Russische Angreifer dringen in Microsoft-Kundendienstkonten ein

  • Amerikanische IT-Unternehmen und die Regierung sind ins Visier der staatlich gesponserten Gruppe Nobelium geraten.

    Dieselbe Gruppe, die hinter der Supply-Chain-Attacke von Solar Winds steckt, hat es auf die Unternehmensnetzwerke von Microsoft abgesehen, um sich Zugang zu bestimmten Organisationen zu verschaffen – in erster Linie zu US-amerikanischen IT- und Regierungsorganisationen.

    Microsoft kündigte die Angriffe offiziell an, nachdem Reuters eine an Kunden gesendete E-Mail erhalten hatte, in der erklärt wurde, dass die Bedrohungsgruppe Nobelium Anmeldeinformationen von Kunden-Service-Agenten stahl, um sich Zugang zu verschaffen und Angriffe auf Microsoft-Kunden zu starten.

    “Das Microsoft Threat Intelligence Center verfolgt neue Aktivitäten des Bedrohungsakteurs Nobelium”, sagte der Software-Riese in einem Blog-Post. “Unsere Untersuchung der Methoden und Taktiken, die verwendet werden, geht weiter, aber wir haben Passwort-Spray und Brute-Force-Angriffe gesehen.”

    Nobelium, APT29, Cozy Bear, The Dukes: Verschiedene Namen, dieselbe staatlich gesponserte Gruppe

    Nobelium ist der interne Microsoft-Name für die Gruppe, die hinter dem Solar Winds-Angriff vermutet wird und die auch unter den Namen APT29, Cozy Bear und The Dukes bekannt ist. Unabhängig vom Namen wurde die Gruppe von der US-Regierung als mit der russischen Regierung zusammenarbeitend eingestuft.

    “Alle Kunden, die kompromittiert wurden oder gezielt werden durch unsere Nation-State-Benachrichtigung Prozess kontaktiert,” Microsoft sagte.

    Das Microsoft Threat Intelligence Team fand heraus, dass 45 Prozent der Kunden, auf die die Angriffe abzielten, in den USA ansässig sind – von diesen sind 57 Prozent IT-Unternehmen und 20 Prozent Regierungsbehörden.

    Zusätzlich zu Passwort-Spraying und Brute-Force-Angriffen hat Microsoft nach eigenen Angaben auch Info-Stealer-Malware gefunden, die auf bestimmte Kunden abzielt.

    “Im Rahmen unserer Untersuchung dieser laufenden Aktivität haben wir auch informationsdiebende Malware auf einem Rechner entdeckt, der einem unserer Kundensupport-Agenten gehörte und Zugang zu grundlegenden Kontoinformationen für eine kleine Anzahl unserer Kunden hatte”, heißt es in der Ankündigung von Microsoft. “Der Akteur nutzte diese Informationen in einigen Fällen, um sehr gezielte Angriffe als Teil seiner breit angelegten Kampagne zu starten.”

    Von der Belästigung zur nationalen Sicherheitsbedrohung

    Während Microsoft weiter nach dem jüngsten Sicherheitsverstoß sucht, müssen Unternehmen laut Chris Clements von Cerberus Sentinel über grundlegende Passwortschutzmaßnahmen hinausschauen.

    “Die Auswahl von Passwörtern, die sowohl stark als auch für jede Website oder Anwendung einzigartig sind, kann entmutigend sein, aber es gibt mnemonische Geräte und Passwort-Manager, die die Last erleichtern können. Die größten Sicherheitsverbesserungen, die ein einzelner Benutzer machen kann, kommen von der Implementierung einer nicht SMS-basierten Zwei-Faktor-Authentifizierung für alle seine Konten”, sagte Clements.

    Clements fügte hinzu, dass die Beschränkung des Zugriffs und die kontinuierliche Überwachung ebenfalls Teil der Schutzmaßnahmen einer Organisation sein sollten.

    “Organisationen können noch einen Schritt weiter gehen, um ihre Abwehr gegen Passwort-Attacken zu verstärken, indem sie Zugangsbeschränkungen implementieren und ihre Umgebung kontinuierlich auf verdächtige Aktivitäten wie Credential Stuffing-Attacken überwachen”, sagte er.

    Erich Kron von KnowBe4 sieht diese Art von Angriffen auf die größten Organisationen als ein Zeichen dafür, dass Angreifer bei der Auswahl ihrer Opfer immer ehrgeiziger werden, um den maximalen Gewinn zu erzielen.

    “Einmal mehr sehen wir, dass die moderne Cyberkriminalität mehr als nur Einzelpersonen oder kleine Organisationen ins Visier nimmt”, so Kron. “Wir sehen, wie sie eingesetzt wird, um größere Ziele anzugreifen, darunter auch die Bundesregierung. Diese Angriffe sind nicht länger ein Ärgernis, sondern stellen eine reale und erhebliche Bedrohung für unsere nationale Sicherheit dar.”

    Schließen Sie sich Threatpost für “Tipps und Taktiken für eine bessere Bedrohungsjagd” an – eine LIVE-Veranstaltung am Mi., 30. Juni um 14:00 Uhr ET in Partnerschaft mit Palo Alto Networks. Erfahren Sie von den Experten der Unit 42 von Palo Alto, wie Sie Bedrohungen am besten aufspüren und wie Sie die Automatisierung zur Unterstützung nutzen können. Registrieren Sie sich HIER kostenlos.

    Einige Teile dieses Artikels stammen aus:
    threatpost.com