制造商遭HubSpot钓鱼攻击,Azure凭证失窃

两万名欧洲制造企业员工成钓鱼攻击目标

据Palo Alto Networks的Unit 42部门称,一场针对欧洲制造企业员工的钓鱼攻击活动于6月达到高峰,并一直持续到至少9月。此次网络攻击的主要目标是汽车、化工和工业复合体制造公司,尤其集中在英国、法国和德国等西欧国家。

攻击者的目的是诱使员工泄露其Microsoft帐户的凭证,特别是为了获取其企业Azure云环境的访问权限。攻击链通常以嵌入的HTML链接或以目标公司命名的DocuSign启用PDF文件开始(例如,darkreading.pdf)。在这两种情况下,诱饵都会将受害者引导至17个HubSpot免费表单之一。HubSpot免费表单是HubSpot的可定制在线表单,用于收集网站访问者的信息。

这些表单实际上并未用于收集受害者的任何信息,它们内容空白,且明显由非母语者编写。表单上写着:“您是否有权查看和下载发送到您工作邮箱的敏感公司文件?”并附有一个按钮,可查看所谓的“Microsoft Secured Cloud”中的敏感文件。那些落入这一步骤陷阱的人会被重定向到另一个页面,该页面模仿Microsoft Outlook Web App(OWA)的登录页面。这些页面托管在强大且匿名的防子弹虚拟专用服务器(VPS)上,并融入了目标公司的品牌名称,顶 级域名为“.buzz”(如www.darkreading.buzz)。在这里,受害者的Microsoft凭证被窃取。

掌握被盗帐户后,威胁行为者开始潜入目标的企业云环境。为此的下一个重要步骤是将自己的设备注册到受害者的帐户中。这样做之后,他们就可以作为已验证用户登录,从而避免触发安全警报。他们还通过连接到与目标位于同一国家的VPN代理来进一步伪装自己。

注册设备还为攻击者提供了针对任何试图将其赶出系统的尝试的持久性。例如,Unit 42观察到的一个案例中,IT团队在试图重新控制被盗帐户时立即受阻。看到自己可能会被踢出系统,攻击者启动了密码重置,因为他们知道重置链接会发送给他们。Unit 42报告称,随后出现了“拉锯战场景”,在此过程中触发了多个安全警报,直到问题得到解决。

网络攻击者将目光投向云端

此次活动中受影响的用户和组织数量尚不清楚,但可能不多。Unit 42的高级威胁研究员Nathaniel Quist指出,“由于此操作相当于双重入侵事件,因为必须打开钓鱼邮件,然后还需要成功请求Azure凭证的额外操作。我们怀疑,提供云凭证的受害者数量甚至更少。例如,并非每个受害者都会为其云操作使用Azure基础设施。”

更清楚的是,那些被入侵的组织将遭遇什么。凭借帐户凭证和持久性,攻击者将更深入地嵌入到企业云环境中,“他们要么通过附加更多特权[身份和访问管理]策略来升级其访问权限,以创建、修改或删除云资源,要么在云环境中横向移动,朝着受害者IAM帐户可能访问的存储容器移动,”Quist说。

虽然乍一看这可能是一场相当标准的钓鱼攻击,但Quist表示,这也反映了最近网络攻击趋势的更广泛情况——逐渐转向范围更广、野心更大的云攻击。“在我看来,我们开始看到一种日益增长的趋势,即钓鱼攻击操作不再在受害者系统上建立以恶意软件为重点的滩头阵地,而是瞄准用户访问云平台(如本案中的Azure)或SaaS平台的凭证,”他说。“受害者端点只是连接到更大云平台的初始入口。”

打开APP阅读更多精彩内容