2 min Security

Kwaadaardig DocuSign-bestand richt zich op Azure-omgevingen

Kwaadaardig DocuSign-bestand richt zich op Azure-omgevingen

Hackers proberen via een phishingcampagne met kwaadaardige DocuSign-bestanden te richten op langdurige aanwezigheid in vooral Azure-cloudomgevingen van Europese bedrijven. Dit ontdekten Unit 42 van Palo Alto Networks onlangs.

Volgens de securityspecialisten van Unit 42 werden tussen juni en september dit jaar ongeveer 20.000 medewerkers van Europese automotive-, chemische- en industriële bedrijven door een phishingcampagne getroffen. Deze campagne richtte zich in het bijzonder op het stelen van inloggegevens van zakelijke accounts en het vervolgens kapen van de zakelijke Microsoft Azure-cloudinfrastructuur van de getroffen bedrijven.

Daarbij probeerden de hackers een permanente aanwezigheid binnen deze infrastructuur te behouden en toegang te blijven hebben tot de daarin bevindende gevoelige data. Dit deed men door constant met de gestolen inloggegevens in te loggen op nieuwe devices.

De hackers probeerden ook toegang te krijgen tot de cloudopslag in deze cloudomgevingen en nieuwe gebruikers aan te maken. Deze acties die op de langere termijn tot nog meer problemen hadden kunnen leiden, werden echter voorkomen.

Het aanvalspad van de hackers verliep via e-mails met een kwaadaardig DocuSign PDF-bestand of een ingevoegde HTML-link. Het bestand, dat via social engineering de aandacht van slachtoffers probeert te trekken, en de link verwezen vervolgens naar een kwaadaardige Hubspot Free Form Builder.

Vanuit deze laatste omgeving werden zij weer doorgestuurd naar de kwaadaardige pagina’s waarmee de hackers de gegevens proberen te ontfutselen. In dit geval een Microsoft Outlook Web Acces loginpagina. Hier moesten de slachtoffers hun e-mailadres en inloggegevens voor Azure invoeren. Vanaf dat moment kapen de hackers deze en krijgen ze toegang tot de cloudomgeving.

Stroomdiagram van een e-mailphishingaanval waarbij DocuSign en HubSpot worden gebruikt om slachtoffers om te leiden naar een nep-Outlook Web App (OWA) voor het verzamelen van inloggegevens.

Aanvallers onbekend

Wie er precies achter de aanvallen zitten is onbekend. Wel geven de specialisten van Unit 42 aan dat zij in hun onderzoek naar de aanvalsinfrastructuur Oekraïens- en Russischtalige websites tegenkwamen, schrijft The Register.

Bij de ontdekking van de phishingcampagne was de meeste infrastructuur voor deze aanvallen al offline. Uit twee toch gevonden voorbeelden van de phishing-pace broncode bleek dat veel phishing-links doorverwezen naar gespoofde websites van de aangevallen bedrijven. De hackers gebruikten voor hun aanvallen ook robuuste en veilige anonieme hostingdiensten en werd een hostingdienst meerdere malen voor aanvallen gebruikt.

Lees ook: LLM’s van Google-klanten konden via Vertex AI lekken