Hunderte von Azure-Konten, dem Cloud-Dienst von Microsoft, sollen von einer Sicherheitslücke betroffen sein, die kritische Daten ihrer Benutzer offengelegt hat. Der Cyberangriff, der mehrere Umgebungen betroffen hat, richtete sich gegen Top-Manager großer Unternehmen.
Laut dem Cybersicherheitsunternehmen Proofpoint verwendet der Hack die gleiche bösartige Kampagne, die im November 2023 entdeckt wurde und Methoden wie Phishing zum Diebstahl von Anmeldeinformationen und Kontenübernahme in der Cloud (CTO) integriert. Dies ermöglicht es den Angreifern, Zugriff auf OfficeHome und gleichzeitig auf Anwendungen von Microsoft 365 zu erlangen.
Die Hacker sollen Proxy-Dienste verwendet haben, um geografische Einschränkungen zu umgehen und ihren wahren Standort zu verschleiern. Um den Angriff durchzuführen, haben die Cyberkriminellen Links in die Dokumente eingebettet, die die Benutzer zu Phishing-Websites umleiteten. Diese Links hatten oft den Anker-Text „Dokument anzeigen“, was keinen Verdacht erregte.
Der Angriff wurde sorgfältig geplant und richtete sich sowohl an mittlere als auch obere Mitarbeiter, wobei mehr Konten von Ersteren betroffen waren. Laut Proofpoint waren Positionen wie Vertriebsdirektoren, Account Manager, Finanzdirektoren, Operations-Vizepräsidenten, Finanzdirektoren, Präsidenten und CEOs die häufigsten Ziele. Dadurch konnten die Angreifer auf Informationen in verschiedenen Ebenen und Domänen der Organisationen zugreifen.
Bei dieser Art von Angriffen, sobald das Konto kompromittiert ist, setzen die Cyberkriminellen ihre eigene MFA (Multifaktor-Authentifizierung) ein, um den Zugriff zu verlängern, zum Beispiel durch Hinzufügen einer alternativen Mobiltelefonnummer oder Konfigurieren einer Authentifizierungs-App, damit der Benutzer keinen Zugriff wiederherstellen kann. Darüber hinaus entfernen die Angreifer alle Beweise für verdächtige Aktivitäten, um ihre Spuren zu verwischen.
Das Ziel dieser Cyberangriffe ist der Diebstahl von Daten und Finanzbetrug. Obwohl es derzeit keine klaren Beweise gibt, um die Urheber der Angriffe zu identifizieren, wird vermutet, dass sie aus Russland und Nigeria stammen, basierend auf der Verwendung lokaler Festnetz-ISP in diesen Regionen.
