Ukendte kriminelle har med en phishing-kampagne målrettet omkring 20.000 brugere på tværs af erhvervs-sektorer i Europa.
Især virksomheder i bilindustrien og i kemiske og industrielle fremstillingssektorer har oplevet forsøg på at stjæle kontooplysninger. Angriberne har derefter prøvet at kapre ofrenes Microsoft Azure cloud-infrastruktur.
Efter at have overtaget ofrenes konti, loggede forbryderne ind på nye enheder ved hjælp af stjålne brugeroplysninger, så de kunne bevare adgangen til cloud-miljøet og se følsomme data i det.
Det skriver The Register.
Ifølge mediet opdagde sikkerhedsfirmaet Palo Alto Networks’ specialister hacker-kampagnen. Den toppede i juni og er forblevet aktiv siden september.
Selvom Palo Alto Networks-specialisterne ikke kan tilskrive angrebene en bestemt gruppe eller en person, fandt de både ukrainsk- og russisksprogede websteder, der var knyttet til angrebs-infrastrukturen.
“Men vi kan ikke bestemme arten eller begrundelsen for disse forbindelser,” siger senior trussels-efterforsker Nathaniel Quist til The Register.
Trussels-jægerne kan heller ikke sætte et nøjagtigt tal på kompromitterede ofre.
Flere angreb mod cloud
Ifølge Palo Alto Networks er der sket en stigning i angreb rettet mod cloud-infrastruktur.
Angrebene er typisk rettet mod data, som er skurkenes primære mål.
Stjålet information og legitimationsoplysninger kan bruges til at afpresse offer-virksomheden eller kan sælges på cyberkriminelles markedspladser.
“Under efterforskningen fandt vi ud af, at aktørernes primære handlinger var at etablere sig vedvarende i cloud-miljøet,” siger Nathaniel Quist til The Register.
“De gjorde også adskillige mislykkede forsøg på at få adgang til cloud-lagring og skabe nye brugere. Disse handlinger kunne have et langt strategisk mål – dog blev de blokeret, før de kunne nå deres mål,” tilføjer han.
Klassisk lokkemad
Hacker-angrebene er foregået ved, at der er blevet sendt phishing-mails, der inkluderede en dokument-underskrivnings-aktiveret PDF-fil eller et indlejret HTML-link.
Digitale signaturer på dokumenter skaber ifølge The Register en følelse af, at det haster med handling. Det er klassisk lokkemad fra phishere.
Linket dirigerer ofrene til angribernes legitimations-indsamlingssider, der efterligner en Microsoft Outlook Web Access-loginside.
Her er de blevet bedt om at indtaste e-mail og adgangskode til Azure, hvorefter angriberne stjæler dem og får adgang til deres arbejdsgivers cloud-miljøer.
Mindst 17 gratis formularer blev brugt til at omdirigere ofre, og efterforskerne angiver de webadresser i en rapport.
