HubPhish 利用 HubSpot 工具针对 20,000 名欧洲用户进行凭证盗窃

网络安全研究人员披露了一项针对欧洲公司的新网络钓鱼活动，目的是获取账户凭证并控制受害者的 Microsoft Azure 云基础设施。

由于攻击链中滥用了 HubSpot 工具，Palo Alto Networks Unit 42 将该活动代号为 HubPhish。目标包括欧洲至少 20,000 名汽车、化学和工业复合材料制造用户。

安全研究人员 Shachar Roitman、Ohad Benyamin Maimon 和 William Gamazo在与 The Hacker News 分享的一份报告中表示：“该活动的网络钓鱼尝试在 2024 年 6 月达到顶峰，使用 HubSpot Free Form Builder 服务创建了虚假表格。”

这些攻击包括发送带有 Docusign 主题诱饵的网络钓鱼电子邮件，敦促收件人查看文档，然后将用户重定向到恶意的HubSpot Free Form Builder 链接，从那里将他们引导至虚假的 Office 365 Outlook Web App 登录页面以窃取他们的凭据。

Unit 42 表示，它发现了至少 17 个有效的免费表单，用于将受害者重定向到不同的威胁行为者控制的域名。这些域名中有相当一部分托管在“.buzz”顶级域名 (TLD) 上。

该公司表示：“网络钓鱼活动由各种服务托管，包括 Bulletproof VPS 主机。”“[威胁行为者] 还在账户接管操作期间使用此基础设施访问受感染的 Microsoft Azure 租户。”

成功访问帐户后，发现该活动背后的威胁会将他们控制的新设备添加到该帐户，以建立持久性。