Russische Hacker nutzen neue Phishing-Technik zur Kontoübernahme

MÜNCHEN (IT BOLTWISE) – Eine neue Bedrohung im Bereich der Cybersicherheit hat die Aufmerksamkeit von Microsoft auf sich gezogen. Die Bedrohungsgruppe, die als Storm-2372 bezeichnet wird, hat seit August 2024 eine Reihe von Cyberangriffen auf verschiedene Sektoren gestartet.

Microsoft hat eine neue Bedrohung identifiziert, die als Storm-2372 bekannt ist und seit August 2024 verschiedene Sektoren angreift. Diese Angriffe zielen auf Regierungsorganisationen, NGOs, IT-Dienstleister, Verteidigung, Telekommunikation, Gesundheitswesen, Hochschulen sowie die Energie- und Öl- und Gasindustrie in Europa, Nordamerika, Afrika und dem Nahen Osten ab. Die Bedrohungsakteure, die mit mittlerer Wahrscheinlichkeit mit russischen Interessen in Verbindung gebracht werden, nutzen Messaging-Apps wie WhatsApp, Signal und Microsoft Teams, um sich als prominente Personen auszugeben und Vertrauen zu gewinnen. Die Angriffe verwenden eine spezielle Phishing-Technik namens ‘Device Code Phishing’, die Benutzer dazu verleitet, sich bei Produktivitäts-Apps anzumelden, während die Angreifer die Anmeldedaten (Tokens) erfassen, um auf kompromittierte Konten zuzugreifen. Ziel ist es, die Authentifizierungscodes zu nutzen, um auf Zielkonten zuzugreifen und sensible Daten zu erlangen sowie einen dauerhaften Zugang zur Umgebung des Opfers zu ermöglichen, solange die Tokens gültig sind. Der Angriff beinhaltet das Versenden von Phishing-E-Mails, die als Microsoft Teams-Einladungen getarnt sind und die Empfänger dazu auffordern, sich mit einem von den Angreifern generierten Gerätecode zu authentifizieren, wodurch die Angreifer die authentifizierte Sitzung mit dem gültigen Zugriffstoken kapern können. Während des Angriffs generiert der Bedrohungsakteur eine legitime Gerätecode-Anfrage und verleitet das Ziel dazu, diese auf einer legitimen Anmeldeseite einzugeben. Dies gewährt dem Akteur Zugriff und ermöglicht ihm, die generierten Authentifizierungs- und Aktualisierungstokens zu erfassen und diese Tokens zu nutzen, um auf die Konten und Daten des Ziels zuzugreifen. Die erbeuteten Authentifizierungstokens können dann verwendet werden, um auf andere Dienste zuzugreifen, für die der Benutzer bereits Berechtigungen hat, wie E-Mail oder Cloud-Speicher, ohne dass ein Passwort erforderlich ist. Microsoft erklärte, dass die gültige Sitzung genutzt wird, um sich innerhalb des Netzwerks lateral zu bewegen, indem ähnliche Phishing-Nachrichten innerhalb der Organisation von dem kompromittierten Konto an andere Benutzer gesendet werden. Darüber hinaus wird der Microsoft Graph-Dienst verwendet, um Nachrichten des kompromittierten Kontos zu durchsuchen. Der Bedrohungsakteur suchte nach Schlüsselwörtern wie Benutzername, Passwort, Admin, Teamviewer, Anydesk, Anmeldeinformationen, Geheimnis, Ministerium und Regierung, und die E-Mails, die diesen Filterkriterien entsprachen, wurden dann an den Bedrohungsakteur exfiltriert. Um das Risiko solcher Angriffe zu mindern, wird Organisationen empfohlen, den Gerätecodefluss nach Möglichkeit zu blockieren, phishing-resistente Multi-Faktor-Authentifizierung (MFA) zu aktivieren und das Prinzip der minimalen Rechtevergabe zu befolgen.

Zu den Top-Stories!

Unseren KI-Morning-Newsletter «Der KI News Espresso» mit den besten KI-News des letzten Tages gratis per eMail - ohne Werbung: Hier kostenlos eintragen!

Angebot

1.958 Bewertungen

EIlik - Ein Desktop-Begleitroboter mit emotionaler Intelligenz, Multi-Roboter-Interaktionen, Desktop-Robotik-Partner

• NIEDLICHER BEGLEITER: Eilik ist der ideale Begleiter für Kinder und Erwachsene, die Haustiere, Spiele und intelligente Roboter lieben. Mit vielen Emotionen, Bewegungen und interaktiven Funktionen.

169,00 EUR

Bei Amazon kaufen