Grootschalige phishingcampagne kraakte 20.000 Europese Azure-accounts

phishing

Cybercriminelen misbruikten HubSpot en DocuSign om Europese bedrijven te viseren. De campagne heeft 20.000 Microsoft Azure-accounts gecompromitteerd.

Het Unit 42-onderzoeksteam van Palo Alto waarschuwt voor een grootschalige phishingcampagne in Europa. De aanvallen viseren voornamelijk bedrijven uit de chemische sector, de auto-industrie of industriële producenten. En met succes: want tussen juni en september zouden ongeveer 20.000 Microsoft Azure-accounts gecompromitteerd zijn.

lees ook

Microsoft pusht meldingen van passkeys zonder opt-out-optie

De modus operandi leest als een klassieke phishingaanval. De aanvallers misbruikten DocuSign en/of het online marketingplatform HubSpot om hun doelwitten om de tuin te leiden. Het doel is echter hetzelfde: het slachtoffer via een mail op een schadelijke link laten klikken en de inloggegevens bemachtigen.

Touwtrekken

De blog van Palo Alto gaat dieper in op hoe de phishingaanvallen werken. De aanvallers hebben gebruik gemaakt van de HubSpot Form Builder om een invulformulier te maken dat de inloggegevens van het slachtoffers probeert los te weken. Vervolgens wordt een rechtstreekse link naar het formulier in de mail gestopt, ofwel via een DocuSign-bijlage.

docusign phishing
Een phishingmail die DocuSign nabootst. Bron: Palo Alto Networks

Hoewel er geen kraak op de systemen van HubSpot zelf heeft plaatsgevonden, speelde het platform dus onbedoeld wel een belangrijke rol in de campagne. Omdat HubSpot als een legitieme tool wordt beschouwd, glipten de mails door de spamfilters van mailservers. Het instellen van bijkomende controles op onder andere de domeinnaam of afzender doet wel de rode vlag afgaan.

Eens de aanvaller binnen is, zetten ze een VPN aan om te doen lijken alsof ze in het land van de getroffen organisatie waren gevestigd. Van zodra de IT-admins iets in de gaten krijgen, wordt een wachtwoordreset uitgevoerd. Zo ontstaat een ‘touwtrekscenario’ waarbij admins en de indringers strijden voor de controle over het account, schrijven de onderzoekers.

Het ergste lijkt achter de rug. De servers die de phishingcampagne ondersteunden, zijn reeds offline gehaald. Het gevaar van phishing is echter nog lang niet geweken.

nieuwsbrief

Abonneer je gratis op ITdaily !

  • This field is for validation purposes and should be left unchanged.