Peneliti keamanan siber telah mengungkapkan kampanye phishing baru yang menargetkan perusahaan-perusahaan Eropa dengan tujuan untuk mengambil kredensial akun dan mengambil kendali infrastruktur cloud Microsoft Azure milik korban.
Kampanye ini diberi nama kode HubPhish oleh Palo Alto Networks Unit 42 karena penyalahgunaan alat HubSpot dalam rantai serangan. Targetnya mencakup setidaknya 20.000 pengguna manufaktur otomotif, kimia, dan senyawa industri di Eropa.
“Upaya kampanye phishing mencapai puncaknya pada Juni 2024, dengan formulir palsu dibuat menggunakan layanan HubSpot Free Form Builder,” kata peneliti keamanan Shachar Roitman, Ohad Benyamin Maimon, dan William Gamazo dalam laporan yang dibagikan kepada The Hacker News.
Serangan tersebut melibatkan pengiriman email phishing dengan umpan bertema Docusign yang mendesak penerima untuk melihat dokumen, yang kemudian mengarahkan pengguna ke tautan HubSpot Free Form Builder yang berbahaya, yang kemudian mengarahkan mereka ke halaman login Office 365 Outlook Web App palsu untuk mencuri. kredensial mereka.
Unit 42 mengatakan pihaknya mengidentifikasi tidak kurang dari 17 Formulir Bebas yang digunakan untuk mengarahkan korban ke domain berbeda yang dikendalikan oleh pelaku ancaman. Sebagian besar domain tersebut dihosting di domain tingkat atas (TLD) “.buzz”.
“Kampanye phishing dihosting di berbagai layanan, termasuk host VPS Antipeluru,” kata perusahaan itu. “[The threat actor] juga menggunakan infrastruktur ini untuk mengakses penyewa Microsoft Azure yang disusupi selama operasi pengambilalihan akun.”
Setelah berhasil mendapatkan akses ke akun, ancaman di balik kampanye ditemukan untuk menambahkan perangkat baru di bawah kendali mereka ke akun untuk membangun persistensi.
“Pelaku ancaman mengarahkan kampanye phishing untuk menargetkan infrastruktur cloud Microsoft Azure korban melalui serangan pengumpulan kredensial pada komputer titik akhir korban phishing,” kata Unit 42. “Mereka kemudian menindaklanjuti aktivitas ini dengan operasi pergerakan lateral ke awan.”
Perkembangan ini terjadi ketika penyerang terlihat meniru SharePoint dalam email phishing yang dirancang untuk mengirimkan keluarga malware pencuri informasi yang disebut XLoader (penerus Formbook).
Serangan phishing juga semakin banyak menemukan cara baru untuk melewati langkah-langkah keamanan email, yang terbaru di antaranya adalah penyalahgunaan layanan sah seperti Google Kalender dan Google Gambar, serta memalsukan merek penyedia keamanan email, seperti Proofpoint, Barracuda Networks, Mimecast, dan Kebajikan.
Mereka yang mengeksploitasi kepercayaan yang terkait dengan layanan Google melibatkan pengiriman email yang menyertakan file kalender (.ICS) dengan tautan ke Google Formulir atau Google Gambar. Pengguna yang mengklik link tersebut akan diminta untuk mengklik link lain, yang biasanya disamarkan sebagai tombol reCAPTCHA atau dukungan. Setelah link ini diklik, korban akan diarahkan ke halaman palsu yang melakukan penipuan keuangan.
Pengguna disarankan untuk mengaktifkan pengaturan “pengirim yang dikenal” di Google Kalender untuk melindungi terhadap serangan phishing semacam ini.
