Une campagne de phishing ciblant des entreprises de fabrication automobile, chimique et industrielle en Allemagne et au Royaume-Uni abuse de HubSpot pour voler les informations d’identification de compte Microsoft Azure.
Les auteurs de la menace utilisent des liens HubSpot Free Form Builder et des PDF imitant DocuSign pour rediriger les victimes vers des pages de collecte d’informations d’identification.
Selon l’équipe de chercheurs de l’Unité 42 de Palo Alto Networks, la campagne, qui a débuté en juin 2024 et est restée active au moins jusqu’en septembre 2024, a compromis environ 20 000 comptes.
« Notre télémétrie indique que l’auteur de la menace a ciblé avec succès environ 20 000 utilisateurs dans diverses entreprises européennes », explique le rapport de l’Unité 42 de Palo Alto.
HubSpot utilisé pour la récolte des informations d’identification
HubSpot est une plate-forme légitime de gestion de la relation client (CRM) utilisée dans l’automatisation du marketing, les ventes, le service client, l’analyse et la création de sites Web et de pages de destination.
Le générateur de formulaires est une fonctionnalité qui permet aux utilisateurs de créer des formulaires en ligne personnalisés pour capturer des informations auprès des visiteurs du site Web.
Dans la campagne de phishing suivie par l’unité 42, les acteurs de la menace ont exploité HubSpot Form Builder pour créer au moins dix-sept formulaires trompeurs afin d’inciter les victimes à fournir des informations d’identification sensibles à l’étape suivante.
Bien que l’infrastructure HubSpot elle-même n’ait pas été compromise, elle a été utilisée comme étape intermédiaire pour diriger les victimes vers des sites contrôlés par l’attaquant.domaines de buzz imitant l’application Web Microsoft Outlook et les pages de connexion Azure.
Des pages Web imitant le système de gestion de documents de DocuSign, des offices notariaux français et des portails de connexion spécifiques à l’organisation ont également été utilisés dans les attaques.
Les victimes ont été dirigées vers ces pages par des messages de phishing de marque DocuSign contenant des liens vers HubSpot, soit sur un PDF joint, soit sur du HTML incorporé.
Comme les e-mails contiennent des liens vers un service légitime (HubSpot), ils ne sont généralement pas signalés par les outils de sécurité des e-mails, ils sont donc plus susceptibles d’atteindre les boîtes de réception cibles.
Cependant, les e-mails de phishing associés à cette campagne ont échoué aux vérifications Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) et Domain-based Message Authentication, Reporting, and Conformance (DMARC).
Activité post-compromis
Dans les cas d’attaques réussies vues par les chercheurs, les acteurs de la menace ont utilisé des VPN pour donner l’impression qu’ils étaient basés sur le pays de l’organisation victime.
« Lorsqu’IL a repris le contrôle du compte, l’attaquant a immédiatement lancé une réinitialisation du mot de passe, tentant de reprendre le contrôle », décrivent les chercheurs de l’Unité 42.
« Cela a créé un scénario de bras de fer dans lequel les deux parties ont lutté pour le contrôle du compte. »
L’unité 42 a également identifié un nouveau numéro de système autonome (ASN) utilisé dans la campagne, qui peut être utilisé pour l’identification des menaces avec des chaînes spécifiques et inhabituelles d’agent utilisateur.
Bien que la plupart des serveurs qui constituaient l’épine dorsale de la campagne de phishing soient depuis longtemps hors ligne, cette activité est un autre exemple d’abus de service légitime, car les auteurs de menaces explorent constamment de nouvelles voies pour contourner les outils de sécurité.