HubPhish: Phishing-Kampagne zielt auf europäische Unternehmen

Palo Alto Networks hat eine Phishing-Kampagne auf europäische Unternehmen – darunter auch aus Deutschland – aufgedeckt. Die Kampagne zielt darauf ab, Microsoft Azure Cloud-Zugangsdaten zu stehlen und die Cloud-Infrastruktur der Opfer zu übernehmen. Die Kampagne begann der Untersuchung nach im Juni 2024 und betrifft mehr als 20.000 Nutzer aus verschiedenen europäischen Unternehmen.

Bei den Angriffen, die noch im September 2024 aktiv waren, standen Unternehmen aus den Branchen Automotive, Chemie und industrielle Fertigung im Fokus. Die Phishing E-Mails enthielten entweder eine angehängte Docusign-fähige PDF-Datei oder einen eingebetteten HTML-Link, der die Opfer zu gefälschten HubSpot Free Form Builder-Links führte.

Bei der Untersuchung wurden mindestens 17 funktionierende Free Forms identifiziert, mit denen die Opfer auf verschiedene, von den Bedrohungsakteuren kontrollierte Domains umgeleitet wurden. Die meisten der identifizierten Domains wurden unter der Top-Level-Domain .buzz gehostet. Jedes der identifizierten Free Forms enthielt ein ähnliches Design der Microsoft Outlook Web App Landing Page, um Anmeldedaten abzugreifen.

Die Angreifer setzten außerdem Umgehungstaktiken wie benutzerdefinierte User-Agent-Strings und eine Wiederverwendung der Infrastruktur ein, um den Zugriff aufrechtzuerhalten und eine Entdeckung zu vermeiden. HubSpot wurde bei dieser Phishing-Kampagne nicht angegriffen und die Free Form Builder-Links wurden nicht über die HubSpot-Infrastruktur an die Betroffenen übermittelt.