据 Palo Alto Networks 的 42 部门研究人员称，一个希望接管欧洲公司 Microsoft Azure 云基础设施的威胁行为体已成功入侵了不同公司多个受害者的账户。

网络钓鱼活动

攻击始于今年早些时候，欧洲（包括德国和英国）汽车、化工和工业化合物制造行业的大约 20,000 名公司用户收到了钓鱼邮件。该活动在 2024 年 6 月达到顶峰。

这些电子邮件被伪装成 DocuSign 请求审核和签署文档的样子，并包含一个支持 DocuSign 的 PDF 附件或一个嵌入式 HTML 链接。

两者都将受害者导向恶意的 HubSpot 免费表单生成器链接和以下表单：

指向网络钓鱼 OWA 页面的自由表单（来源：PAN Unit 42）

研究人员发现至少有 17 个可用的自由表单。点击 “View Document On Microsoft Secured Cloud”（在微软安全云上查看文档）按钮会将潜在受害者引向一个欺骗的微软 Outlook Web App (OWA) 登录页面，该页面位于不同的威胁行为者控制的域上，URL 使用了目标受害者组织的名称。

任何输入的登录凭证都会被威胁行为者获取。

账户接管尝试

自由表格窗口（……）中的措辞表明，网络钓鱼活动的目标也是微软账户。42 小组的研究人员指出：“我们核实，该网络钓鱼活动确实多次尝试连接受害者的 Microsoft Azure 云基础设施。”

通过分析从受害者处收集到的遥测数据，他们发现威胁行为者使用相同的托管基础架构进行了多次有针对性的网络钓鱼操作，并在账户接管操作期间访问了受损的 Microsoft Azure 租户。

研究人员指出：“这表明，威胁者拥有托管服务器，而不是租用或订购共享‘托管’服务。”

攻击者利用被泄露的凭据，偶尔使用 VPN 代理来模拟与受害组织来自同一国家的登录尝试。在账户接管期间，他们还为受害者的账户添加了新设备，试图实现对账户的持续访问，并发起密码重置。