Hacker nutzen HubSpot-Formulare aus, um Microsoft Azure-Anmeldedaten von Tausenden zu stehlen

Eine Phishing-Kampagne, die auf Unternehmen der Automobil-, Chemie- und Industrieproduktion in Deutschland und das Vereinigte Königreich hat sich die HubSpot's kostenlose Formularerstellung und DocuSign-ähnliche PDFs zu stehlen Anmeldedaten für Microsoft Azure-Konto.

Überblick über den Angriff
Quelle: Referat 42

Die wichtigsten Ergebnisse:

• Umfang des Angriffs: Bei der Kampagne, die von Juni bis September 2024 lief, wurden Berichten zufolge etwa 20.000 Konten in europäischen Unternehmen, so Palo Alto Networks' Referat 42 Forscher.
• Missbrauch von HubSpot: Verwendete Bedrohungsakteure HubSpot-Formularersteller mindestens 17 betrügerische Formulare zu erstellen, die die Opfer auf Seiten zum Sammeln von Anmeldeinformationen umleiten, die Microsoft Outlook-Webanwendung, Azure-Anmeldeportaleund andere legitime Dienste.
• Mechanismus der Zustellung: Phishing-E-Mails mit der Aufschrift DocuSign enthielten Links zu HubSpot-Formularen über PDFs oder eingebettetes HTML. Diese E-Mails umgingen einige Erkennungsmechanismen, da sie einen legitimen Dienst (HubSpot) nutzten.

Angriffs-Workflow:

• Phishing-E-Mail: Die E-Mails imitierten DocuSign oder andere vertrauenswürdige Dienste mit Links, die auf HubSpot-Formulare verwiesen. 

  

  Beispiel einer Phishing-E-Mail
  Quelle: Referat 42

• HubSpot-Formulare: Die Opfer interagierten mit gefälschten Formularen, die auf der legitimen Plattform von HubSpot gehostet wurden.
  Irreführendes HubSpot-Formular
  Quelle: Referat 42
• Sammeln von Berechtigungsnachweisen: Die Opfer wurden auf von Angreifern kontrollierte Seiten umgeleitet, die auf ".buzz"-Domänen gehostet wurden und sich als Anmeldeportale ausgaben.
  Phishing-Seite zielt auf Outlook-Konten
  Quelle: Referat 42
• Aktivitäten nach dem Kompromiss:
  • Verwendete Bedrohungsakteure VPNs um das Land des Opfers zu simulieren.
  • Wenn die IT-Abteilung versuchte, das kompromittierte Konto wiederherzustellen, lieferten sich die Angreifer ein "Tauziehen", indem sie die Passwort-Rücksetzungen.

Entdecken Sie Ihr schwächstes Glied. Seien Sie proaktiv, nicht reaktiv. Cyberkriminelle brauchen nur eine Schwachstelle, um zuzuschlagen.

Warum die Kampagne erfolgreich war:

• Rechtmäßige Nutzung des Dienstes: Die Phishing-E-Mails nutzten HubSpot, wodurch sie für E-Mail-Filter weniger verdächtig erschienen.
• Schwache E-Mail-Authentifizierung: Während die E-Mails fehlschlugen SPF, DKIMund DMARC Die Verbindung mit HubSpot ermöglichte es vielen, die E-Mail-Sicherheitstools zu umgehen.

Indikatoren für Kompromisse (Indicators of Compromise - IoCs):

• Autonome System-Nummern (ASN): Für den Angriff wurden neuartige ASNs verwendet.
• Benutzer-Agent-Strings: Ungewöhnliche und spezifische User-Agent-Strings wurden identifiziert.

Lektionen für Organisationen:

• E-Mail-Sicherheitsmaßnahmen: Robuste Implementierung SPF, DKIMund DMARC Richtlinien zur Eindämmung von Phishing-Risiken.
• Überwachung des Missbrauchs rechtmäßiger Dienste: Seien Sie sich bewusst, dass vertrauenswürdige Plattformen wie HubSpot als Vermittler missbraucht werden können.
• Mitarbeiterschulung: Informieren Sie Ihre Mitarbeiter darüber, wie sie Phishing-Kampagnen erkennen können, insbesondere solche, die sich als vertrauenswürdige Dienste wie DocuSign ausgeben.
• Pläne für die Reaktion auf Zwischenfälle: Bereiten Sie sich auf Szenarien zur Wiederherstellung von Konten vor, um Aktivitäten nach der Kompromittierung wie das Tauziehen um die Rücksetzung von Passwörtern effektiv zu handhaben.

Sind Sie ein Sicherheitsforscher? Oder ein Unternehmen, das Artikel über Cybersicherheit, offensive Sicherheit (im Zusammenhang mit Informationssicherheit im Allgemeinen) schreibt, die zu unserem speziellen Publikum passen und es wert sind, geteilt zu werden? Wenn Sie Ihre Idee in einem Artikel ausdrücken möchten, kontaktieren Sie uns hier für ein Angebot: [email protected]

Quelle