Categories: Workspace

Proofpoint warnt vor neuen Cyberattacken auf Azure-Nutzer

IT-Sicherheitsexperten von Proofpoint haben eine neue Kampagne zur Übernahme von Azure-Cloud-Konten entdeckt. Dabei wurden bereits Hunderte von Benutzerkonten kompromittiert hat, darunter viele von Führungskräften.

Die Kampagne kombiniert Credential-Phishing- und Cloud-Account-Takeover-Techniken (ATO). Die Kriminellen sprechen ihre Opfer mit individualisierten Phishing-Ködern in geteilten Dokumenten an. Einige dieser Dokumente enthalten beispielsweise einen eingebetteten Link „Dokument anzeigen“, der die Benutzer beim Anklicken der URL zu einer bösartigen Phishing-Webseite weiterleitet.

Die Cyberkriminellen haben es auf eine Vielzahl von Personen mit unterschiedlichen Titeln in verschiedenen Organisationen weltweit abgesehen. Zu der Zielgruppe gehören insbesondere Vertriebsleiter, Kundenbetreuer und Finanzverantwortliche. Auch Personen in Führungspositionen wie Geschäftsführer, Prokuristen oder CEOs gehören zu den Betroffenen. Die Auswahl zeigt, dass die Angreifer sich auf Konten mit Zugang zu wertvollen Ressourcen richten.

Anzeichen für einen Angriff

Anhand der Verhaltensmuster und Techniken des Angriffs identifizierten die Spezialisten von Proofpoint einen Indikator für die Gefährdung. Es handelt sich um die Verwendung eines bestimmten Linux-Agenten, der von den Angreifern in der Zugriffsphase der Angriffskette eingesetzt wird: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36.

Die Cyberkriminellen nutzen diesen Software-Agenten vor allem, um auf die Anmeldeanwendung „OfficeHome“ zuzugreifen, zusammen mit unautorisiertem Zugriff auf weitere native Microsoft365-Anwendungen wie beispielsweise Office365 Shell WCSS-Client und Office 365 Exchange Online.

Ein erfolgreicher Erstzugriff führt häufig zu einer Reihe von nicht autorisierten Aktivitäten nach der Kompromittierung. Unter anderem registrieren Angreifer ihre eigenen MFA-Methoden, um einen dauerhaften Zugang zu erhalten. Die Kriminellen wählen verschiedene Authentifizierungsmethoden, darunter die Registrierung alternativer Telefonnummern für die Authentifizierung per SMS oder Telefonanruf. In den meisten Fällen von MFA-Manipulationen ziehen es die Angreifer vor, eine Authentifizierungs-App mit Benachrichtigung und Code hinzuzufügen.

Die Angreifer greifen aber auch auf sensible Dateien zu und laden sie herunter, darunter finanzielle Informationen, interne Sicherheitsprotokolle und Benutzeranmeldedaten. Zudem nutzen Sie den Mailbox-Zugang, um ihren Zugriff innerhalb der betroffenen Organisationen auszuweiten und bestimmte Benutzerkonten mit personalisierten Phishing-Mails anzugreifen.

In dem Bestreben, Finanzbetrug zu begehen, senden die Angreifer auch E-Mails an die Personal- und Finanzabteilungen der betroffenen Unternehmen. Darüber hinaus erstellen sie spezielle Mailbox-Regeln, um ihre Spuren zu verwischen und alle Hinweise auf bösartige Aktivitäten in den Mailboxen der Opfer zu löschen.

„Kontrollieren Sie den Datenverkehr in ihrem Unternehmen auf die spezifische Zeichenfolge des Linux-Agenten, um potenzielle Bedrohungen zu erkennen und zu entschärfen“, rät Proofpoint. „Erzwingen Sie die sofortige Änderung der Anmeldeinformationen für gefährdete und angegriffene Benutzer, und sorgen Sie für die regelmäßige Änderung der Passwörter durch alle Benutzer.“

Stefan Beiersmann

Stefan unterstützt seit 2006 als Freier Mitarbeiter die ZDNet-Redaktion. Wenn andere noch schlafen, sichtet er bereits die Nachrichtenlage, sodass die ersten News des Tages meistens von ihm stammen.

Recent Posts

Erneut mehr als 90 schädliche Apps im Google Play Store entdeckt

Sie verbreiten einen Banking-Trojanern. Die Hintermänner nehmen mit Anatsa auch Nutzer in Deutschland ins Visier.

8 Stunden ago

Markt für KI-Chips wächst 2024 voraussichtlich um 33 Prozent

Das Volumen des Markts steigt auf rund 71 Milliarden Dollar. Der Bereich KI-Beschleuniger für Server…

8 Stunden ago

Container und Kubernetes für Cybersicherheitsvorfälle in Deutschland verantwortlich

Das gilt vor allem für Unternehmen mit mehreren Standorten. Viele Vorfälle sind auf Konfigurationsfehler und…

8 Stunden ago

17 Prozent der Bundesbürger bereits auf Phishing hereingefallen

Mehr als die Hälfte der Nutzer in Deutschland kann nach eigenen Angaben Phishing und Spam…

10 Stunden ago

Neue Technologie in Browsergames – Flash verschwindet und wird durch HTML5 ersetzt

Browsergames haben seit den frühen 2000er Jahren eine enorme Popularität erlangt und Millionen von Spielern…

10 Stunden ago

Salesforce schmiedet Datenallianz

Der CRM-Marktführer stellt ein neues Ökosystem vor, das die Integration von Kunden- und Marktdaten erleichtern…

2 Tagen ago