从那里将他们引导至虚假的 Office 365 Outlook Web App 登录页面以窃取他们的凭据。
Unit 42 表示,它发现了至少 17 个有效的免费表单,用于将受害者重定向到不同的威胁行为者控制的域名。这些域名中有相当一部分托管在“.buzz”顶级域名 (TLD) 上。
该公司表示:“网络钓鱼活动由各种服务托管,包括 Bulletproof VPS 主机。”“[威胁行为者] 还在账户接管操作期间使用此基础设施访问受感染的 Microsoft Azure 租户。”
成功访问帐户后,发现该活动背后的威胁会将他们控制的新设备添加到该帐户,以建立持久性。
Unit 42 表示:“威胁者通过对网络钓鱼受害者的终端计算机进行凭证收集攻击,将网络钓鱼活动瞄准受害者的 Microsoft Azure 云基础设施。”“然后,他们随后对云进行了横向移动操作。”
此前有报道称,攻击者在钓鱼电子邮件中冒充SharePoint,旨在传播名为XLoader(Formbook 的后继者)的信息窃取恶意软件家族。
网络钓鱼攻击也越来越多地 找到绕过电子邮件安全措施的 新方法,其中最新的一种是滥用Google 日历和 Google Drawings等合法服务,以及冒充电子邮件安全提供商品牌,例如 Proofpoint、Barracuda Networks、Mimecast 和 Virtru。
那些利用 Google 服务信任度的黑客会发送电子邮件,其中包含一个日历 (.ICS) 文件,其中包含指向 Google Forms 或 Google Drawings 的链接。点击该链接的用户会被提示点击另一个链接,该链接通常伪装成 reCAPTCHA 或支持按钮。点击此链接后,受害者会被转发到实施金融诈骗的虚假页面。
建议用户在 Google 日历中启用“已知发件人”设置,以防止此类网络钓鱼攻击。
关于作者
评论1次
朴实无华的钓鱼才是最有用的