1 Minute
Europas Industrie im Visier: Massive Phishing-Attacke
Eine großangelegte Phishing-Kampagne hat im Juni 2024 mindestens 20.000 Nutzer aus der europäischen Automobil-, Chemie- und Industriebranche ins Visier genommen. Die Sicherheitsforscher von Unit 42 identifizierten dabei zwei Hauptangriffswege: gefälschte DocuSign-PDF-Dateien sowie manipulierte Links zu HubSpots Form Builder, die in Phishing-Mails eingebettet waren.
Die Angreifer gingen dabei laut Unit 42 hochprofessionell und zielgerichtet vor. Sie passten ihre Phishing-Versuche genau an die jeweiligen Zielorganisationen an, verwendeten deren Markennamen und E-Mail-Formatierungen. Die gefälschten PDF-Anhänge enthielten sogar die Namen der anvisierten Unternehmen. Besonders auffällig war der Versuch, die Opfer zur Eingabe ihrer Microsoft Azure-Zugangsdaten zu bewegen.
Die technische Infrastruktur der Kampagne war komplex und gut durchdacht. Die Angreifer nutzten verschiedene Dienste, darunter auch sogenannte "Bulletproof"-Hosting-Anbieter, die für ihre laxe Durchsetzung rechtlicher Vorschriften bekannt sind. Interessanterweise verwendeten die Täter dieselbe Infrastruktur sowohl für ihre Phishing-Aktivitäten als auch für den späteren Zugriff auf kompromittierte Microsoft-Azure-Konten.
Nach erfolgreicher Kompromittierung setzten die Angreifer auf raffinierte Persistenz-Mechanismen. Sie fügten neue Geräte zu den gehackten Konten hinzu, um dauerhaften Zugang zu behalten. Dies führte in einigen Fällen zu einem regelrechten "Tauziehen" um die Kontrolle der Konten zwischen den Angreifern und den IT-Teams der betroffenen Unternehmen.
Unit 42 arbeitet nach eigenem Bekunden eng mit HubSpot zusammen, um Benachrichtigungs- und Eindämmungsstrategien zu entwickeln. Die Sicherheitsforscher gehen davon aus, dass die Kampagne bei mehreren Unternehmen in verschiedenen europäischen Ländern erfolgreich war. Die betroffenen Organisationen wurden bei der Wiederherstellung ihrer Systemsicherheit unterstützt. DocuSign teilte mit, dass zusätzliche Schutzmaßnahmen implementiert wurden, die die Anzahl betrügerischer Signaturanfragen deutlich reduziert haben.