Unit 42, Palo Alto Networks’ cybersikkerheds-team, har afdækket en omfattende og sofistikeret phishing-kampagne, der høster login-oplysninger til at tage kontrol over virksomheders Microsoft Azure Cloud-infrastruktur.
Kampagnen, der især har ramt virksomheder inden for bilindustrien, kemisk produktion og industriel fremstilling i Europa, herunder Tyskland og Storbritannien, har allerede påvirket over 20.000 brugere og var stadig aktiv i september 2024. Virksomheder skal altså stadig være varsom i forbindelse med gruppens metode.
- Selvom rapporten primært fortæller om eksempler i Storbritannien og Tyskland, så er sårbarhederne ikke nationale. Derfor skal danske virksomheder også tage advarslen seriøst, tjekke op på sit cloud-miljø og intensivere træningen af deres medarbejdere for at forebygge phishing-angreb, siger Jesper Olsen, Nordeuropæisk CISO for Palo Alto Networks.
Avancerede teknikker udnytter cloud-sårbarheder
Phishing-angrebene kulminerede i juni 2024 og har vist sig både målrettede og velorganiserede. Trusselsaktørerne har anvendt flere sofistikerede metoder til at omgå virksomheders sikkerhedsforanstaltninger og fastholde adgang til kompromitterede systemer:
• Falske formularer via HubSpot: Angriberne benyttede HubSpot Free Form Builder-tjenesten til at skabe falske formularer, som fremstod troværdige og ofte bar virksomhedsspecifik branding for at narre ofrene.
• Credential Harvesting: Ved at omdirigere ofrene fra falske e-mails og PDF’er til sider forklædt som Microsoft Azure-login, lykkedes det at høste loginoplysninger fra intetanende brugere.
• Vedvarende adgang: Angriberne sikrede fortsat adgang til ofrenes cloud-miljøer ved at tilføje nye, uautoriserede enheder til kompromitterede konti. Dette gjorde det vanskeligt at blokere angriberne, selv efter sikkerhedsteams forsøgte at genvinde kontrol.
Europæiske virksomheder under pres
Europæiske virksomheder har været særligt udsatte i denne kampagne. Angrebet afslører en stigende trussel mod kritiske industrier, der er afhængige af cloud-løsninger som Microsoft Azure. Unit 42's efterforskning viser, hvordan trusselsaktørerne systematisk har udnyttet legitime cloud-tjenester til at sprede phishing-fælder og kompromittere konti på stor skala.
Sådan beskytter virksomheder sig mod angrebet
Unit 42 anbefaler europæiske virksomheder at intensivere deres sikkerhedsforanstaltninger:
• Overvåg e-mails for autentificeringsfejl: Fejl i SPF, DKIM og DMARC kan indikere spoofing eller phishing-forsøg.
• Implementer proaktiv overvågning: 24/7 monitorering af unormal aktivitet i cloud-miljøer er afgørende for at stoppe angreb i tide.
• Træn medarbejdere i phishing-identifikation: Mange af de falske e-mails og PDF'er skabte en falsk følelse af hastværk, en klassisk phishing-taktik.
En voksende trussel i cloud-landskabet
Phishing-kampagnens brug af legitime tjenester som HubSpot og Azure understreger en farlig tendens, hvor angribere udnytter velkendte platforme til at skjule deres aktiviteter. Unit 42 fortsætter med at overvåge udviklingen og samarbejder med berørte virksomheder og teknologileverandører for at mindske truslen.