两万名欧洲制造企业职工成垂纶抨击绸缪

据Palo Alto Networks的Unit 42部门称，一场针对欧洲制造企业职工的垂纶抨击行为于6月达到岑岭，并一直接续到至少9月。这次汇集抨击的主要绸缪是汽车、化工和工业复合体制造公司，尤其集结在英国、法国和德国等西欧国度。

抨击者的见地是诱使职工露馅其Microsoft帐户的根据，止境是为了得回其企业Azure云环境的看望权限。抨击链频繁以镶嵌的HTML结合或以绸缪公司定名的DocuSign启用PDF文献动手（举例，darkreading.pdf）。在这两种情况下，钓饵齐会将受害者指引至17个HubSpot免费表单之一。HubSpot免费表单是HubSpot的可定制在线表单，用于网陷坑站看望者的信息。

这些表单本色上并未用于网罗受害者的任何信息，它们内容空缺，且彰着由非母语者编写。表单上写着：“您是否有权检察和下载发送到您使命邮箱的明锐公司文献？”并附有一个按钮，可检察所谓的“Microsoft Secured Cloud”中的明锐文献。那些落入这一阵势陷阱的东谈主会被重定向到另一个页面，该页面效法Microsoft Outlook Web App（OWA）的登录页面。这些页面托管在弘大且匿名的防枪弹造谣专用就业器（VPS）上，并融入了绸缪公司的品牌称呼，顶 级域名为“.buzz”（如www.darkreading.buzz）。在这里，受害者的Microsoft根据被窃取。

掌捏被盗帐户后，阻止行动者动手潜入绸缪的企业云环境。为此的下一个进军阵势是将我方的征战注册到受害者的帐户中。这么作念之后，他们就不错动作已考证用户登录，从而幸免触发安全警报。他们还通过结合到与绸缪位于合并国度的VPN代理来进一步伪装我方。

注册征战还为抨击者提供了针对任何试图将其赶出系统的尝试的经久性。举例，Unit 42不雅察到的一个案例中，IT团队在试图再行适度被盗帐户时立即受阻。看到我方可能会被踢出系统，抨击者启动了密码重置，因为他们知谈重置结合会发送给他们。Unit 42申报称，开户随后出现了“拉锯战场景”，在此历程中触发了多个安全警报，直到问题得到治理。

汇集抨击者将眼神投向云霄

这次行为中受影响的用户和组织数目尚不清亮，但可能未几。Unit 42的高档阻止计划员Nathaniel Quist指出，“由于此操作相等于双重入侵事件，因为必须通达垂纶邮件，然后还需要成效央求Azure根据的格外操作。咱们怀疑，提供云根据的受害者数目以致更少。举例，并非每个受害者齐会为其云操作使用Azure基础设施。”

更清亮的是，那些被入侵的组织将遇到什么。凭借帐户根据和经久性，抨击者将更深化地镶嵌到企业云环境中，“他们要么通过附加更多特权[身份和看望经管]计谋来升级其看望权限，以创建、修改或删除云资源，要么在云环境中横向出动，朝着受害者IAM帐户可能看望的存储容器出动，”Quist说。

天然乍一看这可能是一场相等要领的垂纶抨击，但Quist示意，这也反应了最近汇集抨击趋势的更平凡情况——迟缓转向边界更广、贪心更大的云抨击。“在我看来，咱们动手看到一种日益增长的趋势，即垂纶抨击操作不再在受害者系统上建树以坏心软件为要点的滩头阵脚，而是对准用户看望云平台（如本案中的Azure）或SaaS平台的根据，”他说。“受害者端点仅仅结合到更大云平台的动手进口。”

• 垂纶
• 抨击
• 制造商
• HubSpot
• Azure