Dutzende Umgebungen und Hunderte einzelner Benutzerkonten wurden bereits im Zuge einer laufenden gezielten Kampagne kompromittiert Microsoft Azure-Unternehmensclouds.
Die Aktivitäten sind in mancher Hinsicht verstreut – sie umfassen Datenexfiltration, Finanzbetrug, Identitätsdiebstahl und mehr gegen Organisationen in den unterschiedlichsten geografischen Regionen und Branchen –, sind aber auch sehr ausgefeilt, mit maßgeschneidertem Phishing, das sich an äußerst strategische Personen richtet Karriereleiter.
„Während Angreifer in ihrem Vorgehen opportunistisch erscheinen mögen, deutet das umfangreiche Spektrum an Post-Compromise-Aktivitäten auf ein zunehmendes Maß an Raffinesse hin“, sagt ein Proofpoint-Vertreter gegenüber Dark Reading. „Wir erkennen an, dass Bedrohungsakteure Anpassungsfähigkeit zeigen, indem sie aus einem vielfältigen Toolkit geeignete Tools, Taktiken und Verfahren (TTPs) auswählen, um jeder individuellen Situation gerecht zu werden. Diese Anpassungsfähigkeit spiegelt einen wachsenden Trend in der Cloud-Bedrohungslandschaft wider.“
Kompromittierung der Unternehmens-Cloud
Die anhaltenden Aktivitäten reichen mindestens einige Monate bis November zurück, als Forscher erstmals verdächtige E-Mails entdeckten, die geteilte Dokumente enthielten.
Die Dokumente verwenden typischerweise individualisierte Phishing-Köder und häufig eingebettete Links, die auf bösartige Phishing-Seiten weiterleiten. Das Ziel besteht jeweils darin, Anmeldeinformationen für Microsoft 365 zu erhalten.
Was auffällt, ist die Sorgfalt, mit der die Angriffe auf unterschiedliche, unterschiedlich nutzbare Mitarbeiter innerhalb von Organisationen abzielen.
Einige Zielkonten gehören beispielsweise zu solchen mit Titeln wie Account Manager und Finanzmanager – Positionen auf mittlerer Ebene, die wahrscheinlich Zugang zu wertvollen Ressourcen haben oder zumindest eine Basis für weitere Nachahmungsversuche weiter oben in der Kette bieten .
Andere Angriffe zielen direkt auf den Kopf: Vizepräsidenten, CFOs, Präsidenten, CEOs.
Clouds Gather: Cyber-Fallout für Unternehmen
Durch den Zugriff auf Benutzerkonten behandeln die Bedrohungsakteure Unternehmens-Cloud-Apps wie ein All-you-can-eat-Buffet.
Mithilfe automatisierter Toolkits streifen sie durch die Gegend native Microsoft 365-Anwendungen, und führt alles durch, vom Datendiebstahl bis zum Finanzbetrug und mehr.
Über „Meine Anmeldungen“ manipulieren sie beispielsweise die Multifaktor-Authentifizierungseinstellungen (MFA) des Opfers und registrieren ihre eigene Authentifizierungs-App oder Telefonnummer für den Empfang von Bestätigungscodes.
Sie führen über Exchange Online auch Querbewegungen in Organisationen durch und versenden hochgradig personalisierte Nachrichten an gezielt ausgewählte Personen, insbesondere an Mitarbeiter der Personal- und Finanzabteilungen, die Zugriff auf Personalinformationen oder Finanzressourcen haben. Es wurde auch beobachtet, dass sie sensible Unternehmensdaten aus Exchange (neben anderen Quellen innerhalb von 365) exfiltrierten und spezielle Regeln erstellten, die darauf abzielten, alle Beweise für ihre Aktivitäten aus den Postfächern der Opfer zu löschen.
Um sich gegen diese potenziellen Folgen zu verteidigen, empfiehlt Proofpoint, dass Unternehmen genau auf potenzielle Erstzugriffsversuche und Kontoübernahmen achten – insbesondere auf einen Linux-Benutzeragenten, den die Forscher als Indikator für eine Kompromittierung (Indikator für Kompromittierung, IoC) identifiziert haben. Unternehmen sollten außerdem eine strikte Passworthygiene für alle Unternehmens-Cloud-Benutzer durchsetzen und Richtlinien zur automatischen Korrektur anwenden, um potenzielle Schäden bei einer erfolgreichen Kompromittierung zu begrenzen.
- SEO-gestützte Content- und PR-Distribution. Holen Sie sich noch heute Verstärkung.
- PlatoData.Network Vertikale generative KI. Motiviere dich selbst. Hier zugreifen.
- PlatoAiStream. Web3-Intelligenz. Wissen verstärkt. Hier zugreifen.
- PlatoESG. Kohlenstoff, CleanTech, Energie, Umwelt, Solar, Abfallwirtschaft. Hier zugreifen.
- PlatoHealth. Informationen zu Biotechnologie und klinischen Studien. Hier zugreifen.
- Quelle: https://www.darkreading.com/cloud-security/senior-executives-targeted-ongoing-azure-account-takeover
- :Ist
- $UP
- 7
- a
- Zugang
- Konto
- Trading Konten
- anerkennen
- über
- Aktivitäten
- Aktivität
- Akteure
- gegen
- Ziel
- gezielt
- Alle
- entlang
- bereits
- ebenfalls
- unter
- an
- machen
- jedem
- App
- erscheinen
- Ansatz
- angemessen
- Apps
- AS
- At
- Anschläge
- Versuche
- Aufmerksamkeit
- Authentifizierung
- Automatisiert
- Azure
- Zurück
- Base
- war
- Büfett
- aber
- by
- Kampagnen (Campaign)
- Häuser
- Geschäftsführer
- CFOs
- Kette
- Menu
- Cloud
- Codes
- Kompromiss
- Kompromittiert
- Unternehmen
- Erstellen
- Referenzen
- Cyber-
- Organschäden
- Dunkel
- Dunkle Lektüre
- technische Daten
- Datum
- gewidmet
- zeigen
- Abteilungen
- anders
- Fleiß
- gerichtet
- verschieden
- Unterlagen
- jeder
- E-Mails
- eingebettet
- Mitarbeiter
- erzwingen
- genießen
- Umgebungen
- alles
- Beweis
- Beispiel
- Austausch-
- Exekutionen
- Exfiltration
- umfangreiche
- Fallout
- wenige
- Finanzen
- Revolution
- Finanzbetrug
- Vorname
- Aussichten für
- Betrug
- für
- weiter
- sammeln
- geographisch
- Kundenziele
- persönlichem Wachstum
- Haben
- ganzer
- höher
- hoch
- HTTPS
- human
- Human Resources
- hunderte
- identifiziert
- in
- zunehmend
- Indikator
- Krankengymnastik
- Einzelpersonen
- Energiegewinnung
- Info
- Anfangs-
- Instanz
- Beteiligung
- jpg
- Arten
- Leiter
- Landschaft
- am wenigsten
- Niveau
- Gefällt mir
- wahrscheinlich
- LIMIT
- Links
- linux
- login
- böswilligen
- Manager
- Kann..
- Nachrichten
- MFA
- Microsoft
- Monat
- mehr
- Bewegung
- Multifaktor-Authentifizierung
- my
- November
- Anzahl
- erhalten
- of
- vorgenommen,
- laufend
- Online
- or
- Organisationen
- Andere
- Ergebnisse
- besitzen
- Seiten
- besonders
- Passwort
- AUFMERKSAMKEIT
- Ausführen
- Durchführung
- Personalisiert
- Personal
- Phishing
- Telefon
- Plato
- Datenintelligenz von Plato
- PlatoData
- Politik durchzulesen
- für einige Positionen
- Potenzial
- Präsidenten
- Verfahren
- die
- Angebot
- Lesebrillen
- Empfang
- empfiehlt
- umleiten
- spiegelt
- Regionen
- Registrieren
- Vertreter
- Forscher
- Downloads
- Ohne eine erfahrene Medienplanung zur Festlegung von Regeln und Strategien beschleunigt der programmatische Medieneinkauf einfach die Rate der verschwenderischen Ausgaben.
- s
- Auswahl
- Sendung
- Senior
- empfindlich
- Einstellungen
- von Locals geführtes
- sollte
- einige
- Raffinesse
- Quellen
- speziell
- steht
- mit Stiel
- Strategisch
- Streng
- erfolgreich
- so
- Schlägt vor
- Anzug
- misstrauisch
- Taktik
- Target
- gezielt
- Targeting
- erzählt
- zur Verbesserung der Gesundheitsgerechtigkeit
- Das
- Diebstahl
- ihr
- Diese
- vom Nutzer definierten
- fehlen uns die Worte.
- diejenigen
- Bedrohung
- Bedrohungsakteure
- Durch
- Titel
- zu
- Toolkit
- Werkzeuge
- behandeln
- Trend
- typisch
- einzigartiges
- -
- Mitglied
- Nutzer
- wertvoll
- Vielfalt
- Ve
- Verification
- Vertikalen
- sehr
- Schraubstock
- Opfer
- Opfer
- Wege
- we
- wann
- welche
- während
- WHO
- breit
- werden wir
- mit
- .
- Zephyrnet