Фишинговая кампания против HubSpot: BEC и кража учётных данных

Была выявлена активная кампания фишинга, нацеленная на клиентов HubSpot, которая сочетает методы компрометации деловой электронной почты (BEC) и классический credential stealing. Злоумышленники используют сложную многоэтапную схему, чтобы вынудить пользователей ввести свои учетные данные на поддельной странице, маскируя атаку под проверку маркетинговых кампаний.

Как работает атака

• Жертве приходит поддельное письмо с просьбой войти в аккаунт HubSpot якобы для проверки маркетинговых кампаний в связи с ростом числа отказов от подписки.
• Ссылки в письме внешне выглядят законными, однако злоумышленники умело маскируют фишинговый URL в отображаемом имени отправителя — трюк, который часто проходит мимо средств контроля безопасности электронной почты.
• При переходе по вредоносной ссылке пользователь попадает на скомпрометированный легитимный веб-сайт — canvthis.com, который затем перенаправляет на страницу credential stealing по адресу hxxps://hubspot-campaigns.com/login.
• Страница входа тщательно сымитирована под подлинный портал HubSpot, что существенно повышает вероятность успешного похищения учетных данных.

Технические и инфраструктурные детали

Дополнительный анализ выявил связь инфраструктуры фишинга с IP-адресом 193.143.1.220. Этот IP ассоциируется с инфраструктурой в Санкт-Петербурге, Россия и принадлежит автономной системе, часто связанной со спам- и фишинговой активностью.

Кампания демонстрирует продвинутый уровень обмана, эффективно обходящий традиционные средства защиты электронной почты.

Почему традиционные механизмы защиты оказались недостаточны

Злоумышленники использовали авторитетные почтовые платформы, например journal, чтобы повысить видимую подлинность сообщений и обойти спам-фильтры. Это подчеркивает, что опираться исключительно на механизмы аутентификации электронной почты — SPF, DKIM и DMARC — недостаточно: злоумышленники эксплуатируют доверие, связанное с установленными доменами и сервисами третьих сторон.

Выводы и рекомендации для организаций

• Операционным центрам безопасности (SOC) необходимо учитывать эволюционирующие стратегии атакующих и расширять возможности обнаружения фишинга, использующего надежные почтовые платформы.
• Внедрить и настроить детекцию специфических индикаторов: подмены в отображаемом имени отправителя, перенаправления с компрометированных сайтов, look‑alike домены и подозрительные цепочки редиректов (включая canvthis.com → hxxps://hubspot-campaigns.com/login).
• Рассмотреть блокировку или мониторинг IP-адресов и автономных систем, связанных со спам-активностью (включая 193.143.1.220 и сопутствующие ресурсы).
• Усилить механизмы защиты пользователей: многофакторная аутентификация (MFA), обучение сотрудников распознаванию фишинга и регулярные фишинговые тесты.
• Разработать процедуры реагирования на инциденты и обмена индикаторами компрометации (IOCs) с отраслевыми партнерами и поставщиками почтовых сервисов.

Поскольку злоумышленники усиливают использование доверенных почтовых платформ и продвинутых приемов маскировки, бдительность и проактивные меры защиты становятся критическими. Потенциально другие клиенты платформы HubSpot могут оказаться следующими мишенями аналогичных кампаний.

Отчет получен из сервиса CTT Report Hub. Права на отчет принадлежат его владельцу.

Ознакомиться подробнее с отчетом можно по ссылке.

Оригинал публикации на сайте CISOCLUB: "Фишинговая кампания против HubSpot: BEC и кража учётных данных".

Смотреть публикации по категориям: Новости | Мероприятия | Статьи | Обзоры | Отчеты | Интервью | Видео | Обучение | Вакансии | Утечки | Уязвимости | Сравнения | Дайджесты | Прочее.

Подписывайтесь на нас: VK | Rutube | Telegram | Дзен | YouTube.