Một chiến dịch tấn công phishing đang diễn ra nhằm vào người dùng HubSpot thông qua sự kết hợp tinh vi giữa kỹ thuật xã hội và khai thác hạ tầng. Cuộc tấn công này tận dụng các chiến thuật lừa đảo qua email doanh nghiệp (BEC) kết hợp với chiếm quyền điều khiển website, nhằm phân phối phần mềm đánh cắp thông tin đăng nhập tới các chuyên gia tiếp thị và đội ngũ kinh doanh sử dụng nền tảng này.

Chiến dịch bắt đầu bằng những email lừa đảo được soạn thảo kỹ lưỡng, có vẻ như đến từ các tài khoản doanh nghiệp hợp pháp.

Tổng quan về Chiến dịch Tấn công Phishing HubSpot

Các tin nhắn này thúc giục người nhận đăng nhập vào tài khoản HubSpot của họ để xem xét các chiến dịch tiếp thị, với lý do là số lượt hủy đăng ký tăng đột biến bất thường, yêu cầu hành động ngay lập tức.

Để phân phối cuộc tấn công trên quy mô lớn, kẻ tấn công sử dụng MailChimp, một nền tảng tiếp thị email đáng tin cậy. Điều này giúp đảm bảo các tin nhắn vượt qua các cổng email bảo mật nhờ danh tiếng của nền tảng.

Các nhà nghiên cứu của Evalian đã ghi nhận rằng các email phishing sử dụng một kỹ thuật đánh lừa đặc biệt: nhúng URL độc hại vào tên hiển thị của người gửi thay vì trong nội dung email.

Cách tiếp cận này giúp vượt qua nhiều biện pháp kiểm soát an ninh email, vốn thường quét nội dung tin nhắn nhưng bỏ qua trường người gửi.

Kết hợp với tên miền doanh nghiệp hợp pháp đã bị chiếm đoạt, các email này xuất hiện chân thực đối với cả hệ thống tự động và người dùng.

Kỹ thuật Khai thác và Thu thập Thông tin đăng nhập

Hạ tầng Giả mạo và Quy trình Đánh cắp

Khi nạn nhân nhấp vào URL được nhúng, họ sẽ được chuyển hướng từ một website bị chiếm đoạt đến một cổng đăng nhập HubSpot giả mạo thuyết phục, được lưu trữ trên hạ tầng Proton66 OOO.

Proton66 OOO là một nhà cung cấp dịch vụ lưu trữ bulletproof của Nga, liên kết với ASN AS 198953.

Khi người dùng nhập thông tin đăng nhập, dữ liệu này sẽ được truyền đến tệp login.php và bị kẻ tấn công thu giữ.

Cấu trúc email phishing và trang đăng nhập giả mạo được thiết kế để bắt chước giao diện hợp pháp của HubSpot. Cơ chế lây nhiễm này dựa vào việc thu thập thông tin đăng nhập hợp lệ của người dùng thay vì phân phối mã độc truyền thống.

Để biết thêm chi tiết về chiến dịch, bạn có thể tham khảo báo cáo của Evalian tại Evalian Research.

Phân tích Hạ tầng Kẻ tấn công và Mối đe dọa Mạng

Đặc điểm Kỹ thuật của Máy chủ Phishing

Các nhà phân tích của Evalian xác định rằng hạ tầng lưu trữ sử dụng máy chủ ảo riêng (VPS) được quản lý bằng Plesk, với các dịch vụ thư điện tử bị lộ, bao gồm Postfix và Dovecot.

Địa chỉ IP 193.143.1.220 cho thấy một phạm vi cổng mở rộng bất thường, bao gồm các dịch vụ SMTP trên cổng 25 và 465, IMAP trên cổng 143 và 993, cùng với nhiều giao diện quản trị Plesk.

Cấu hình này là điển hình cho hạ tầng được thiết kế để triển khai nhanh chóng và xoay vòng các chiến dịch phishing.

Dấu hiệu Mối đe dọa Mạng Tổ chức

Phân tích hạ tầng đã xác nhận rằng địa chỉ IP này có liên quan đến nhiều nỗ lực phishing khác, cho thấy một mô hình hoạt động tấn công có tổ chức.

Các bảng điều khiển Plesk bị lộ cho phép kẻ tấn công nhanh chóng triển khai các trang phishing mới, quản lý các tài khoản email bị chiếm đoạt và xoay vòng hạ tầng để tránh bị phát hiện, gây ra rủi ro bảo mật đáng kể.

Các Chỉ số Thỏa hiệp (IOCs)

Các chỉ số thỏa hiệp sau đây đã được xác định liên quan đến chiến dịch tấn công phishing này:

• Địa chỉ IP: 193.143.1.220
• Nhà cung cấp dịch vụ lưu trữ: Proton66 OOO
• Số hệ thống tự trị (ASN): AS 198953
• Tệp quan sát thấy: login.php

Biện pháp Bảo vệ và Giảm thiểu Rủi ro

Các tổ chức phải triển khai các biện pháp bảo mật nhiều lớp mở rộng ngoài các giao thức xác thực email tiêu chuẩn để bảo vệ chống lại các mối đe dọa đang phát triển.