Proofpoint warnt vor neuen Cyberattacken auf Azure-Nutzer

IT-Sicherheitsexperten von Proofpoint haben eine neue Kampagne zur Übernahme von Azure-Cloud-Konten entdeckt. Dabei wurden bereits Hunderte von Benutzerkonten kompromittiert hat, darunter viele von Führungskräften.

Die Kampagne kombiniert Credential-Phishing- und Cloud-Account-Takeover-Techniken (ATO). Die Kriminellen sprechen ihre Opfer mit individualisierten Phishing-Ködern in geteilten Dokumenten an. Einige dieser Dokumente enthalten beispielsweise einen eingebetteten Link „Dokument anzeigen“, der die Benutzer beim Anklicken der URL zu einer bösartigen Phishing-Webseite weiterleitet.

Die Cyberkriminellen haben es auf eine Vielzahl von Personen mit unterschiedlichen Titeln in verschiedenen Organisationen weltweit abgesehen. Zu der Zielgruppe gehören insbesondere Vertriebsleiter, Kundenbetreuer und Finanzverantwortliche. Auch Personen in Führungspositionen wie Geschäftsführer, Prokuristen oder CEOs gehören zu den Betroffenen. Die Auswahl zeigt, dass die Angreifer sich auf Konten mit Zugang zu wertvollen Ressourcen richten.

Anzeichen für einen Angriff

Anhand der Verhaltensmuster und Techniken des Angriffs identifizierten die Spezialisten von Proofpoint einen Indikator für die Gefährdung. Es handelt sich um die Verwendung eines bestimmten Linux-Agenten, der von den Angreifern in der Zugriffsphase der Angriffskette eingesetzt wird: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36.

Die Cyberkriminellen nutzen diesen Software-Agenten vor allem, um auf die Anmeldeanwendung „OfficeHome“ zuzugreifen, zusammen mit unautorisiertem Zugriff auf weitere native Microsoft365-Anwendungen wie beispielsweise Office365 Shell WCSS-Client und Office 365 Exchange Online.

Ein erfolgreicher Erstzugriff führt häufig zu einer Reihe von nicht autorisierten Aktivitäten nach der Kompromittierung. Unter anderem registrieren Angreifer ihre eigenen MFA-Methoden, um einen dauerhaften Zugang zu erhalten. Die Kriminellen wählen verschiedene Authentifizierungsmethoden, darunter die Registrierung alternativer Telefonnummern für die Authentifizierung per SMS oder Telefonanruf. In den meisten Fällen von MFA-Manipulationen ziehen es die Angreifer vor, eine Authentifizierungs-App mit Benachrichtigung und Code hinzuzufügen.

Die Angreifer greifen aber auch auf sensible Dateien zu und laden sie herunter, darunter finanzielle Informationen, interne Sicherheitsprotokolle und Benutzeranmeldedaten. Zudem nutzen Sie den Mailbox-Zugang, um ihren Zugriff innerhalb der betroffenen Organisationen auszuweiten und bestimmte Benutzerkonten mit personalisierten Phishing-Mails anzugreifen.

In dem Bestreben, Finanzbetrug zu begehen, senden die Angreifer auch E-Mails an die Personal- und Finanzabteilungen der betroffenen Unternehmen. Darüber hinaus erstellen sie spezielle Mailbox-Regeln, um ihre Spuren zu verwischen und alle Hinweise auf bösartige Aktivitäten in den Mailboxen der Opfer zu löschen.

„Kontrollieren Sie den Datenverkehr in ihrem Unternehmen auf die spezifische Zeichenfolge des Linux-Agenten, um potenzielle Bedrohungen zu erkennen und zu entschärfen“, rät Proofpoint. „Erzwingen Sie die sofortige Änderung der Anmeldeinformationen für gefährdete und angegriffene Benutzer, und sorgen Sie für die regelmäßige Änderung der Passwörter durch alle Benutzer.“