Eine seit November 2023 laufende Kampagne zur Kontoübernahme bei Microsoft Azure, richtet sich gegen Führungskräfte,. Diese Kampagne hat erfolgreich Hunderte von Benutzerkonten in zahlreichen Microsoft Azure-Umgebungen kompromittiert, einschließlich derer von leitenden Führungskräften.
Die Kampagne nutzt EvilProxy, ein Phishing-as-a-Service (PhaaS)-Tool, um Microsoft 365-Benutzerkonten von C-Level-Führungskräften und Managern in über 100 Organisationen weltweit ins Visier zu nehmen. Durch die Ausnutzung von Schutzmaßnahmen der Multi-Faktor-Authentifizierung (MFA) verwendet EvilProxy Reverse-Proxy- und Cookie-Injektionsmethoden, um Authentifizierungsnachweise und Sitzungscookies zu stehlen. Diese Methode ermöglicht es Angreifern, zusätzliche Sicherheitsmaßnahmen, die durch MFA bereitgestellt werden, zu umgehen und zeigt die Wirksamkeit von Phishing-Diensten gegen weit verbreitete Sicherheitspraktiken auf.
Forscher von Proofpoint haben einen signifikanten Anstieg bei erfolgreichen Übernahmeversuchen von Cloud-Konten hochrangiger Führungskräfte festgestellt, wobei mindestens 35% aller im vergangenen Jahr kompromittierten Benutzer MFA-aktivierte Konten hatten. Die Kampagne umfasste das Versenden von etwa 120.000 Phishing-E-Mails an gezielte Organisationen, die legitime Dienste wie DocuSign, Adobe und SAP Concur imitierten, um Opfer dazu zu verleiten, ihre Anmeldeinformationen preiszugeben.
Diese Kampagne ist besonders alarmierend aufgrund ihrer gezielten Natur und der Verwendung von fortgeschrittenen Techniken zur Umgehung von Sicherheitsmaßnahmen wie MFA. Die Angreifer konzentrierten sich auf „VIP“-Ziele, wobei ein signifikanter Anteil der kompromittierten Konten hochrangigen Unternehmensführungskräften gehörte, die Zugang zu sensiblen Daten und Finanzinformationen haben.
Professionelle Hilfe erwünscht?
Sentiguard ist spezialisiert auf Notfallhilfe nach Cyberattacken, IT Sicherheitsbeauftragte und IT Sicherheitskonzepte nach BSI Standard. Haben Sie Fragen und wünschen Sie unverbindliche Beratung, dann melden Sie sich gerne bei uns: