Phishing

ドイツおよび英国の自動車、化学、工業製造企業を標的としたフィッシングキャンペーンが、HubSpotを悪用してMicrosoft Azureアカウントの認証情報を盗んでいます。

脅威の主体は、HubSpot Free Form BuilderのリンクやDocuSignを模倣したPDFを使用して、被害者をクレデンシャル・ハーベスティング・ページにリダイレクトします。

Palo Alto NetworksのUnit 42リサーチャーチームによると、このキャンペーンは2024年6月に開始され、少なくとも2024年9月まで有効であり、約20,000アカウントが侵害されました。

「私たちの遠隔測定によると、脅威の主体は、ヨーロッパのさまざまな企業にわたり、およそ20,000人のユーザーを標的とすることに成功しました」とPalo Alto Unit 42のレポートは説明しています。

クレデンシャル・ハーベスティングに使用されたHubSpot

HubSpotは、マーケティングオートメーション、セールス、カスタマーサービス、アナリティクス、ウェブサイトやランディングページの構築に使用される正規の顧客関係管理(CRM)プラットフォームです。

フォームビルダーは、ウェブサイト訪問者から情報を取得するためのカスタムオンラインフォームを作成できる機能です。

Unit 42が追跡したフィッシングキャンペーンでは、脅威行為者はHubSpot Form Builderを悪用して少なくとも17の偽装フォームを作成し、被害者をおびき寄せ、次のステップで機密情報を提供させようとしました。

Deceptive HubSpot form
欺瞞的な HubSpot フォーム
情報源:ユニット42

HubSpotのインフラ自体は侵害されていませんでしたが、被害者をMicrosoft Outlook Web AppやAzureのログインページを模倣した「.buzz」ドメインの攻撃者が管理するサイトへ誘導する中間段階として利用されました。

Phishing page targeting Outlook accounts
Outlookアカウントを標的としたフィッシングページ
ソースはこちら:ユニット42

DocuSignの文書管理システム、フランスの公証人役場、組織固有のログインポータルを模倣したウェブページも攻撃に使用された。

被害者は、添付されたPDFまたは埋め込まれたHTMLにHubSpotへのリンクを含むDocuSignブランドのフィッシングメッセージによって、これらのページに誘導されました。

Phishing email sample
フィッシングメールのサンプル
ユニット42

このメールには正規のサービス(HubSpot)へのリンクが含まれているため、メールセキュリティツールでは通常フラグが立てられず、標的の受信トレイに届く可能性が高くなります。

しかし、このキャンペーンに関連するフィッシングメールは、Sender Policy Framework (SPF)、DomainKeys Identified Mail (DKIM)、Domain-based Message Authentication, Reporting, and Conformance (DMARC)のチェックに失敗しました。

Overview of the attack
攻撃の概要
ユニット 42

攻撃後の活動

研究者が確認した攻撃が成功したケースでは、脅威者はVPNを使用して、あたかも被害組織の国に拠点を置いているかのように見せかけていました。

「IT部門がアカウントのコントロールを取り戻すと、攻撃者はすぐにパスワードのリセットを開始し、コントロールを取り戻そうとしました

「これによって、両者がアカウントの制御をめぐって争う綱引きのシナリオが生まれた。

Unit 42はまた、このキャンペーンで使用された斬新なASN(Autonomous System Number)を特定した。このASNは、特定の異常なユーザーエージェント文字列とともに脅威の識別に使用できる。

このフィッシング・キャンペーンのバックボーンとして機能したサーバーの大半はすでにオフラインになっているが、脅威行為者は常にセキュリティ・ツールを迂回する新たな手段を模索しているため、この活動は合法的なサービス悪用の新たな例と言える。