Исследователи Unit 42 провели расследование фишинговой кампании, направленной на компании в Европе, особенно в Германии и Великобритании. Целью этой кампании был сбор учетных данных и захват облачной инфраструктуры Microsoft Azure жертвы. В июне 2024 года был зафиксирован пик фишинговых атак, а поддельные формы создавались с использованием сервиса HubSpot Free Form Builder. По данным телеметрии, около 20 000 пользователей из европейских компаний были успешно атакованы.
Описание
Хотя кампания началась в июне 2024 года, она была активна и продолжалась в сентябре 2024 года. Целию атаки были компании в автомобильной, химической и промышленной промышленностях. Исследователи указывают, что клиенты Palo Alto Networks могут быть лучше защищены от таких угроз с помощью продуктов и услуг, таких как Advanced WildFire, Advanced URL Filtering и Advanced DNS Security, Cortex XDR и XSIAM, а также группа управляемых услуг подразделения 42.
В ходе расследования было установлено, что фишинговые письма содержат как прикрепленные PDF-файлы с поддержкой Docusign, так и HTML-ссылки, ведущие на вредоносные страницы HubSpot Free Form Builder. После нажатия на кнопку "Просмотреть документ" жертвы перенаправляются на страницу с формой, где им предлагается ввести данные для входа в Microsoft Azure.
Исследователи также обнаружили, что злоумышленники использовали несколько уровней перенаправления для достижения своей инфраструктуры сбора данных. Компания HubSpot сообщила, что их платформа не была скомпрометирована во время кампании, и ссылки Free Form Builder не были доставлены жертвам через их инфраструктуру.
Компания Docusign также реагировала на обнаруженные угрозы, усиливая свои превентивные меры. Исследователи указывают, что вредоносные PDF-файлы имели в своем имени название целевой организации, а фишинговые попытки были сопровождены тематическим диалогом, соответствующим бренду компании-жертвы.
В целом, фишинговая кампания была хорошо продуманной и нацелена на сбор учетных данных компаний в Европе. Исследователи Unit 42 рекомендуют связаться с командой по реагированию на инциденты, если есть подозрение на компрометацию или возникли срочные проблемы.
Indicators of Compromise
IPv4
- 104.21.25.8
- 13.40.68.32
- 144.217.158.133
- 167.114.27.228
- 172.67.221.137
- 18.67.38.155
- 188.166.3.116
- 208.115.208.118
- 208.91.198.96
- 49.12.110.250
- 74.119.239.234
- 91.92.242.68
- 91.92.244.131
- 91.92.245.39
- 91.92.253.66
- 94.156.71.208
- 94.46.246.46
URLs
- http://orderconfirmation.dgpropertyconsultants.buzz/
- http://share-eu1.hsforms.com/1wg25r1Z-R5GkhY6k-xGzOg2dvcv5
- https://9qe.daginvusc.com/miUxeH/
- https://asdrfghjk3wr4e5yr6uyjhgb.mhp-hotels.buzz/?Nhv3zM=xI7Kyf
- https://d2715zbmeirdja.cloudfront.net/?__hstc=251652889.fcaff35c15872a69c6757196acd79173.1727206111338.1727206111338.1727206111338.1&__hssc=251652889.158.1727206111338&__hsfp=1134454612&submissionGuid=30359eaf-a821-472d-ba17-dd2bd0d96b96
- https://docs.doc2rprevn.buzz/?username=
- https://docs.doc2rprevn.buzz?username=
- https://docusharepoint.fundament-advisory.buzz/?3aGw=Nl9
- https://espersonal.org/doc0024/index.php?submissionGuid=6e59d483-9dc2-48f8-ad5a-c2d2ec8f4569
- https://espersonal.org/doc0024/index.php?submissionGuid=96a9b82a-55d3-402d-9af4-c2c5361daf5c
- https://orderconfirmating.symmetric.buzz/?df=ZUvkMN&submissionGuid=e06a1f83-c24e-4106-b415-d2f43a06a048
- https://orderspecification.tekfenconstruction.buzz/?6BI=AmaPH&submissionGuid=e2ce33ea-ee47-4829-882c-592217dea521
- https://purchaseorder.europeanfreightleaders.buzz/?Mt=zqoE&submissionGuid=476f32d0-e667-4a18-830b-f57a2b401fc3
- https://purchaseorder.vermeernigeria.buzz/?cKg=C3&submissionGuid=4631b0c9-5e10-4d81-b1d6-4d01045907e7
- https://sensational-valkyrie-686c5f.netlify.app/?e=
- https://share-eu1.hsforms.com/12-j0Y4sfQh-4pEV6VKVOeg2dzmbq
- https://share-eu1.hsforms.com/176T8k3N9Q562OEEfhS22Fg2ebzvj
- https://share-eu1.hsforms.com/18wO3Zb9hTIuittmhHvQFuQ2ec8gt
- https://share-eu1.hsforms.com/1AEc2-gS4TuyQyAiMQfB5Qw2e5xq0
- https://share-eu1.hsforms.com/1C1IZ0_b-SD6YXS66alL4EA2e90m9
- https://share-eu1.hsforms.com/1cJJXJ0NfTPOKwn23oAmmzQ2e901x
- https://share-eu1.hsforms.com/1fnJ8gX6kR_aa5HlRyJhuGw2ec8i2
- https://share-eu1.hsforms.com/1G-NQN9DbSVmDy1HDeovJCQ2ebgc6
- https://share-eu1.hsforms.com/1P_6IFHnbRriC_DG56YzVhw2dz72l
- https://share-eu1.hsforms.com/1qe8ypRpdTr284rkNpgmoow2ebzty
- https://share-eu1.hsforms.com/1QPAfZcocSuu3AnqznjU14A2eabj0
- https://share-eu1.hsforms.com/1UgPJ18suRU-NEpmYkEwteg2ec0io
- https://share-eu1.hsforms.com/1vNr8tB1GS4mZuYg81ji3dg2e08a3
- https://share-eu1.hsforms.com/1wg25r1Z-R5GkhY6k-xGzOg2dvcv5
- https://share-eu1.hsforms.com/1zP2KsosARaGzLqdj2Umk6Q2ekgty
- https://technicaldevelopment.industrialization.buzz/?o0B=RLNT
- https://technicaldevelopment.rljaccommodationstrust.buzz/?WKg=2Ljv8
- https://vigaspino.com/2doc5/index.php?submissionGuid=093410a5-c228-4ddf-890c-861cdc6fe5d8
- https://vigaspino.com/2doc5/index.php?submissionGuid=1d51a08d-cf55-4146-8b5b-22caa765ac85
- https://vomc.qeanonsop.xyz/?hh5=IY&[email protected]
- https://wr43wer3ee.cyptech.com.au/oeeo4/ewi9ew/mnph_term=?/&submissionGuid=50aa078a-fb48-4fec-86df-29f40a680602
SHA256
- b2ca9c6859598255cd92700de1c217a595adb93093a43995c8bb7af94974f067
- deff0a6fbf88428ddef2ee3c4d857697d341c35110e4c1208717d9cce1897a21
- f3f0bf362f7313d87fcfefcd6a80ab0f18bc6c5517d047be186f7b81a979ff91