E-Mail-Bombing und Voice Phishing

Gezielte Cyberangriffe: Bedrohungsakteure missbrauchen Microsoft 365

Microsoft 365
Bildquelle: IB Photography / Shutterstock.com
LinkedInRedditWhatsAppPocket

Sophos X-Ops hat eine raffinierte Angriffskampagne entdeckt, bei der Cyberkriminelle gezielt Unternehmen infiltrieren. Dabei nutzen sie Schwachstellen innerhalb der Office-365-Plattform aus, um entweder sensible Daten zu stehlen oder Ransomware zu platzieren.

Besonders hinterlistig ist die eingesetzte Methodik: Die Angreifer kombinieren massiven E-Mail-Spam mit Social-Engineering-Strategien wie Voice Phishing (Vishing) via Microsoft Teams.

Anzeige

Die Angreifer setzen zunächst auf E-Mail-Bombing und fluten die Postfächer ihrer Zielpersonen mit bis zu 3.000 Nachrichten innerhalb einer Stunde. Kurz darauf kontaktieren sie ihre Opfer über Microsoft Teams und geben sich als Support-Mitarbeiter des Unternehmens aus. Ihr Ziel: Vertrauen gewinnen und Zugriff auf den Rechner erlangen.

Wer auf den Trick hereinfällt und die Bildschirmfreigabe über Microsoft Teams oder Quick Assist erlaubt, verliert die Kontrolle über sein System. In diesem Moment starten die Kriminellen die Installation ihrer Schadsoftware.

Verbindungen zu bekannten Bedrohungsgruppen

Sophos X-Ops konnte die Aktivitäten dieser Angreifer mit den russischen Cybergruppen Fin7 und Storm-1811 in Verbindung bringen. Diese Gruppen sind bekannt für ausgeklügelte Angriffe auf Unternehmen weltweit.

Anzeige

Sean Gallagher, Principal Threat Researcher bei Sophos, warnt: „Obwohl die Ausnutzung von Fernverwaltungstools und der Missbrauch legitimer Dienste an sich nicht völlig neu sind, beobachten wir, dass immer mehr Bedrohungsgruppen diese Taktiken anwenden, um Unternehmen jeder Größe ins Visier zu nehmen. Dies ist eine aktive Bedrohungskampagne, die wir weiterhin intensiv verfolgen.“

Besonders problematisch sei, dass die Standardkonfiguration von Microsoft Teams es jedem Benutzer eines Teams-Kontos ermögliche, mit Firmenmitarbeitern zu kommunizieren. Unternehmen, die externe IT-Dienstleister nutzen, seien zudem besonders gefährdet, da Anrufe mit der Bezeichnung „Helpdesk-Manager“ nicht zwangsläufig Misstrauen hervorrufen.

Gallagher rät Unternehmen, die Microsoft 365 verwenden, dringend zu einer Überprüfung ihrer Sicherheitskonfigurationen: „Da Sophos weiterhin neue MDR- und IR-Fälle im Zusammenhang mit diesen Taktiken sieht, raten wir Unternehmen, die Microsoft 365 verwenden, in höchster Alarmbereitschaft zu sein. Sie sollten Konfigurationen überprüfen sowie externe Kontonachrichten sowie Fernzugriffstools, die nicht regelmäßig verwendet werden, nach Möglichkeit blockieren.“


Pauline Dornig

Pauline

Dornig

Online-Redakteurin

IT Verlag GmbH

Pauline Dornig verstärkt seit Mai 2020 das Team des IT Verlags als Online-Redakteurin. (pd)
Anzeige

Artikel zu diesem Thema

Phishing über Reisebüro-Konten: Tausende Unternehmen betroffen

Weitere Artikel

Cyberkriminelle stellen Security-Experten heimtückische Falle
Die Entwicklung des Cyber-Untergrunds
Phishing über Reisebüro-Konten: Tausende Unternehmen betroffen
Externe SOCs für Rundumschutz im Mittelstand
Newsletter
Newsletter Box

Mit Klick auf den Button "Jetzt Anmelden" stimme ich der Datenschutzerklärung zu.