HubPhish
Neuer Unit 42-Forschungsbericht: Kampagne zielt auf europäische Unternehmen
Das Unit 42-Team von Palo Alto Networks hat eine Phishing-Kampagne auf europäische Unternehmen – darunter auch aus Deutschland – aufgedeckt. Die Kampagne zielte darauf ab, Microsoft Azure Cloud-Zugangsdaten zu stehlen und die Cloud-Infrastruktur der Opfer zu übernehmen. Die Kampagne begann der Untersuchung nach im Juni 2024 und betrifft mehr als 20.000 Nutzer aus verschiedenen europäischen Unternehmen.
Die wichtigsten Erkenntnisse im Überblick:
- Die Phishing-Kampagne begann im Juni 2024 und war im September 2024 noch aktiv.
- Unternehmen aus den Branchen Automotive, Chemie und industrielle Fertigung stehen im Fokus der Angriffe.
- Die Phishing E-Mails enthielten entweder eine angehängte Docusign-fähige PDF-Datei oder einen eingebetteten HTML-Link, der die Opfer zu gefälschten HubSpot Free Form Builder-Links führte.
- Die Angreifer setzten Umgehungstaktiken wie benutzerdefinierte User-Agent-Strings und eine Wiederverwendung der Infrastruktur ein, um den Zugriff aufrechtzuerhalten und eine Entdeckung zu vermeiden.
HubSpot wurde bei dieser Phishing-Kampagne nicht angegriffen und die Free Form Builder-Links wurden nicht über die HubSpot-Infrastruktur an die Betroffenen übermittelt.
„In einer Welt, in der digitale Sicherheit immer fragiler wird, zeigt diese Phishing-Kampagne die raffinierten Methoden moderner Cyberkrimineller. Die Bedrohungsakteure nutzten geschickt HubSpot-Formulare und Docusign-ähnliche Strategien, um Unternehmen in Europa zu täuschen und deren Microsoft Azure-Infrastruktur zu kompromittieren. Diese Attacke unterstreicht die Notwendigkeit kontinuierlicher Wachsamkeit und fortschrittlicher Sicherheitsmaßnahmen in einer zunehmend vernetzten Unternehmenswelt“, sagt André Reichow-Prehn, Managing Partner Unit 42 EMEA (CEUR and SEUR) and LATAM, Palo Alto Networks.