欧州企業へHubSpotを悪用したフィッシングキャンペーンに関する注意喚起

パロアルトネットワークスの脅威研究チームUnit 42は、2024年に欧州の自動車、化学、工業複合製造業界をターゲットにしたフィッシングキャンペーンを調査しました。この攻撃は、被害者のMicrosoft Azureクラウドインフラへのアクセスを目的としており、約20,000人がターゲットにされました。

HubSpot が認証情報の収集に悪用される

2024 年 6 月、Unit 42 の研究者は、少なくとも 20,000 人のヨーロッパの自動車、化学、工業用化合物製造ユーザーをターゲットにしたフィッシング キャンペーンを特定しました。

フィッシング メールには、

電子署名サービス「Docusign」 対応の PDF ファイルが添付するもしくは、添付ファイルが表示されたビジネスHTMLメールなどで送付され、HubSpotのフォームへ踏み台に、Microsoftのサービスに偽装したサイトへ遷移させ認証情報を窃取します。

フィッシングキャンペーンの概要

  1. フィッシングメールを送信
  2. HubSpotのフォームで重要情報をダウンロードするか?という選択肢を表示
  3. Microsoft Outlook Web App や Azure ログイン ページを模倣した「.buzz」ドメイン上のフィッシングサイトへ遷移させる

HubSpot が認証情報の収集に悪用される

画像:Unit 42

これらのフィッシング攻撃には、その組織のブランドや電子メール アドレスの形式に特有のテーマに沿った会話が含まれていました

Docusign 対応ファイルに偽装したフィッシングメールの概要

 PDF 添付ファイルでは、ファイル名にターゲット組織の名前が使用されていました (例: CompanyName.pdf )。

以下は、Docusign ドキュメントを偽装した悪意のある PDF ファイルの例です。

以下のVIEW DOCUMENTを選択すると、次の URL 形式のフリーフォームにリダイレクト[https://share-eu1.hsforms[.]com/FORM-ID。]されますDocusign ドキュメントを模倣した悪意のある PDF ファイルの例をです。

画像:Unit 42

HubSpot Free Formを悪用して認証情報を窃取するページへ遷移

PDF/Htmlメールどちらも選択するとHubSpot のフォームが表示されます。

このページで重要情報をダウンロードするかという選択を行い、Microsoft Secured Cloudへ遷移するように見せかけていますが、遷移先はフィッシングサイトになります。

HubSpot Free Formへ遷移

画像:Unit 42

フィッシング キャンペーンでは、被害者の Microsoft Azure クラウドインフラへの接続を何度か試みたことが確認されたとしています。

なおHubSpot Free Formを悪用して最低でも 17 個の偽のフォームを作成し、次のステップで被害者に機密の認証情報を提供するよう誘導されていました。

 Microsoft Outlook Web App のフィッシングサイトへ遷移

前述のHubSpotのフォームからフィッシングサイトへ遷移します。

Microsoft Outlook Web App や Azure ログイン ページを模倣した「.buzz」ドメイン上の攻撃者が管理するサイトに被害者を誘導するための中間ステップとして使用されました。

 Microsoft Outlook Web App のフィッシングサイトへ遷移

画像:Unit 42

上記サイト以外にもフランスの公証役場、組織固有のログイン ポータルを模倣した Web ページもフィッシング攻撃に使用されていました。

なお、攻撃者の活動は、以下のような異常な振る舞いで検知されます。

  • 不自然な移動パターン(Impossible Traveler)
    • 短時間で異なる国からのログイン試行。
  • 未知のASN(自律システム番号)の利用
    • 新しいネットワークインフラからのアクセス。
  • 異常なユーザーエージェント文字列
    • 攻撃者が独自のユーザーエージェントを使用してログインを試行。

対策

  • フィッシング攻撃の早期検知と対応。
  • セキュリティツールの活用と適切な導入。
  • 従業員の認識向上とトレーニング。
  • 多要素認証(MFA)の適用。
TOPへ