Die Forscher von Unit 42 haben eine Phishing-Kampagne auf europäische Unternehmen – darunter auch aus Deutschland – aufgedeckt. Die Kampagne zielte darauf ab, Microsoft Azure Cloud-Zugangsdaten zu stehlen und die Cloud-Infrastruktur der Opfer zu übernehmen.
Die Phishing-Versuche der Kampagne erreichten im Juni 2024 ihren Höhepunkt, die als gefälschte Formulare mit dem Dienst „HubSpot Free Form Builder“ erstellt wurden. Unsere Telemetriedaten zeigen, dass der Bedrohungsakteur erfolgreich rund 20.000 Benutzer in verschiedenen europäischen Unternehmen ins Visier genommen hat.
Phishing-Kampagne startete bereits Juni 2024
Unsere Untersuchung ergab, dass die Phishing-Kampagne zwar offenbar im Juni 2024 begann, im September 2024 jedoch noch aktiv war. Die Kampagne zielte auf europäische Unternehmen in den folgenden Branchen ab:
- Automobilindustrie
- Chemische Industrie
- Industrielle Compound-Herstellung
In Zusammenarbeit mit den Sicherheitsteams von HubSpot wurde wir festgestellt, dass HubSpot während dieser Phishing-Kampagne nicht kompromittiert wurde und dass die Links zum Free Form Builder auch nicht über die HubSpot-Infrastruktur an die Zielopfer übermittelt wurden.
HubSpot und DocuSign missbraucht
Die Experten haben sich an Docusign gewandt und sie antworteten: „Das Vertrauen, die Sicherheit und die Privatsphäre unserer Kunden standen schon immer im Mittelpunkt des Geschäfts von Docusign. Seit dieser Untersuchung hat Docusign eine Reihe zusätzlicher Maßnahmen ergriffen, um unsere proaktiven Präventionsmaßnahmen zu stärken, die bis heute die Anzahl der Unterzeichner, die betrügerische Docusign-Signaturanfragen erhalten, erheblich verringert haben.“
Es gab Hinweise darauf, dass der Bedrohungsakteur mehrere Phishing-Versuche auf bestimmte Organisationen abzielte. Diese Phishing-Versuche wurden mit thematischen Dialogen ergänzt, die speziell auf die Marke und das Format der E-Mail-Adresse dieser Organisation zugeschnitten waren. Mehrere bösartige PDF-Anhänge verwendeten den Namen der Zielorganisation im Dateinamen (z. B. CompanyName.pdf ). Eine genaue Auswertung des Angriff und die dabei verwendeten Dokumente zeigt der entsprechende Blog-Beitrag von Unit42.
Mehr bei PaloAltoNetworks.com
Über Palo Alto Networks Palo Alto Networks, der weltweit führende Anbieter von Cybersicherheitslösungen, gestaltet die cloudbasierte Zukunft mit Technologien, die die Arbeitsweise von Menschen und Unternehmen verändern. Unsere Mission ist es, der bevorzugte Cybersicherheitspartner zu sein und unsere digitale Lebensweise zu schützen. Wir helfen Ihnen, die größten Sicherheitsherausforderungen der Welt mit kontinuierlichen Innovationen anzugehen, die die neuesten Durchbrüche in den Bereichen künstliche Intelligenz, Analytik, Automatisierung und Orchestrierung nutzen. Durch die Bereitstellung einer integrierten Plattform und die Stärkung eines wachsenden Ökosystems von Partnern sind wir führend beim Schutz von Zehntausenden von Unternehmen über Clouds, Netzwerke und mobile Geräte hinweg. Unsere Vision ist eine Welt, in der jeder Tag sicherer ist als der vorherige.