IT-Sicherheitsexperten von Proofpoint haben eine neue Kampagne zur Übernahme von Azure-Cloud-Konten entdeckt. Dabei wurden bereits Hunderte von Benutzerkonten kompromittiert hat, darunter viele von Führungskräften.
Die Kampagne kombiniert Credential-Phishing- und Cloud-Account-Takeover-Techniken (ATO). Die Kriminellen sprechen ihre Opfer mit individualisierten Phishing-Ködern in geteilten Dokumenten an. Einige dieser Dokumente enthalten beispielsweise einen eingebetteten Link „Dokument anzeigen“, der die Benutzer beim Anklicken der URL zu einer bösartigen Phishing-Webseite weiterleitet.
Die Cyberkriminellen haben es auf eine Vielzahl von Personen mit unterschiedlichen Titeln in verschiedenen Organisationen weltweit abgesehen. Zu der Zielgruppe gehören insbesondere Vertriebsleiter, Kundenbetreuer und Finanzverantwortliche. Auch Personen in Führungspositionen wie Geschäftsführer, Prokuristen oder CEOs gehören zu den Betroffenen. Die Auswahl zeigt, dass die Angreifer sich auf Konten mit Zugang zu wertvollen Ressourcen richten.
Anhand der Verhaltensmuster und Techniken des Angriffs identifizierten die Spezialisten von Proofpoint einen Indikator für die Gefährdung. Es handelt sich um die Verwendung eines bestimmten Linux-Agenten, der von den Angreifern in der Zugriffsphase der Angriffskette eingesetzt wird: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36.
Die Cyberkriminellen nutzen diesen Software-Agenten vor allem, um auf die Anmeldeanwendung „OfficeHome“ zuzugreifen, zusammen mit unautorisiertem Zugriff auf weitere native Microsoft365-Anwendungen wie beispielsweise Office365 Shell WCSS-Client und Office 365 Exchange Online.
Ein erfolgreicher Erstzugriff führt häufig zu einer Reihe von nicht autorisierten Aktivitäten nach der Kompromittierung. Unter anderem registrieren Angreifer ihre eigenen MFA-Methoden, um einen dauerhaften Zugang zu erhalten. Die Kriminellen wählen verschiedene Authentifizierungsmethoden, darunter die Registrierung alternativer Telefonnummern für die Authentifizierung per SMS oder Telefonanruf. In den meisten Fällen von MFA-Manipulationen ziehen es die Angreifer vor, eine Authentifizierungs-App mit Benachrichtigung und Code hinzuzufügen.
Die Angreifer greifen aber auch auf sensible Dateien zu und laden sie herunter, darunter finanzielle Informationen, interne Sicherheitsprotokolle und Benutzeranmeldedaten. Zudem nutzen Sie den Mailbox-Zugang, um ihren Zugriff innerhalb der betroffenen Organisationen auszuweiten und bestimmte Benutzerkonten mit personalisierten Phishing-Mails anzugreifen.
In dem Bestreben, Finanzbetrug zu begehen, senden die Angreifer auch E-Mails an die Personal- und Finanzabteilungen der betroffenen Unternehmen. Darüber hinaus erstellen sie spezielle Mailbox-Regeln, um ihre Spuren zu verwischen und alle Hinweise auf bösartige Aktivitäten in den Mailboxen der Opfer zu löschen.
„Kontrollieren Sie den Datenverkehr in ihrem Unternehmen auf die spezifische Zeichenfolge des Linux-Agenten, um potenzielle Bedrohungen zu erkennen und zu entschärfen“, rät Proofpoint. „Erzwingen Sie die sofortige Änderung der Anmeldeinformationen für gefährdete und angegriffene Benutzer, und sorgen Sie für die regelmäßige Änderung der Passwörter durch alle Benutzer.“
Die Einnahmen klettern auf fast 95 Milliarden Dollar. Allerdings belastet der Steuerstreit mit der EU…
Das stärkste Wachstum verbucht die Cloud-Sparte. Microsoft verpasst bei der Umsatzprognose für das laufende Quartal…
Ein Coil-on-Module-Package integriert Chip und Antenne, was den Kartenkörper fast vollständig recycelbar machen soll.
Mindestens eine Anfälligkeit erlaubt das Einschleusen von Schadcode. Außerdem erweitern die Entwickler den Support für…
Zum 30. Juni 2028 soll das 2G-Netz komplett abgeschaltet werden und den Weg für schnellere…
Gewinn und Umsatz legen deutlich zu. Zum Wachstum tragen auch die Sparten Cloud und Abonnements…