【安全资讯】HubSpot钓鱼攻击瞄准2万微软Azure账户

概要：

近期，一场针对德国和英国汽车、化工及工业制造公司的钓鱼攻击活动引起了广泛关注。攻击者利用HubSpot平台窃取微软Azure账户凭证，影响了约2万名用户。此事件不仅揭示了钓鱼攻击的复杂性，也提醒企业在网络安全防护中的重要性。

主要内容：

这场钓鱼活动自2024年6月开始，持续至至少9月，攻击者利用HubSpot的表单构建器创建了至少17个欺骗性表单，诱使受害者提供敏感凭证。尽管HubSpot本身并未遭到破坏，但其平台被用作中介，引导受害者访问攻击者控制的仿冒网站，这些网站模仿微软Outlook Web App和Azure登录页面。

攻击者通过伪装成DocuSign的钓鱼邮件，包含指向HubSpot的链接，成功绕过了大多数邮件安全工具的检测。这些邮件虽然未通过发送者策略框架（SPF）和域名密钥识别邮件（DKIM）检查，但由于链接指向合法服务，仍然能够顺利到达目标收件箱。

在成功攻击后，攻击者使用VPN伪装成受害组织所在国家的用户，试图重新控制被盗账户。Unit 42的研究人员指出，这种情况形成了双方争夺账户控制权的拉锯战。此外，研究人员还发现了一个新颖的自主系统编号（ASN），可用于威胁识别，表明攻击者不断探索新的手段以绕过安全工具。