Eine Phishing-Kampagne, die auf Unternehmen der Automobil-, Chemie- und Industrieproduktion in Deutschland und Großbritannien abzielt, missbraucht HubSpot, um Anmeldedaten für Microsoft Azure-Konten zu stehlen.
Die Bedrohungsakteure verwenden HubSpot Free Form Builder-Links und DocuSign imitierende PDFs, um die Opfer auf Seiten zum Sammeln von Zugangsdaten umzuleiten.
Nach Angaben des Forscherteams von Palo Alto Networks, Unit 42, hat die Kampagne, die im Juni 2024 begann und bis mindestens September 2024 aktiv war, etwa 20.000 Konten kompromittiert.
"Unsere Telemetriedaten deuten darauf hin, dass der Bedrohungsakteur erfolgreich etwa 20.000 Benutzer in verschiedenen europäischen Unternehmen anvisiert hat", heißt es im Bericht von Palo Alto Unit 42.
HubSpot für das Sammeln von Anmeldeinformationen verwendet
HubSpot ist eine seriöse CRM-Plattform (Customer Relationship Management), die in den Bereichen Marketing-Automatisierung, Vertrieb, Kundenservice, Analyse und Erstellung von Websites und Landing Pages eingesetzt wird.
Der Form Builder ist eine Funktion, mit der Benutzer benutzerdefinierte Online-Formulare erstellen können, um Informationen von Website-Besuchern zu erfassen.
In der von Unit 42 verfolgten Phishing-Kampagne nutzten die Bedrohungsakteure den HubSpot Form Builder, um mindestens siebzehn betrügerische Formulare zu erstellen, mit denen die Opfer dazu verleitet werden sollten, im nächsten Schritt sensible Anmeldedaten anzugeben.
Irreführendes HubSpot-Formular
Irreführendes HubSpot-Formular
Quelle: Referat 42
Obwohl die HubSpot-Infrastruktur selbst nicht kompromittiert wurde, wurde sie als Zwischenschritt genutzt, um die Opfer auf von Angreifern kontrollierte Websites auf ".buzz"-Domänen zu führen, die Microsoft Outlook Web App und Azure-Anmeldeseiten imitieren.
Phishing-Seite zielt auf Outlook-Konten
Phishing-Seite zielt auf Outlook-Konten
Quelle: Referat 42
Bei den Angriffen wurden auch Webseiten verwendet, die das Dokumentenmanagementsystem von DocuSign, französische Notariate und organisationsspezifische Anmeldeportale nachahmen.
Die Opfer wurden durch Phishing-Nachrichten mit dem DocuSign-Logo auf diese Seiten geleitet, die Links zu HubSpot enthielten, entweder in einer angehängten PDF-Datei oder in eingebettetem HTML.
Beispiel einer Phishing-E-Mail
Beispiel einer Phishing-E-Mail
Quelle: Referat 42
Da die E-Mails Links zu einem legitimen Dienst (HubSpot) enthalten, werden sie in der Regel nicht von E-Mail-Sicherheits-Tools erkannt, so dass es wahrscheinlicher ist, dass sie die Posteingänge der Zielpersonen erreichen.
Die Phishing-E-Mails im Zusammenhang mit dieser Kampagne fielen jedoch durch die Prüfungen von Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) und Domain-based Message Authentication, Reporting, and Conformance (DMARC).
Überblick über den Angriff
Überblick über den Angriff
Quelle: Referat 42
Aktivitäten nach dem Kompromiss
In den Fällen erfolgreicher Angriffe, die von den Forschern beobachtet wurden, nutzten die Bedrohungsakteure VPNs, um den Anschein zu erwecken, dass sie sich im Land der geschädigten Organisation befinden.
"Als die IT-Abteilung die Kontrolle über das Konto wiedererlangte, setzte der Angreifer sofort das Passwort zurück und versuchte, die Kontrolle wiederzuerlangen", beschreiben die Forscher von Unit 42.
"Dies führte zu einem Tauziehen, bei dem beide Parteien um die Kontrolle über das Konto kämpften.
Einheit 42 identifizierte auch eine neuartige Autonomous System Number (ASN), die in der Kampagne verwendet wurde und die zusammen mit spezifischen, ungewöhnlichen User-Agent-Strings zur Identifizierung von Bedrohungen verwendet werden kann.
Obwohl die meisten der Server, die das Rückgrat der Phishing-Kampagne bildeten, längst offline sind, ist diese Aktivität ein weiteres Beispiel für den Missbrauch legitimer Dienste, da Bedrohungsakteure ständig neue Möglichkeiten zur Umgehung von Sicherheitstools suchen.
