{"id":283834,"date":"2023-07-15T18:55:52","date_gmt":"2023-07-15T16:55:52","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=283834"},"modified":"2023-07-17T07:46:48","modified_gmt":"2023-07-17T05:46:48","slug":"azure-ad-hack-seltsame-azure-ad-ip-20-119-0-42443-safe-hse-com-am-13-juni-2023","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2023\/07\/15\/azure-ad-hack-seltsame-azure-ad-ip-20-119-0-42443-safe-hse-com-am-13-juni-2023\/","title":{"rendered":"Azure AD Hack? Seltsame Azure AD IP 20.119.0.42:443 "safe-hse.com" am 13. Juni 2023"},"content":{"rendered":"

[English<\/a>]Am 13. Juni 2023 hat ein Blog-Leser eine Meldung vom Defender for Endpoint (ATP) erhalten. Er wurde benachrichtigt, dass eine ausgehende Verbindung zur IP 20.119.0.42:443 best\u00fcnde, die mit einer Gruppe \"Storm-0900\" in Verbindung gebracht w\u00fcrde. Ich stelle die Informationen mal hier im Blog ein – vielleicht gibt es weitere Betroffene – denn die IP geh\u00f6rt zu einer Microsoft Azure-Instanz.<\/p>\n

<\/p>\n

\"\"Der Blog-Leser verwendet den Defender for Endpoint (ATP) auf seinen Endger\u00e4ten und erhielt von diesem am 15. Juni 2023 eine Warnung im Zusammenhang mit dem Microsoft Edge Browser, siehe folgenden Screenshot.<\/p>\n

<\/a>
\nZum Vergr\u00f6\u00dfern klicken<\/a><\/p>\n

Solche Warnungen k\u00f6nnen vorkommen. Stutzig machten aber die Details. Beim Microsoft Edge wurde eine ausgehende Verbindung zu einer IP-Adresse registriert, die auf eine Microsoft Azure-Instanz zeigt. Der Defender l\u00f6st dann eine Warnung \"Outbound connection from 192.168.5.105:58836 to 20.119.0.42:443 MSTIC Storm-0900 activity group.\" aus. Der Leser schrieb mir dazu:<\/p>\n

Hallo Herr Born,<\/p>\n

evtl. ist das f\u00fcr Sie von Interesse.<\/p>\n

Gestern hatten wir eine seltsame Meldung vom \"Defender for Endpoint (ATP)\" auf einem Endger\u00e4t.<\/p>\n

Angeblich hatten wir eine Aktivit\u00e4t von MSTIC STORM-900 im Zusammenhang mit Edge. Das Erstaunliche nach meiner Recherche war das diese IP (20.119.0.42) zu MS-Azure geh\u00f6rt.<\/p>\n

Diese IP wurde erst vor etwa 8-10 Tagen registriert.<\/p>\n

Allerdings ist die URL \"safe-hse.com\" auf Virustotal als Malicious\/Phishing gelistet und hat mit Microsoft nichts zu tun. Ich habe diesen Vorgang mal an MS \u00fcbermittelt IOC@.<\/p>\n

Evtl. ist das f\u00fcr Sie von Interesse.<\/p><\/blockquote>\n

WhoIs f\u00fcr die genannte IP<\/a> gibt in der Tat Microsoft an. Der Leser hat mich noch nachfolgenden Screenshot mit der Aufl\u00f6sung der URL zukommen lassen, der einige Zusatzinformationen enth\u00e4lt.<\/p>\n

<\/p>\n

Ich habe dann die obige URL, die vom Defender als resolved angezeigt wird\" auf Virustotal \u00fcberpr\u00fcfen<\/a> lassen – 17 von 91 Anbietern melden diese Webseite als sch\u00e4dlich (Phishing oder Malicious).<\/p>\n

\"Virustotal<\/a><\/p>\n

Das deutet darauf hin, dass da eine Azure-Instanz gehackt sein k\u00f6nnte. Der Leser hat Microsoft bez\u00fcglich dieser Warnung kontaktiert, bisher aber noch keine Antwort erhalten. Vielleicht haben ja noch andere Leser diese Meldungen bekommen (m\u00f6glicherweise wird eine Phishing-Mail mit einem Link auf die oben genannte Webseite verbreitet).<\/p>\n

Bez\u00fcglich der Einordnung der \"Gruppe Storm-0900\" l\u00e4sst sich nicht viel konkretes sagen. Microsoft hat auf der Support-Seite How Microsoft names threat actors<\/a> folgendes geschrieben.<\/p>\n

Bei Gruppen, die sich in der Entwicklung befinden, d. h. bei einer neu entdeckten, unbekannten, aufkommenden oder sich entwickelnden Gruppe von Bedrohungsaktivit\u00e4ten, verwenden wir die vorl\u00e4ufige Bezeichnung \"Storm\" und eine vierstellige Nummer, die es uns erm\u00f6glicht, sie als eindeutige Informationsgruppe zu verfolgen, bis wir ein hohes Ma\u00df an Vertrauen in den Ursprung oder die Identit\u00e4t des Akteurs hinter der Operation erreichen k\u00f6nnen.<\/p><\/blockquote>\n","protected":false},"excerpt":{"rendered":"

[English]Am 13. Juni 2023 hat ein Blog-Leser eine Meldung vom Defender for Endpoint (ATP) erhalten. Er wurde benachrichtigt, dass eine ausgehende Verbindung zur IP 20.119.0.42:443 best\u00fcnde, die mit einer Gruppe \"Storm-0900\" in Verbindung gebracht w\u00fcrde. Ich stelle die Informationen mal … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,426],"tags":[4375,4328],"class_list":["post-283834","post","type-post","status-publish","format-standard","hentry","category-cloud","category-sicherheit","tag-azure","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283834","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=283834"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/283834\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=283834"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=283834"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=283834"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}