Angriffe auf Azure-Konten
IT-Sicherheitsexperten von Proofpoint haben eine Cyberangriffskampagne aufgedeckt, die es auf Azure-Cloud-Konten abgesehen hat und bereits zu Hunderten kompromittierter Benutzerkonten geführt haben soll, darunter auch solche von Führungskräften. Die Kampagne bediene sich einer Kombination aus Credential-Phishing und Techniken zur Übernahme von Cloudkonten, wobei personalisierte Phishing-Köder in geteilten Dokumenten eingesetzt würden. Diese Dokumente lockten die Opfer mit einem "Dokument anzeigen"-Link, der sie beim Anklicken auf eine schädliche Phishing-Website weiterleite.
Die Angreifer haben es laut Proofpoint auf eine breite Palette von Berufsgruppen abgesehen, einschließlich Vertriebsleiter, Kundenbetreuer, Finanzverantwortliche und Personen in leitenden Positionen wie Geschäftsführer und CEOs. Die Auswahl der Zielgruppe zeige, dass die Cyberkriminellen Konten mit Zugriff auf wertvolle Ressourcen ins Visier nähmen.
Verräterischer User-Agent
Ein signifikantes Anzeichen für diese Angriffe sei der Einsatz eines spezifischen Linux-Agenten durch die Angreifer während der Zugriffsphase der Angriffskette: Mozilla/5.0 (X11; Linux x86_64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/120.0.0.0 Safari/537.36. Dieser Agent ermögliche es den Cyberkriminellen, sich unautorisierten Zugang zu verschiedenen Microsoft-365-Anwendungen zu verschaffen, einschließlich Office 365 und Exchange Online, wodurch sie E-Mail-Postfächer missbrauchen, Daten exfiltrieren und weitere Phishing-Angriffe innerhalb der betroffenen Organisationen durchführen könnten.
Die Folgen eines erfolgreichen Angriffs seien gravierend. Die Angreifer würden Multifaktor-Authentifizierungen manipulieren, auf sensible Daten zugreifen, internes und externes Phishing durchführen und finanziellen Betrug begehen. Sie sollen sogar spezielle Mailbox-Regeln erstellen, um ihre Spuren zu verwischen.
Angriffe erkennen und abwehren
Um dieser Bedrohung entgegenzuwirken, empfiehlt Proofpoint Unternehmen, den Datenverkehr nach spezifischen Zeichenfolgen des Linux-Agenten zu überwachen, die sofortige Änderung kompromittierter Anmeldeinformationen zu erzwingen und regelmäßige Passwortwechsel zu implementieren.
Ferner sollten Firmen auf die Erkennung von Kontoübernahmen und unbefugtem Zugriff achten, anfängliche Bedrohungsvektoren identifizieren und Richtlinien für die automatische Behebung einsetzen, um die Verweildauer der Angreifer zu verkürzen und potenziellen Schaden zu minimieren. Entsprechende Sicherheitslösungen sollten eine genaue und rechtzeitige Erkennung sowohl der ersten Konto-Kompromittierung als auch der Aktivitäten nach der Kompromittierung bieten, einschließlich der Einsicht in missbrauchte Dienste und Anwendungen.
