Chinesische Hacker schieben Microsoft schädliche Azure Active Directory Apps unter

Microsoft hat nach eigenen Angaben 18 Azure-Active-Directory-Applikationen in seinem Azure-Portal entdeckt, die von einer Hackergruppe erstellt und missbraucht wurden, die der chinesischen Regierung nahestehen soll. Die Anwendungen wurden bereits im April aus dem Marktplatz entfernt.

Bei den Hackern soll es sich um eine Gadolinium genannte Gruppe handeln, die auch als APT40 oder Leviathan bezeichnet wird. Die Azure-Apps gehörten offenbar zur Angriffsroutine der Gruppe. Durch einen mehrstufigen Infektionsweg sowie die verbreitete Nutzung von PowerShell-Skripten soll es sehr aufwändig gewesen sein, die schädlichen Apps aufzuspüren.

Die Angriffe begannen laut Microsofts Analyse mit Spear-Phishing-E-Mails, an die schädliche PowerPoint-Dateien angehängt waren, meist zum Thema COVID-19-Pandemie. Empfänger, die die Nachrichten öffneten, wurden mit einer PowerShell-basierten Schadsoftware infiziert.

Die PowerShell-Malware wiederum nutzten die Hacker, um eine der 18 Azure-Active-Directory-Anwendungen zu installieren. Ihre Aufgabe war es, die Systeme der Opfer so zu konfigurieren, dass die Angreifer die Berechtigungen erhielten, Daten in ihren eigenen OneDrive-Speicher zu kopieren.

Mit der Löschung der fraglichen Anwendungen beendete Microsoft die aktuellen Angriffe der chinesischen Hacker zumindest vorübergehend. Zudem sind sie gezwungen, eine neue Angriffs-Infrastruktur aufzubauen.

Darüber hinaus gelang es dem Softwarekonzern, ein GitHub-Konto zu identifizieren und abzuschalten, dass die Hacker im Jahr 2018 für Angriffe benutzt hatten. Auf laufende Operationen habe dies wahrscheinlich keinen Einfluss. Zumindest seien die Hacker aber nicht mehr in der Lage, das Konto für künftige Attacken einzusetzen.

Microsoft geht immer wieder gegen Cyberkriminelle und staatlich unterstützte Hacker vor, die mutmaßlich aus China heraus operieren. Das Unternehmen engagiert sich aber auch im Kampf gegen staatliche Hacker mit Verbindungen zum Iran, Russland und Nordkorea.

ANZEIGE

Netzwerksicherheit und Netzwerkmonitoring in der neuen Normalität

Die Gigamon Visibility Platform ist der Katalysator für die schnelle und optimierte Bereitstellung des Datenverkehrs für Sicherheitstools, Netzwerkperformance- und Applikationsperformance-Monitoring. Erfahren Sie in diesem Webinar, wie Sie mit Gigamon-Lösungen die Effizienz ihrer Sicherheitsarchitektur steigern und Kosten einsparen können.

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Windows 10 20H2: Installation mit Virtualbox

Mithilfe einer Virtualisierungslösung wie Virtualbox lässt sich Windows 10 auch unter macOS und Linux nutzen.…

9 Stunden ago

Studie: Home-Office verschärft Bedrohungslage

Die überwiegende Mehrheit der Unternehmen hält angesichts größerer Sicherheitsprobleme durch Home-Office-Nutzung während der Corona-Pandemie Zero-Trust-Konzepte…

10 Stunden ago

Bundesregierung erlaubt Einsatz von Staatstrojaner für alle Geheimdienste

Die Nachrichtendienste sollen damit "schwere Bedrohungen für den demokratischen Rechtsstaat und die freiheitliche demokratische Grundordnung"…

11 Stunden ago

Singles Day 2020: Alibaba kündigt Global Shopping Festival an

Das eigentliche Event dauert 2020 insgesamt vier Tage. Alibaba öffnet die Schnäppchenjagd für mehr ausländische…

11 Stunden ago

Google schließt aktiv ausgenutzte Zero-Day-Lücke in Chrome

Betroffen ist die Komponente FreeType. Google hält alle Details zu der Schwachstelle zurück. Ein Patch…

13 Stunden ago

Security-Awareness: Drei Tipps wie CIOs die menschliche Firewall ihres Unternehmens stärken können

Renee Tarun, Deputy CISO/ Vice President Information Security bei Fortinet, gibt drei Tipps, wie CISOs…

13 Stunden ago