HubPhish атакует: Microsoft Azure под угрозой масштабного фишинга

Исследователи из Palo Alto Networks раскрыли новую фишинговую кампанию под названием HubPhish, нацеленную на компании в Европе с целью похищения учётных данных и контроля над облачной инфраструктурой Microsoft Azure. Атака охватила около 20 000 пользователей в сферах автомобилестроения, химии и промышленного производства.

Кульминация фишинговой активности пришлась на июнь 2024 года. Злоумышленники использовали бесплатный конструктор форм HubSpot для создания поддельных форм, перенаправляющих жертв на фальшивую страницу входа Office 365 Outlook Web App. Это позволяло похищать учётные данные пользователей.

В кампании выявлено не менее 17 рабочих форм HubSpot, перенаправляющих жертв на домены, контролируемые злоумышленниками. Большинство из них были зарегистрированы в зоне «.buzz». Хостинг инфраструктуры обеспечивался через Bulletproof VPS, что также использовалось для доступа к скомпрометированным учётным записям Azure.

После получения доступа злоумышленники добавляли в учётные записи новые устройства, что позволяло сохранять контроль и обеспечивать долговременное присутствие. Затем они проводили атаки на конечные устройства жертв и перемещались внутри облачной инфраструктуры.

Также отмечено, что атакующие использовали тему DocuSign в фишинговых письмах. Жертвам предлагалось открыть документ, запускающий цепочку перенаправлений на вредоносные страницы.

В последние месяцы участились случаи использования легитимных сервисов, таких как Google Calendar и Google Drawings, для обхода почтовой защиты. Например, злоумышленники всё чаще отправляют письма с вложением формата «.ICS», содержащим ссылки на эти платформы. Данные ссылки маскируются под элементы защиты, однако клик по ним ведёт на мошеннические сайты.

Эксперты Check Point советуют включить настройку «известные отправители» в Google Calendar, чтобы защититься от подобных атак, и быть бдительными при получении писем с неожиданными вложениями или ссылками.