SolarWinds-Hacker dringen in den Microsoft-Kundensupport ein und zielen auf dessen Kunden

  • Ein weiteres Anzeichen dafür, dass die russischen Hacker, die in die Netzwerküberwachungssoftware von SolarWinds eingedrungen sind, um eine Reihe von Unternehmen zu kompromittieren, nicht wirklich verschwunden sind, ist die Aussage von Microsoft, dass der Bedrohungsakteur, der hinter den bösartigen Cyber-Aktivitäten steckt, Passwort-Spraying und Brute-Force-Angriffe verwendet hat, um Passwörter zu erraten und Zugang zu seinen Kundenkonten zu erhalten.

    “Diese jüngste Aktivität war größtenteils erfolglos, und die Mehrheit der Ziele wurde nicht erfolgreich kompromittiert – wir wissen von drei kompromittierten Einheiten bis heute”, sagte das Threat Intelligence Center des Tech-Riesen am Freitag. “Alle Kunden, die kompromittiert oder angegriffen wurden, werden über unseren nationalen Benachrichtigungsprozess kontaktiert.

    [Blocked Image: https://thehackernews.com/images/-W-YXfspkl8I/YMt1op6vO6I/AAAAAAAA4Q4/SnWv_Gbl-RMg2BM3YaU9IL1sLek-JjiUACLcBGAsYHQ/s728-e100/free-ad-9-728.png]

    Die Entwicklung wurde zuerst vom Nachrichtendienst Reuters berichtet. Die Namen der Opfer wurden nicht bekannt gegeben.

    Die jüngste Welle einer Reihe von Einbrüchen soll in erster Linie IT-Unternehmen zum Ziel gehabt haben, gefolgt von Regierungsbehörden, Nichtregierungsorganisationen, Think Tanks und Finanzdienstleistungen, wobei 45 % der Angriffe in den USA, Großbritannien, Deutschland und Kanada stattfanden.

    Nobelium ist der Name, den Microsoft dem nationalstaatlichen Angreifer zugewiesen hat, der für die beispiellosen Angriffe auf die Lieferkette von SolarWinds verantwortlich ist, die letztes Jahr bekannt wurden. Er wird von der breiteren Cybersicherheits-Community unter den Bezeichnungen APT29, UNC2452 (FireEye), SolarStorm (Unit 42), StellarParticle (Crowdstrike), Dark Halo (Volexity) und Iron Ritual (Secureworks) verfolgt.

    Darüber hinaus sagte Microsoft, dass es Informationen stehlen Malware auf einer Maschine, die zu einem seiner Kunden-Support-Agenten, die Zugriff auf grundlegende Kontoinformationen für eine kleine Anzahl von seinen Kunden hatte entdeckt.

    Die gestohlenen Kundeninformationen wurden anschließend “in einigen Fällen” verwendet, um sehr gezielte Angriffe als Teil einer breiteren Kampagne zu starten, sagte das Unternehmen und fügte hinzu, dass es schnell gehandelt hat, um das Gerät zu sichern. Die Untersuchung des Vorfalls ist noch nicht abgeschlossen.

    [Blocked Image: https://thehackernews.com/images/-SBDa0OwIyQY/YLy9M341QGI/AAAAAAAA4BM/m6-TrBrJenABekCqMu1Gp2XbmtAaeHd9ACLcBGAsYHQ/s300-e100/auth_300.jpg]

    Die Enthüllung, dass die Hacker einen neuen Zweig der Kampagne eingerichtet haben, kommt einen Monat nachdem Nobelium mehr als 150 verschiedene Organisationen in 24 Ländern ins Visier genommen hat, indem sie ein kompromittiertes USAID-Konto bei einem Massen-E-Mail-Marketing-Unternehmen namens Constant Contact nutzten, um Phishing-E-Mails zu versenden, die es der Gruppe ermöglichten, Hintertüren einzurichten, durch die wertvolle Informationen gestohlen werden konnten.

    Die Entwicklung markiert auch das zweite Mal, dass der Bedrohungsakteur Microsoft ins Visier genommen hat, nachdem das Unternehmen Anfang Februar dieses Jahres bekannt gab, dass es den Angreifern gelungen ist, sein Netzwerk zu kompromittieren, um Quellcode im Zusammenhang mit seinen Produkten und Diensten, einschließlich Azure, Intune und Exchange, einzusehen.

    Darüber hinaus kommt die Enthüllung zu einem Zeitpunkt, an dem die U.S. Securities and Exchange Commission (SEC) eine Untersuchung des SolarWinds-Einbruchs eröffnete, um zu prüfen, ob einige Opfer des Hacks es versäumt hatten, das Sicherheitsereignis öffentlich zu machen, wie Reuters letzte Woche berichtete.

    Fanden Sie diesen Artikel interessant? Folgen Sie THN auf Facebook, Twitter und LinkedIn, um weitere exklusive Inhalte zu lesen, die wir veröffentlichen.

    Einige Teile dieses Artikels stammen aus:
    thehackernews.com