Phishing-Welle auf Microsoft 365, benutzt die Adobe-Cloud

Sicherheit (Pexels, allgemeine Nutzung)Kurzer Hinweis für Administratoren von Microsoft 365. Seit einiger Zeit läuft eine Phishing-Welle, die auf Microsoft 365-Kunden abzielt. Die Opfer erhalten Mails von vertrauenswürdigen Absendern, die auch auf gemeinsame Themen / Projekte abzielen. Dabei kommt auch die Adobe-Cloud als vertrauenswürdiges Ziel für Links zum Einsatz. Die Daten werden teilweise von kompromittierten Konten abgezogen. Ich stelle es mal hier im Blog als Warnung ein, so dass Administratoren Gegenmaßnahmen einleiten können.


Anzeige

Die Leute von CSG Systemhaus GmbH haben mich vor einigen Tagen auf diesen Sachverhalt hingewiesen, der von ihnen auf LinkedIn skizziert wurde. Die Kerndaten sind in folgender Abbildung enthalten.

Die Opfer erhalten eine echt aussehende Mail von unverdächtigen Kontakten, die dann auch noch Links in die Adobe Cloud verweist, aber am Ende des Tages Phishing ist. Hier der skizzierte Ablauf der Phishing-Welle.

  • Dazu wurde ein Unternehmen mit Microsoft 365 erfolgreich per Phishing kompromittiert
  • Aus dem kompromittierten Postfach werden Mails mit Themenbezug an Kontakte des Nutzer anderer Unternehmen verschickt
  • Die Mails enthalten Links zu acrobat.adobe.com, wobei die Zielseite (vermutlich) für Weiterleitungen zu Phishing-Zielseiten missbraucht wird
  • Der Empfänger erhält eine Mail mit einem vermeintlichen Share-Point-Link

Der Empfänger klickt diesen Share-Point-Link an, und der Ablauf wiederholt sich, wobei die Kontakte des Opfers dann angemailt werden. Problem ist, dass das Ganze sehr gut funktioniert weil folgende Bedingungen erfüllt sind:


Anzeige

  • Die E-Mails kommen von vertrauenswürdigen Absendern (die allerdings kompromittiert wurden)
  • Die Mails von diesen Absendern nehmen Bezug auf ein gemeinsames Thema / Projekt, so dass Vertrauen aufgebaut wird
  • Der enthaltene Link führt zu vertrauenswürdigen Links von Adobe

    Auch Spamfilter erkennen solche Mails noch recht schlecht, weil viele Kriterien wie gefälschte oder unbekannte Mail-Adressen fehlen. IT-Verantwortliche und Geschäftsführer sollten reagieren und Benutzer diesbezüglich informieren und sensibilisieren. Auf LinkedIn gibt das Unternehmen noch einige Hinweise zur Gegenwehr. Neben dem Einstellen der Spamfilter, dass keine Links (von der betreffenden Adresse) zugelassen werden und in Microsoft 365 auf 2-Faktor-Authentifizierung setzen.


  • Anzeige

    Dieser Beitrag wurde unter Sicherheit abgelegt und mit verschlagwortet. Setze ein Lesezeichen auf den Permalink.

    19 Antworten zu Phishing-Welle auf Microsoft 365, benutzt die Adobe-Cloud

    1. Stefan A. sagt:

      Leider ist 2FA kein hinreichender Schutz mehr.
      Mir sind Fälle von anderen Firmen bekannt, wo z.B. der zweite Faktor mit auf der Phishingseite eingegeben wurde.

      Ich denke da z.B. an (AitM)-Phishing-Kits wie EvilProxy.

      Da hilft oftmals der beste Filter nichts, wenn die E-Mail von vertrauenswürdigen Absendern stammen…
      Da hilft nur logischer Menschenverstand und eine gesunde Portion Misstrauen!
      Leider haben das die meisten User nicht und klicken alles zwanghaft an!
      Awareness- Schulungen/Kampagnen werden oftmals leider als „nervig" empfunden…

      Musste ich mir gerade von der Seele schreiben :)

      • MWC sagt:

        Vollkommen richtig.
        2FA ist schnell ausgehebelt wenn der dahinter sitzt das mitspielt ohne nachzudenken.

      • Clemens sagt:

        Das einzige was hier aktuell wirklich hilft sind Phishing-resistente 2FA Methoden wie FIDO2/Passkey. Dort ist egal ob der Benutzer mitspielen will oder nicht, FIDO2 Keys kannst du so nicht aushebeln.

    2. Joerg sagt:

      Und M$ macht rein gar nichts dagegen, habe mittlerweile >20 kompromittierte Accounts / Sharepointseiten gemeldet, alle noch online. Security wird bei denn nur groß geschrieben, weil es Nomen ist ;-).

      Aber war ja irgendwie klar, mit der Beteilung an der AI und dem Versuch das irgendwie in die M$ Welt zu integrieren, verk*cken die es wieder einmal auf voller Länger, mal schauen wie schlimm die Python Integration in Office wird, gibt ja genug Möglichkeiten das vollends zu verk*acken :)

    3. VolkerW sagt:

      Gibt es noch weitere Screenshots? Hat jemand so was schon auf dem Tisch gehabt? Ich frage mich, wie es denn nach dem Klick auf den Link in der E-Mail weitergeht.

      Microsoft möchte ja eh alle mit Pushmeldungen vom Authentificator beglücken.
      Wenn die Welle größer wird, dann wird das eine Antwort von Microsoft sein.

      Irgendwann wird man wieder auf den Trichter kommen, die Loginseite mit klarer URL nicht in bunten Klicklandschaften einzubetten und die Idee, die URL der Seite vor dem User zu verstecken nicht zur Sicherheit beiträgt. Und selbst dann gibt es noch genügend Möglichkeiten, im Browser einem was vorzumachen. Leider.

      • Anonymous sagt:

        Ich frage mich, wie es denn nach dem Klick auf den Link in der E-Mail weitergeht.

        In einer guten Phishing Kampagne geht es stets unterschiedlich weiter mit Redirects teils in Kaskade auf unterschiedliche URLs mit auch unterschiedlichen dynamischen Inhalten usw., so kommt man an den "IP-Sperre bzw. URL-Sperre ist Sicherheit" Admins gut vorbei.

      • Simone (CSG Systemhaus GmbH) sagt:

        Leider liegen uns keine Screenshots des eigentlichen Phishing-Vorganges vor.

        Einzig die eingehenden Mails, die Beschreibung des Benutzers sowie der IT, und die Ergebnisse des anschließenden Massenversandes gleichermaßen aufgebauter Mails an Kontakte aus dem Postfach des Benutzers konnten analysiert werden.

        Laut Beschreibung öffnete sich beim Anklicken des vermeintlichen Sharepoint-Links eine Anmeldeseite (die Adobe-Seite), auf welcher man sich mit den M365-Credentials anmelden sollte.

        Ob nach "erfolgreichem" LogIn eine Weiterleitung zu einer Phishing-Seite mit gleichem Aufbau erfolgte. Und dann ggf. eine Meldung, dass etwas nicht geklappt hat und man es nochmal eingeben solle, angezeigt wurde, ist uns nicht bekannt.
        Kann so aber vermutet werden.

    4. Tommy sagt:

      Danke für die Meldung – hat hier bei uns auch direkt zugeschlagen kurz nachdem ich mal wieder alle Sensibilisiert habe. Falls es jemand interessiert hier noch weitere Screenshots vom vorgehen:

      Step1: https://ibb.co/nDwQdzQ
      Step2: https://ibb.co/HgWMhgy
      Step3: https://ibb.co/yWV0N4x
      Step4: https://ibb.co/Ry5DM1d

      Die Alarmglocken schrillen spätesten bei der Loginseite – siehe URL. Aber auch das typische "click to download" davor ist so ausgelutscht dass das schon der Abbruchpunkt sein dürfte…

      Ebenso wie die Tatsache dass in der E-Mail nicht nur der eigentliche Button "Open" verlinkt ist sondern der komplette Bereich ein verlinktes Bild darstellt. Aber prinzipiell starker Versuch.

    5. Hans sagt:

      Hallo,
      wir sind selbst auch betroffen. Haben ein kompromittiertes Email Konto.
      Von Diese Email Konto wurden 1500 Emails geschickt. Diese Mails gingen an interne sowie auch externe Mailadressen. Diese Adressen wurden aus bestehenden Mails die in dem betroffenen Postfach vorhanden waren, extrahiert und für die Phishing Kampagne verwendet.
      Die gesendeten Emails landen nicht in gesendete Mails bei dem gehackten Postfach.
      Es wurde durch den Angreifer eine Email Regel für das Postfach erstellt, welches alle eingehenden Mails als gelesen kennzeichnet und alle eingehenden Mails in gelöschte verschiebt.
      Wir verwenden 2FA Authentifizierung. Leider wurde diese auch umgangen.
      Wir suchen derzeit noch den Angriffsvektor. Eine Phishing Mail wurde in dem betroffenen Postfach noch nicht gefunden.
      Wie die 2FA umgangen wurde wird derzeit auch noch untersucht.
      Wir machen auch Awareness Schulungen.
      Insgesamt hat der Angriff keine 30 Minuten gedauert.
      Der Angreifer hat es geschafft sich eine eigene Authenticator hinzuzufügen und diesen dann auch wieder zu löschen. Somit hatte er auch vollen Zugriff auf das Postfach.
      Für die mass Mails wurde eine Microsoft Access Web App verwendet.
      Der Defender hat leider deutlich zu spät angeschlagen.
      Wenn wir den Conditional Access auf verwaltete Geräte eingeschränkt hätten wäre das nicht passiert.

      Das Hauptproblem ist, mal abgesehen von den Users, dass es geschafft wurde die 2FA zu umgehen. Der betroffene Mitarbeiter hatte die Microsoft Authenticatior App mit Push Benachrichtigung an. Wie man diese umgehen kann, verstehe ich noch nicht.
      Werde aber bei Interesse berichten.
      Hans

      • Michael Uray sagt:

        Die User mussten sich in letzte Zeit so oft irgendwo bei MS neu anmelden und die Anmeldung in der App bestätigen, so dass es schon fast ein normaler/regulärer Vorgang für sie wurde und dem daher wohl auch keine besondere Beachtung mehr geschenkt wird.
        Ich vermute die 2FA / MFA wurde durch den User selbst bestätigt.

        • Hans sagt:

          Bei der Microsoft Authenticator Push App ist es mit einer Bestätigung nicht getan. Er müsste ja zusätzlich die zweistellige Zahl eingeben. Welche er von der Anmeldung bekommt.

          Somit muss es irgendwie anders gegangen sein.

          Morgen früh kommt der Forensiker.

          • Günter Born sagt:

            Wenn ihr Details herausfindet und diese teilen wollt – ich habe immer ein offenes Ohr – man kann nur lernen.

          • Michael Uray sagt:

            Der Link führte zu einer Seite welche wie ein MS Login aussah (https://imgur.com/8KoHrec), nur unter anderen URL.
            Ich vermute, dass direkt mit der Eingabe auf dieser Seite dann auch gleich automatisch eine Anmeldung bei Microsoft durchgeführt wurde, die Zahl für die Authentikator App von MS ebenfalls auf dieses Formular übermittelt wurde und so vom User eingegeben werden konnte.

          • Michael Uray sagt:

            Wo bekommt man eigentlich einen guten IT-Forensiker, was kostet so etwas und finden die wirklich etwas brauchbares heraus?
            Vielleicht kannst du uns ja etwas darüber berichten.

            • Jan (CSG Systemhaus GmbH) sagt:

              Im Regelfall hat man ja eine Cyberversicherung, die man bei einem Angriff mit ins Boot holt.
              Diese hat erfahrungsgemäß ihre Forensiker, die sie stellt.

    6. andrgin sagt:

      Es scheint mehrere Subvarianten davon zu geben.

      Aktuell gerade bei einem unserer User eingegangen:
      .) Email kommt von einem Microsoft Mailserver
      .) Echter Mailverlauf als Zitat eingefügt. Seriös wirkender Text mit Verweis auf den Anhang
      .) Die html Datei sieht aus wie ein OneDrive Ordner. Es handelt sich jedoch nur um eingebettete Grafiken. Zusätzlich wird ein objuscated js File von einem externen Server geladen
      .) Klickt der User auf den Download Button (oder eine der Dateien) so wird ein Microsoft Login Dialog angezeigt

    Schreibe einen Kommentar

    Deine E-Mail-Adresse wird nicht veröffentlicht. Erforderliche Felder sind mit * markiert

    Hinweis: Bitte beachtet die Regeln zum Kommentieren im Blog (Erstkommentare und Verlinktes landet in der Moderation, gebe ich alle paar Stunden frei, SEO-Posts/SPAM lösche ich rigoros). Kommentare abseits des Themas bitte unter Diskussion.

    Du findest den Blog gut, hast aber Werbung geblockt? Du kannst diesen Blog auch durch eine Spende unterstützen.