21-12-2024

Storstilet phishing-kampagne rammer 20.000 europæiske brugere

En ny omfattende og sofistikeret phishing-kampagne er nu afsløret. Kampagnen høster login-oplysninger til at tage kontrol over virksomheders Microsoft Azure Cloud-infrastruktur.

Researchgruppen Unit 42, som er en del af verdens største it-sikkerhedsvirksomhed, amerikanske Palo Alto Networks, har registreret en ny alvorlig sårbarhed, som allerede har ramt 20.000 brugere i europæiske virksomheder.

Unit 42, Palo Alto Networks’ cybersikkerheds-team, har afdækket en omfattende og sofistikeret phishing-kampagne, der høster login-oplysninger til at tage kontrol over virksomheders Microsoft Azure Cloud-infrastruktur.

Kampagnen, der især har ramt virksomheder inden for bilindustrien, kemisk produktion og industriel fremstilling i Europa, herunder Tyskland og Storbritannien, har allerede påvirket over 20.000 brugere og var stadig aktiv i september 2024. Virksomheder skal altså stadig være varsom i forbindelse med gruppens metode.

- Selvom rapporten primært fortæller om eksempler i Storbritannien og Tyskland, så er sårbarhederne ikke nationale. Derfor skal danske virksomheder også tage advarslen seriøst, tjekke op på sit cloud-miljø og intensivere træningen af deres medarbejdere for at forebygge phishing-angreb, siger Jesper Olsen, Nordeuropæisk CISO for Palo Alto Networks.

Avancerede teknikker udnytter cloud-sårbarheder

Phishing-angrebene kulminerede i juni 2024 og har vist sig både målrettede og velorganiserede. Trusselsaktørerne har anvendt flere sofistikerede metoder til at omgå virksomheders sikkerhedsforanstaltninger og fastholde adgang til kompromitterede systemer:

• Falske formularer via HubSpot: Angriberne benyttede HubSpot Free Form Builder-tjenesten til at skabe falske formularer, som fremstod troværdige og ofte bar virksomhedsspecifik branding for at narre ofrene.

• Credential Harvesting: Ved at omdirigere ofrene fra falske e-mails og PDF’er til sider forklædt som Microsoft Azure-login, lykkedes det at høste loginoplysninger fra intetanende brugere.

• Vedvarende adgang: Angriberne sikrede fortsat adgang til ofrenes cloud-miljøer ved at tilføje nye, uautoriserede enheder til kompromitterede konti. Dette gjorde det vanskeligt at blokere angriberne, selv efter sikkerhedsteams forsøgte at genvinde kontrol.

Europæiske virksomheder under pres

Europæiske virksomheder har været særligt udsatte i denne kampagne. Angrebet afslører en stigende trussel mod kritiske industrier, der er afhængige af cloud-løsninger som Microsoft Azure. Unit 42's efterforskning viser, hvordan trusselsaktørerne systematisk har udnyttet legitime cloud-tjenester til at sprede phishing-fælder og kompromittere konti på stor skala.

Sådan beskytter virksomheder sig mod angrebet

Unit 42 anbefaler europæiske virksomheder at intensivere deres sikkerhedsforanstaltninger:

• Overvåg e-mails for autentificeringsfejl: Fejl i SPF, DKIM og DMARC kan indikere spoofing eller phishing-forsøg.

• Implementer proaktiv overvågning: 24/7 monitorering af unormal aktivitet i cloud-miljøer er afgørende for at stoppe angreb i tide.

• Træn medarbejdere i phishing-identifikation: Mange af de falske e-mails og PDF'er skabte en falsk følelse af hastværk, en klassisk phishing-taktik.

En voksende trussel i cloud-landskabet

Phishing-kampagnens brug af legitime tjenester som HubSpot og Azure understreger en farlig tendens, hvor angribere udnytter velkendte platforme til at skjule deres aktiviteter. Unit 42 fortsætter med at overvåge udviklingen og samarbejder med berørte virksomheder og teknologileverandører for at mindske truslen.



Leverandører
Ændre marked
Tilbage til toppen
Luk