{"id":305773,"date":"2024-11-05T00:06:07","date_gmt":"2024-11-04T23:06:07","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=305773"},"modified":"2024-11-05T08:33:30","modified_gmt":"2024-11-05T07:33:30","slug":"microsoft-angriff-auf-cloud-kunden-durch-diebstahl-von-anmeldedaten","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2024\/11\/05\/microsoft-angriff-auf-cloud-kunden-durch-diebstahl-von-anmeldedaten\/","title":{"rendered":"Microsoft: Angriff auf Cloud-Kunden durch Diebstahl von Anmeldedaten"},"content":{"rendered":"

\"Sicherheit[English<\/a>]Die Sicherheitsexperten von Microsoft haben diverse Einbruchsaktivit\u00e4ten beobachtet, die auf den Diebstahl von Zugangsdaten mehrerer Microsoft-Kunden abzielen. Diese Angriffe durch mutma\u00dflich staatliche Akteure (China-Russland) waren wohl erfolgreich und wurden durch Passwort-Spray-Angriffe oder \u00fcber RDP erm\u00f6glicht.<\/p>\n

<\/p>\n

Warnung vor\u00a0Passwort-Spray-Angriffen<\/h2>\n

\"\"Der erste Fall betrifft mutma\u00dflich chinesische Hackergruppen, die Zugangsdaten f\u00fcr Benutzerkonten abgreifen wollen. Microsoft hat die Erkenntnisse \u00fcber laufende Cyberangriffe auf Kunden durch mutma\u00dflich staatliche Akteure bereits Ende Oktober 2024 in diversen Tweets<\/a> ver\u00f6ffentlicht.<\/p>\n

\"Cyberangriffe<\/a><\/p>\n

Es hei\u00dft, dass Microsoft Einbruchsaktivit\u00e4ten aufgefallen sind, die auf mehrere Microsoft-Kunden abzielen. Dabei sollen erfolgreich Anmeldedaten f\u00fcr diese Konten gestohlen worden sein. Dies wurde durch Passwort-Spray-Angriffe erm\u00f6glicht, sprich, die Kunden haben keine Zweifaktor-Authentifizierung zur Absicherung der Konten verwendet.<\/p>\n

Die Passwort-Spray-Angriffe gehen laut\u00a0Microsoft auf ein Botnet, bestehend aus einem Netzwerk kompromittierter Ger\u00e4te, aus. Dieses Botnet wird von Microsoft als CovertNetwork-1658, oder xlogin und Quad7 (7777), bezeichnet.<\/p>\n

Microsoft verwendet den Begriff \"CovertNetwork\" f\u00fcr eine Sammlung von IPs, die kompromittierten oder geleasten Ger\u00e4ten zugeordnet sind, und die von einem oder mehreren Bedrohungsakteuren verwendet werden k\u00f6nnen. Microsoft geht davon aus, dass ein in China ans\u00e4ssiger Bedrohungsakteur CovertNetwork-1658 eingerichtet hat und unterh\u00e4lt.<\/p>\n

Microsoft hat den chinesischen Bedrohungsakteur Storm-0940 beobachtet, der Anmeldeinformationen von CovertNetwork-1658 verwendet. Storm-0940 ist seit 2021 aktiv und hat es auf Organisationen in Nordamerika und Europa abgesehen, darunter Think Tanks, Regierungsorganisationen, NGOs, Anwaltskanzleien und die Verteidigungsindustrie.<\/p>\n

Details lassen sich im Blog-Beitrag Research Threat intelligence Microsoft Defender XDR Attacker techniques, tools, and infrastructure 8 min read Chinese threat actor Storm-0940 uses credentials from password spray attacks from a covert network<\/a> nachlesen.<\/p>\n

Spear-Phishing per RDP durch Midnight Blizzard<\/h2>\n

Eine weitere Bedrohung existiert durch die staatliche russische Hackergruppe Midnight Blizzard, die per Spear-Phing mit RDP-Files versucht in Netzwerke einzudringen. Microsoft Threat Intelligence beobachtet seit dem 22. Oktober 2024, dass der russische Bedrohungsakteur Midnight Blizzard eine Reihe gezielter Spearphishing-E-Mails an Personen in Beh\u00f6rden, Hochschulen, Verteidigungseinrichtungen, Nichtregierungsorganisationen und anderen Sektoren versendet.<\/p>\n

\"Spear-Phishing<\/a><\/p>\n

Opfern wird eine Phishing-Mail mit einer RDP-Datei zugeschickt. Die Spear-Phishing-E-Mails in dieser Kampagne wurden an Tausende von Zielpersonen in \u00fcber 100 Organisationen gesendet und enthielten eine signierte RDP-Konfigurationsdatei (Remote Desktop Protocol), die eine Verbindung zu einem von einem Akteur kontrollierten Server herstellte.<\/p>\n

In einigen der K\u00f6der versuchten die T\u00e4ter, ihren b\u00f6sartigen Nachrichten mehr Glaubw\u00fcrdigkeit zu verleihen, indem sie sich als Microsoft-Mitarbeiter ausgaben. Der Bedrohungsakteur verwies in den Phishing-Lockmitteln auch auf andere Cloud-Anbieter. F\u00e4llt das Opfer auf den K\u00f6der herein, versuchen die Hacker Informationen \u00fcber Zug\u00e4nge zu sammeln.<\/p>\n

Microsoft hat die Details der Kampagne und die Erkenntnisse Ende Oktober 2024 im Blog-Beitrag Midnight Blizzard conducts large-scale spear-phishing campaign using RDP files<\/a> ver\u00f6ffentlicht.<\/p>\n

Florian Roth hat in diesem Tweet<\/a> die YARA-Rules zum Aufsp\u00fcren dieser Phishing-Angriffe ver\u00f6ffentlicht.<\/p>\n

Microsoft forgot to include the hashes of the RDP files and I wrote a YARA rule to detect them Hashes
\ndb326d934e386059cc56c4e61695128e 40f957b756096fa6b80f95334ba92034 f58cf55b944f5942f1d120d95140b800 b38e7e8bba44bc5619b2689024ad9fca e1d7de6979c84a2ccaa2aba993634c48 f7e04aab0707df0dc79f6aea577d76ea<\/p>\n

YARA rule\u00a0<\/a>
\nSigma rule<\/a><\/p><\/blockquote>\n

\u00c4hnliche Artikel:<\/strong>
\nChina-Hacker (Storm-0558) in Microsofts Cloud, Outlook Online-Konten gehackt<\/a>
\nNachlese zum Storm-0558 Cloud-Hack: Microsoft tappt noch im Dunkeln<\/a>
\nNach CISA-Bericht zum Storm-0558-Hack stellt Microsoft Kunden erweitertes Cloud-Logging bereit<\/a>
\nGAU: Geklauter AAD-Schl\u00fcssel erm\u00f6glichte (Storm-0558) weitreichenden Zugang zu Microsoft Cloud-Diensten<\/a>
\nHewlett Packard Enterprise (HPE) von Midnight Blizzard seit Mai 2023 gehackt<\/a>
\nWhistleblower: Microsoft ignorierte Warnungen vor Azure AD-Bug; wurde 2020 bei SolarWinds-Hack ausgenutzt<\/a>
\nMidnight Blizzard-Hack-Benachrichtigung: Microsoft schickt Kunden Mail die in SPAM-Ordnern landet<\/a><\/p>\n

Microsoft \u00fcbt sich in Schadensbegrenzung bei Kongress-Anh\u00f6rung (13.6.2024): Sicherheit habe Vorrang vor KI<\/a>
\nMicrosoft Ank\u00fcndigung einer Secure Future Initiative<\/a><\/p>\n

Microsoft durch russische Midnight Blizzard gehackt; E-Mails seit Nov. 2023 ausspioniert<\/a>
\nWie Midnight Blizzard-Hacker in Microsofts E-Mail-System eindringen konnten<\/a>
\nMicrosoft best\u00e4tigt: Russische Spione (Midnight Blizzard) haben Quellcode beim Zugriff auf Systeme gestohlen<\/a>
\nMicrosoft: Neues vom Midnight Blizzard-Hack \u2013 auch Kunden m\u00f6glicherweise betroffen<\/a>
\nMidnight Blizzard-Hack bei Microsoft: US-Beh\u00f6rden und Gro\u00dfkunden suchen Alternativen<\/a><\/p>\n","protected":false},"excerpt":{"rendered":"

[English]Die Sicherheitsexperten von Microsoft haben diverse Einbruchsaktivit\u00e4ten beobachtet, die auf den Diebstahl von Zugangsdaten mehrerer Microsoft-Kunden abzielen. Diese Angriffe durch mutma\u00dflich staatliche Akteure (China-Russland) waren wohl erfolgreich und wurden durch Passwort-Spray-Angriffe oder \u00fcber RDP erm\u00f6glicht.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-305773","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305773","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=305773"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/305773\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=305773"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=305773"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=305773"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}