Researchgruppen Unit 42, som er en del af verdens største it-sikkerhedsvirksomhed Palo Alto Networks, har registreret en ny alvorlig sårbarhed, som allerede har ramt 20.000 brugere i europæiske virksomheder.
Unit 42, Palo Alto Networks’ cybersikkerheds-team, har afdækket en omfattende og sofistikeret phishing-kampagne, der høster login-oplysninger til at tage kontrol over virksomheders Microsoft Azure Cloud-infrastruktur.
Kampagnen, der især har ramt virksomheder inden for bilindustrien, kemisk produktion og industriel fremstilling i Europa, herunder Tyskland og Storbritannien, har allerede påvirket over 20.000 brugere og var stadig aktiv i september 2024. Virksomheder skal altså stadig være varsom i forbindelse med gruppens metode.
“Selvom rapporten primært fortæller om eksempler i Storbritannien og Tyskland, så er sårbarhederne ikke nationale. Derfor skal danske virksomheder også tage advarslen seriøst, tjekke op på sit cloud-miljø og intensivere træningen af deres medarbejdere for at forebygge phishing-angreb,” siger Jesper Olsen, Nordeuropæisk CISO for Palo Alto Networks.
Avancerede teknikker udnytter cloud-sårbarheder
Phishing-angrebene kulminerede i juni 2024 og har vist sig både målrettede og velorganiserede. Trusselsaktørerne har anvendt flere sofistikerede metoder til at omgå virksomheders sikkerhedsforanstaltninger og fastholde adgang til kompromitterede systemer:
- Falske formularer via HubSpot: Angriberne benyttede HubSpot Free Form Builder-tjenesten til at skabe falske formularer, som fremstod troværdige og ofte bar virksomhedsspecifik branding for at narre ofrene.
- Credential Harvesting: Ved at omdirigere ofrene fra falske e-mails og PDF’er til sider forklædt som Microsoft Azure-login, lykkedes det at høste loginoplysninger fra intetanende brugere.
- Vedvarende adgang: Angriberne sikrede fortsat adgang til ofrenes cloud-miljøer ved at tilføje nye, uautoriserede enheder til kompromitterede konti. Dette gjorde det vanskeligt at blokere angriberne, selv efter sikkerhedsteams forsøgte at genvinde kontrol.
Europæiske virksomheder under pres
Europæiske virksomheder har været særligt udsatte i denne kampagne. Angrebet afslører en stigende trussel mod kritiske industrier, der er afhængige af cloud-løsninger som Microsoft Azure. Unit 42’s efterforskning viser, hvordan trusselsaktørerne systematisk har udnyttet legitime cloud-tjenester til at sprede phishing-fælder og kompromittere konti på stor skala.