网络安全研究人员披露了一个针对欧洲公司的新型网络钓鱼活动，其目的是获取账户凭证并控制受害者的微软 Azure 云基础设施。

由于在攻击链中滥用了 HubSpot 工具，Palo Alto Networks Unit 42 将该活动命名为 HubPhish。目标包括欧洲至少 2 万名汽车、化工和工业化合物制造用户。

安全研究人员 Shachar Roitman、Ohad Benyamin Maimon 和 William Gamazo 在与 The Hacker News 分享的一份报告中说：“该活动的网络钓鱼尝试在 2024 年 6 月达到顶峰，使用 HubSpot Free Form Builder 服务创建了虚假表单。”

这些攻击涉及发送带有 Docusign 主题诱饵的钓鱼电子邮件，诱使收件人查看文档，然后将用户重定向到恶意的 HubSpot Free Form Builder 链接，从那里将用户引导到伪造的 Office 365 Outlook Web App 登录页面，以窃取他们的凭据。

Unit 42称，它发现了不少于17个用于将受害者重定向到不同威胁行为者控制的域的有效免费表单。这些域中有很大一部分托管在“.buzz ”顶级域（TLD）上。

该公司表示：“钓鱼活动被托管在各种服务上，包括 Bulletproof VPS 主机。在账户接管行动中，[威胁者]还利用这一基础设施访问被入侵的 Microsoft Azure 租户。”

在成功访问一个账户后，已发现该活动背后的威胁会向该账户添加一个由其控制的新设备，以建立持久性。

“威胁者通过对网络钓鱼受害者的端点计算机进行凭证收集攻击，将网络钓鱼活动指向受害者的 Microsoft Azure 云基础设施，”42 小组说。“然后，他们在此活动之后向云进行横向移动操作。”

攻击者被发现在钓鱼邮件中冒充 SharePoint，旨在发送名为 XLoader（Formbook 的后继者）的信息窃取恶意软件系列。

网络钓鱼攻击也越来越多地找到绕过电子邮件安全措施的新方法，其中最新的方法是滥用谷歌日历和谷歌绘图等合法服务，以及欺骗电子邮件安全提供商品牌，如 Proofpoint、Barracuda Networks、Mimecast 和 Virtru。

那些利用与谷歌服务相关的信任的病毒会发送包含日历（.ICS）文件和谷歌表单或谷歌绘图链接的电子邮件。点击该链接的用户会被提示点击另一个链接，该链接通常伪装成重新验证码或支持按钮。一旦点击该链接，受害者就会被转发到实施金融诈骗的虚假页面。

建议用户在谷歌日历中启用 “已知发件人 ”设置，以防范此类网络钓鱼攻击。