Botnet umgeht gängige Sicherheitsmaßnahme:
Angriff auf Microsoft 365
Eine massive Botnet-Kampagne zielt auf Microsoft 365-Konten ab. Die Angreifer umgehen dabei gängige Sicherheitsmaßnahmen und stellen damit Unternehmen vor neue Herausforderungen bei der Absicherung ihrer Cloud-Dienste.
Diese haben die umfangreiche Botnet-Infrastruktur entdeckt, die derzeit massive Passwort-Spraying-Attacken durchführt. Schutzmaßnahmen wie die Multi-Faktor-Authentifizierung (MFA) werden dabei umgangen, indem die Angreifer eine Anmelde-Methode verwenden, die von zahlreichen Sicherheitssystemen häufig übersehen wird, da sie gar nicht auf dem Radar der Security-Lösungen ist.
Bislang wurden schon über 130.000 kompromittierte Geräte entdeckt, die das Botnet bilden. Cyberkriminelle kombinieren dabei gestohlene Zugangsdaten mit der Ausnutzung veralteter Authentifizierungsmethoden.
Laut der detaillierten Analyse, welche Scorecard ausgeführt hat, nutzen die Angreifer gezielt Schwachstellen der Basic Authentication, bei der Anmeldedaten im Klartext übertragen werden. Microsoft ist im Übrigen schon dabei, die Basic Authentication schrittweise abzuschalten, da sie ein potenziell zu hohes Sicherheitsrisiko birgt.
Die Botnet-Betreiber agieren äußerst raffiniert. Sie nutzen gestohlene Zugangsdaten aus sogenannten Infostealer-Logs, um gezielt Konten anzugreifen. Um das Risiko entdeckt zu werden, verteilen sie ihre Anmeldeversuche auf tausende IP-Adressen und maximieren so ihre Erfolgschancen, indem sie systematisch verschiedene Konten ins Visier nehmen. Infografik Computerkriminalität: Wo Cyberattacken ihren Ursprung haben
Microsoft 365 umfasst eine Vielzahl von cloudbasierten Diensten, darunter Outlook.com, OneDrive, Microsoft Teams und die klassischen Office-Anwendungen (Word, Excel, PowerPoint), die millionenfach zum Einsatz kommen. Die Sicherheit dieser Plattform, die von Millionen Nutzern weltweit genutzt wird, hat daher oberste Priorität.
Was haltet ihr von dieser raffinierten Angriffsmethode? Seht ihr in euren Unternehmen ähnliche Herausforderungen bei der Absicherung von Cloud-Diensten? Teilt eure Erfahrungen und Gedanken in den Kommentaren - wir sind gespannt auf eure Einschätzungen!
Siehe auch:
Stille Gefahr für Microsoft 365-Konten?
Dieser neuartige Angriff auf Microsoft 365-Konten führt nun zu einer Warnung durch die Sicherheitsexperten von Security Scorecard.Diese haben die umfangreiche Botnet-Infrastruktur entdeckt, die derzeit massive Passwort-Spraying-Attacken durchführt. Schutzmaßnahmen wie die Multi-Faktor-Authentifizierung (MFA) werden dabei umgangen, indem die Angreifer eine Anmelde-Methode verwenden, die von zahlreichen Sicherheitssystemen häufig übersehen wird, da sie gar nicht auf dem Radar der Security-Lösungen ist.
Bislang wurden schon über 130.000 kompromittierte Geräte entdeckt, die das Botnet bilden. Cyberkriminelle kombinieren dabei gestohlene Zugangsdaten mit der Ausnutzung veralteter Authentifizierungsmethoden.
Laut der detaillierten Analyse, welche Scorecard ausgeführt hat, nutzen die Angreifer gezielt Schwachstellen der Basic Authentication, bei der Anmeldedaten im Klartext übertragen werden. Microsoft ist im Übrigen schon dabei, die Basic Authentication schrittweise abzuschalten, da sie ein potenziell zu hohes Sicherheitsrisiko birgt.
Gefährliche Lücke in der Verteidigung
Das Perfide an dieser Methode: Herkömmliche Sicherheitsmaßnahmen greifen oft ins Leere. Multi-Faktor-Authentifizierung und Conditional Access Policies (CAP) werden bei nicht interaktiven Anmeldungen in der Regel nicht aktiviert. Damit öffnen sich Angreifern Hintertüren, durch die sie unauffällig in Unternehmensnetzwerke eindringen können.Die Botnet-Betreiber agieren äußerst raffiniert. Sie nutzen gestohlene Zugangsdaten aus sogenannten Infostealer-Logs, um gezielt Konten anzugreifen. Um das Risiko entdeckt zu werden, verteilen sie ihre Anmeldeversuche auf tausende IP-Adressen und maximieren so ihre Erfolgschancen, indem sie systematisch verschiedene Konten ins Visier nehmen. Infografik Computerkriminalität: Wo Cyberattacken ihren Ursprung haben
Spuren nach China
Eine Analyse der Netzwerkdaten zeigt, dass die primären Command-and-Control-Server (C2) von SharkTech, einem US-amerikanischen Anbieter, gehostet werden. Der Datenverkehr wird jedoch über Anbieter in Hongkong und China geleitet, was Hinweise auf mögliche Verbindungen zu chinesischen Akteuren liefert. Das Botnet lässt sich bis mindestens Dezember 2024 zurückverfolgen.Schutzmaßnahmen dringend erforderlich
Für Unternehmen ergeben sich aus dieser Bedrohung klare Handlungsanweisungen. An oberster Stelle steht die Deaktivierung der Basic Authentication für Microsoft 365-Dienste. Zudem sollten regelmäßige Überprüfungen auf kompromittierte Zugangsdaten unerlässlich sein, um Folgeschäden zu verhindern.Microsoft 365 umfasst eine Vielzahl von cloudbasierten Diensten, darunter Outlook.com, OneDrive, Microsoft Teams und die klassischen Office-Anwendungen (Word, Excel, PowerPoint), die millionenfach zum Einsatz kommen. Die Sicherheit dieser Plattform, die von Millionen Nutzern weltweit genutzt wird, hat daher oberste Priorität.
Was haltet ihr von dieser raffinierten Angriffsmethode? Seht ihr in euren Unternehmen ähnliche Herausforderungen bei der Absicherung von Cloud-Diensten? Teilt eure Erfahrungen und Gedanken in den Kommentaren - wir sind gespannt auf eure Einschätzungen!
Was ist das Besondere an diesem Botnet?
Das Botnet umfasst über 130.000 kompromittierte Geräte und zielt speziell auf Microsoft 365-Konten ab. Seine Besonderheit liegt in der Ausnutzung der Basic Authentication, wodurch es die Mehrfaktor-Authentifizierung (MFA) umgehen kann.
Die Angreifer nutzen dabei sogenannte nicht interaktive Anmeldungen, die in vielen Sicherheitskonfigurationen keine MFA auslösen. Dies macht die Angriffe besonders gefährlich, da sie oft von Standard-Sicherheitsüberwachungen übersehen werden.
Die Angreifer nutzen dabei sogenannte nicht interaktive Anmeldungen, die in vielen Sicherheitskonfigurationen keine MFA auslösen. Dies macht die Angriffe besonders gefährlich, da sie oft von Standard-Sicherheitsüberwachungen übersehen werden.
Wie erkennt man einen Angriff?
Verdächtige Aktivitäten lassen sich in den Entra ID-Protokollen erkennen. Typische Anzeichen sind eine erhöhte Anzahl nicht interaktiver Anmeldeversuche, mehrere fehlgeschlagene Anmeldungen von verschiedenen IP-Adressen und die Verwendung des User-Agents "fasthttp".
Besonders wichtig ist die Überprüfung der nicht interaktiven Anmeldeprotokolle, da viele Sicherheitsteams diese häufig übersehen. Organisationen sollten ihre M365-Protokolle umgehend auf entsprechende Aktivitäten prüfen.
Besonders wichtig ist die Überprüfung der nicht interaktiven Anmeldeprotokolle, da viele Sicherheitsteams diese häufig übersehen. Organisationen sollten ihre M365-Protokolle umgehend auf entsprechende Aktivitäten prüfen.
Wer steckt hinter den Angriffen?
Laut Security-Scorecard deutet vieles auf einen chinesischen Ursprung hin. Die Command-and-Control-Server des Botnets sind auf die Zeitzone Asia/Shanghai eingestellt und nutzen teilweise chinesische Cloud-Provider wie Ucloud.
Eine eindeutige Zuordnung ist jedoch bislang nicht möglich. Die Hauptinfrastruktur wird über den US-Provider SharkTech betrieben, wobei sechs primäre C2-Server Apache Zookeeper und Kafka für die Botnet-Verwaltung nutzen.
Eine eindeutige Zuordnung ist jedoch bislang nicht möglich. Die Hauptinfrastruktur wird über den US-Provider SharkTech betrieben, wobei sechs primäre C2-Server Apache Zookeeper und Kafka für die Botnet-Verwaltung nutzen.
Wie kann man sich schützen?
Der wichtigste Schritt ist die Deaktivierung der Basic Authentication in Microsoft 365, da diese die Hauptangriffsfläche bietet. Zusätzlich sollten Conditional Access Policies (CAP) aktiviert werden, um Anmeldeversuche zu beschränken.
Mehrfaktor-Authentifizierung sollte für alle Konten verpflichtend sein. Außerdem empfiehlt sich das Blockieren der bekannten verdächtigen IP-Adressen und eine regelmäßige Überprüfung der nicht interaktiven Anmeldeprotokolle.
Mehrfaktor-Authentifizierung sollte für alle Konten verpflichtend sein. Außerdem empfiehlt sich das Blockieren der bekannten verdächtigen IP-Adressen und eine regelmäßige Überprüfung der nicht interaktiven Anmeldeprotokolle.
Was sind die Folgen einer Kompromittierung?
Bei erfolgreicher Kompromittierung können Angreifer auf verschiedene Microsoft 365-Dienste zugreifen, die noch Basic Authentication nutzen. Dies ermöglicht potenziell den Zugriff auf sensible Unternehmensdaten.
Die verifizierten Zugangsdaten können außerdem für komplexere Phishing-Angriffe verwendet werden, um die MFA zu umgehen und vollständigen Zugriff auf das Konto zu erlangen. Dies kann zu schwerwiegenden Datenlecks und weiteren Sicherheitsvorfällen führen.
Die verifizierten Zugangsdaten können außerdem für komplexere Phishing-Angriffe verwendet werden, um die MFA zu umgehen und vollständigen Zugriff auf das Konto zu erlangen. Dies kann zu schwerwiegenden Datenlecks und weiteren Sicherheitsvorfällen führen.
Zusammenfassung
- Massive Botnet-Kampagne zielt auf Microsoft 365-Konten ab
- Angreifer nutzen nicht interaktive Anmeldungen für Passwort-Spraying
- Über 130.000 kompromittierte Geräte bilden das angreifende Botnet
- Basic Authentication wird ausgenutzt, um MFA und CAP zu umgehen
- Angriffe verteilen sich auf tausende IP-Adressen zur Verschleierung
- Mögliche Verbindungen zu chinesischen Akteuren werden vermutet
- Die Deaktivierung der Basic Authentication wird dringend empfohlen
Siehe auch:
Thema:
Videos zum Thema
-
NiPoGi E3B: Mini-PC mit ungewöhnlichem Prozessor für Office & Co.
-
Soayan MN-N5: Billiger Mini-PC für Office und Web im Test
-
Blackview MP60: Günstiger Mini-PC für Office & Co. im Test
-
Beelink EQR6: Mini-PC mit viel Power für die Office-Nutzung im Test
-
Microsoft Loop ist da: Neue Office-App startet als Preview-Version
Beliebte Office-Downloads
Beliebt im Preisvergleich
- Office-Pakete:
Beiträge aus dem Forum
Interessante Links
Beliebte Windows 10 FAQ Einträge
Neue Nachrichten
- Aktuelle Technik-Blitzangebote von Amazon im Überblick
- Ryzen-CPUs: AMD killt RAM-Verschlüsselung - und rudert jetzt zurück
- Windows 11 26H2: Microsoft veröffentlicht allererste Vorschau-Version
- Apple M6-Prozessoren: TSMC liefert erste 2nm-Chips für neue Macs
- Windows 11 26H2: Microsoft kündigt nächste OS-Version offiziell an
- VW ID.3 Neo GTI: Erlkönig des neuen Elektro-GTI wurde gesichtet
- Prime Day: Bei Amazon starten schon jetzt tolle Saugroboter-Deals
❤ WinFuture unterstützen
Sie wollen online einkaufen?
Dann nutzen Sie bitte einen der folgenden Links,
um WinFuture zu unterstützen:
Vielen Dank!
Amazon