Badacze ds. cyberbezpieczeństwa ujawnili niedawno nową kampanię phishingową, która wymierzona była w europejskie firmy. Jej celem było przechwytywanie danych uwierzytelniających do kont oraz uzyskanie kontroli nad infrastrukturą chmurową Microsoft Azure ofiar. Takie działania pokazują, jak złożone i bezwzględne mogą być współczesne zagrożenia w sieci.
Ta kampania, nazwana HubPhish przez zespół Palo Alto Networks Unit 42, wykorzystała narzędzia dostępne w platformie HubSpot w swoim łańcuchu działań. Na celowniku znalazło się ponad 20 tysięcy użytkowników z branż motoryzacyjnej, chemicznej oraz produkcji związków przemysłowych w Europie. Szczyt ataków odnotowano w czerwcu 2024 roku, kiedy hakerzy wykorzystywali fałszywe formularze stworzone za pomocą darmowego narzędzia HubSpot Free Form Builder, by zwodzić swoje ofiary.
Ataki przebiegały według precyzyjnego schematu. Hakerzy wysyłali wiadomości e-mail podszywające się pod Docusign, zachęcając ofiary do przejrzenia załączonych dokumentów. Kliknięcie w link prowadziło do fałszywych stron HubSpot, które następnie przekierowywały użytkowników na podrobioną stronę logowania do Office 365 Outlook Web App. To właśnie tutaj dochodziło do wykradania danych logowania. Zespół Unit 42 zidentyfikował aż 17 fałszywych formularzy, które wykorzystywały różne domeny kontrolowane przez cyberprzestępców, w tym te z rozszerzeniem „.buzz”.
Jak wskazują eksperci, infrastruktura phishingowa opierała się na usługach takich jak Bulletproof VPS host. Za ich pomocą aktorzy zagrożeń uzyskiwali dostęp do przejętych tenantów Microsoft Azure, co było kluczowym etapem dalszych operacji. Po skutecznym zalogowaniu się na konto ofiary, dodawali do niego własne urządzenie, co umożliwiało im utrzymywanie trwałej obecności na platformie. Taka strategia pozwalała na kontynuowanie działań bez przeszkód, nawet w przypadku wykrycia pierwotnego naruszenia.
Badanie ujawniło również, że kampania phishingowa była tylko jednym z elementów bardziej złożonej operacji cyberprzestępczej. Po przechwyceniu danych logowania hakerzy prowadzili dalsze operacje lateralne w chmurze, co pozwalało na skuteczniejsze wykorzystywanie zdobytych zasobów oraz kompromitację większej liczby systemów. Co więcej, nawet silnie zabezpieczone środowiska chmurowe okazywały się wrażliwe na takie ataki.
Nie jest to odosobniony przypadek. Cyberprzestępcy coraz częściej sięgają po kreatywne metody, by obejść zabezpieczenia poczty e-mail czy systemów ochrony danych. Jednym z przykładów jest wykorzystanie zaufanych usług, takich jak Google Calendar czy Google Drawings, by prowadzić swoje ataki. Scenariusz jest zazwyczaj podobny – ofiara otrzymuje wiadomość e-mail z załączonym plikiem kalendarza (.ICS), który prowadzi do sfałszowanych stron zawierających oszustwa finansowe.
Zauważalnym trendem stało się także podszywanie się pod renomowane marki z branży ochrony poczty elektronicznej, takie jak Proofpoint, Barracuda Networks, Mimecast czy Virtru. Ataki phishingowe obejmują również coraz częściej użycie skompromitowanych plików ZIP lub załączników z narzędzi biurowych, które ukrywają złośliwe programy, takie jak XLoader – nowoczesna wersja znanego wcześniej Formbook.
Eksperci ds. bezpieczeństwa podkreślają, jak ważne jest stosowanie dodatkowych środków ochrony. Przykładowo, użytkownicy mogą włączyć funkcję „znani nadawcy” w Google Calendar, aby zapobiec atakom phishingowym przeprowadzanym za pomocą fałszywych zaproszeń. Dzięki tej metodzie kalendarze będą akceptowały wyłącznie wydarzenia od zaufanych adresów.
W dobie rozwijających się zagrożeń kluczową rolę odgrywa edukacja użytkowników oraz wdrażanie wielowarstwowych systemów bezpieczeństwa w ramach infrastruktur IT. Świadomość nowych metod oszustów, takich jak te opisane powyżej, to pierwszy krok do ochrony przed potencjalnymi zagrożeniami w cyberprzestrzeni.
