Microsoft: Hacker kompromittieren vollständiges Netzwerk mit nur einem geknackten Cloud-Passwort

Microsoft hat Cyberangriffe untersucht, bei denen es Hackern gelungen ist, ausgehend von einem geknackten Cloud-Passwort innerhalb weniger Tage die vollständige Kontrolle über ein Netzwerk zu erhalten. Dafür verantwortlich war eine Holmium genannte Gruppe, die nach Einschätzung von Microsoft cloudbasierte Attacken effektiver ausführt als jede andere Gruppierung – seien es organisierte Cyberverbrecher oder von einem Nationalstaat unterstützte Hacker.

Holmium, auch als APT33, StoneDrill und Elfin bezeichnet, wird allgemein mit dem Iran in Verbindung gebracht. Frühere Aktionen der Gruppe richteten sich gegen die Luftfahrt- und Verteidigungsindustrie sowie Unternehmen aus den Bereichen Chemie, Bergbau und Energie. In der Regel setzten die Hacker auf Spear-Phishing-E-Mails oder Passwort-Listen, um sich Zugang zu Cloud-Konten zu verschaffen. Etwa seit 2018 kam aber auch ein Penetration-Testing-Tool namens Ruler zusammen mit kompromittierten Anmeldedaten für Exchange zum Einsatz.

Oftmals nahmen die Angreifer eine Active-Directory-Federation-Services-Infrastruktur ins Visier. Mit den darüber geknackten Office-365-Konten übernahmen die Hacker dann mithilfe des Ruler-Tools die Kontrolle über einen Endpunkt, um von dort aus das Netzwerk des Opfers zu erkunden.

Im Netzwerk interessierten sich die Hacker vor allem für weitere Konten und PCs, um diese unter die eigene Kontrolle zu bringen. Meist dauerte es demnach weniger als eine Woche, bis die Angreifer die vollständige Domäne kompromittiert hatten. Diese Position soll es ihnen wiederum erlaubt haben, sich über lange Zeiträume, manchmal für mehrere Monate, in einem Netzwerk festzusetzen.

Die Opfer reagierten oftmals zu spät, so Microsoft weiter. „Die früheren Angriffsphasen wie Cloud-Ereignisse und Passwort-Aktivitäten wurden oft verpasst oder manchmal nicht mit den am Endpunkt beobachteten Aktivitäten in Verbindung gebracht. Dies führte zu Lücken in der Sichtbarkeit und in der Folge zu unvollständigen Abhilfemaßnahmen“, erklärten die Forscher. Allerdings stellten sie auch fest, dass die Threat Protection Suite von Microsoft in der Lage war, solche Angriffe abzuwehren.

„Unternehmensdaten sind über mehrere Anwendungen verteilt – vor Ort und in der Cloud – und werden von Benutzern von überall her mit jedem beliebigen Gerät abgerufen. Mit der Ausweitung traditioneller Oberflächen und dem Verschwinden von Netzwerkperimetern werden neue Angriffsszenarien und -techniken eingeführt“, warnte Microsoft zudem.

ANZEIGE

Auf zu neuen Höhen mit SkySQL, der ultimativen MariaDB Cloud

In diesem Webinar stellen wir Ihnen SkySQL vor, erläutern die Architektur und gehen auf die Unterschiede zu anderen Systemen wie Amazon RDS ein. Darüber hinaus erhalten Sie einen Einblick in die Produkt-Roadmap, eine Live-Demo und erfahren, wie Sie SkySQL innerhalb von nur wenigen Minuten in Betrieb nehmen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Microsoft nennt weitere Details zu kostenpflichtigen Patches für Windows 10

Erstmals liegen Preise für Verbraucher vor. Sie zahlen weniger als Geschäftskunden. Dafür beschränkt Microsoft den…

6 Stunden ago

Microsoft verschiebt erneut Copilot Recall

Die Entwickler arbeiten noch an weiteren „Verfeinerungen“. Windows Insider erhalten nun wohl eine erste Vorschau…

1 Tag ago

GenKI im Job: Mitarbeitende schaffen Tatsachen

Laut Bitkom-Umfrage werden in jedem dritten Unternehmen in Deutschland private KI-Zugänge genutzt. Tendenz steigend.

1 Tag ago

97 Prozent der Großunternehmen melden Cyber-Vorfälle

2023 erlitten neun von zehn Unternehmen in der DACH-Region Umsatzverluste und Kurseinbrüche in Folge von…

1 Tag ago

„Pacific Rim“-Report: riesiges, gegnerisches Angriffs-Ökosystem

Der Report „Pacific Rim“ von Sophos beschreibt Katz-und-Maus-Spiel aus Angriffs- und Verteidigungsoperationen mit staatlich unterstützten…

1 Tag ago

DeepL setzt erstmals auf NVIDIA DGX SuperPOD mit DGX GB200-Systemen

NVIDIA DGX SuperPOD soll voraussichtlich Mitte 2025 in Betrieb genommen und für Forschungsberechnungen genutzt werden.

1 Tag ago