Eine gut organisierte und gezielte Phishing-Kampagne, die auf europäische Unternehmen abzielt, wurde kürzlich von Palo Alto Networks aufgedeckt. Diese Kampagne, aktiv seit Juni 2024, konzentriert sich darauf, Microsoft Azure-Zugangsdaten zu stehlen und die Cloud-Infrastruktur der Opfer zu übernehmen. Mehr als 20.000 Nutzer in verschiedenen europäischen Unternehmen wurden bereits Opfer dieser gefährlichen Angriffe, die vor allem auf Unternehmen aus den Branchen Automobil, Chemie und industrielle Fertigung abzielen.
Die Phishing-E-Mails, die von den Angreifern versendet werden, enthalten entweder eine Docusign-fähige PDF-Datei oder einen eingebetteten HTML-Link. Beide Methoden leiten die Opfer zu gefälschten HubSpot Free Form Builder-Links weiter, die wiederum auf von den Angreifern kontrollierte Domains weiterleiten. Mindestens 17 funktionierende Free Forms wurden identifiziert. Die Angreifer nutzen dabei die Top-Level-Domain .buzz für die meisten dieser Domains. Ein herausragendes Merkmal dieser Kampagne ist die Verwendung benutzerdefinierter User-Agent-Strings und die Wiederverwendung von Infrastruktur, um ihre Zugriffe aufrechtzuerhalten und gleichzeitig die Entdeckung zu vermeiden.
Besonders bemerkenswert ist, dass HubSpot selbst bei dieser Kampagne nicht das Ziel war und die Free Form Builder-Links nicht über die HubSpot-Infrastruktur übermittelt wurden. Dies zeigt, wie geschickt und raffiniert die Angreifer vorgehen, um ihre Aktivitäten zu tarnen. Solche Umgehungstechniken und die Nutzung etablierter Plattformen erschweren die Entdeckung und Neutralisierung der Bedrohung erheblich. Die Phishing-Kampagne verdeutlicht die Notwendigkeit, Sicherheitsmaßnahmen kontinuierlich zu verbessern und sich über neue Bedrohungen zu informieren, um Unternehmensdaten vor solchen Angriffen zu schützen. Die europäischen Unternehmen müssen wachsam bleiben und entsprechende Vorkehrungen treffen, um ihre sensiblen Daten vor solchen Bedrohungen zu sichern.
