{"id":310893,"date":"2025-04-24T13:17:40","date_gmt":"2025-04-24T11:17:40","guid":{"rendered":"https:\/\/www.borncity.com\/blog\/?p=310893"},"modified":"2025-04-24T14:14:59","modified_gmt":"2025-04-24T12:14:59","slug":"angriffswelle-im-april-2025-auf-ngos-ueber-office-365-accounts-und-sharepoint-links","status":"publish","type":"post","link":"https:\/\/borncity.com\/blog\/2025\/04\/24\/angriffswelle-im-april-2025-auf-ngos-ueber-office-365-accounts-und-sharepoint-links\/","title":{"rendered":"Angriffswelle im April 2025 auf NGOs \u00fcber Office 365 Accounts und SharePoint-Links?"},"content":{"rendered":"

Frage an die Administratoren von Microsoft Tenants mit Office 365-Konten: Beobachtet ihr verst\u00e4rkt Angriffe auf diese Konten. Mir liegt eine Lesermeldung vor, die nahelegt, dass NGOs verst\u00e4rkt im Fokus solcher Angriff sein k\u00f6nnten.<\/p>\n

<\/p>\n

\"\"Ich stelle das Thema mal hier im Blog ein, auf das mich ein Leser zum 17. April 2025 hingewiesen hat. Er schrieb in einer E-Mail, dass sie gerade eine m\u00f6gliche Angriffswelle auf Non Government Organizations (NGOs) beobachten.<\/p>\n

Der Leser merkte an, dass es einige NGOs offensichtlich schon erwischt habe, denn mehrere seiner Kunden h\u00e4tten zum genannten Datum SharePoint-Links erhalten. Diese SharePoint-Links stammen von legitimen, aber offensichtlich \u00fcbernommenen Microsoft Office 365-Konten. Der Leser konnte in seinem IT-Umfeld mindestens zwei NGOs ausmachen, die Betroffenen in etwa gleichen Dateien geschickt haben.<\/p>\n

Der Leser fragte, ob ich da was konkretes geh\u00f6rt habe, was ich verneinen musste. Auf Nachfrage meldete der Blog-Leser zum 18. April, dass er zwei NGOs als\u00a0angegriffen identifiziert habe. Alles s\u00e4he nach simplen \u00dcbernahmen von Office 365-Accounts aus.<\/p>\n

Interessant war f\u00fcr den Leser, dass es in beiden F\u00e4llen um konkrete Partner von seinen Kunden ging. Die \u00fcbernommen E-Mail-Konten wurden dann direkt benutzt, um auch\u00a0 Office 365-Accounts der eigenen Kunden zu \u00fcbernehmen.<\/p>\n

Die b\u00f6sartige E-Mail kam von Microsoft und beinhalte einen SharePoint-Link, der legitim aussah und zu sein scheint (zumindest ein Link zeige wirklich auf SharePoint – bei dem anderen Link liegt dem Leser nur ein Screenshot der betreffenden Mail vor).<\/p>\n

Die sch\u00e4dliche E-Mail hat zumindest, was das Wording im Text der Datei angeht, grob auf die Aufgaben des Empf\u00e4ngers gepasst. Es hie\u00df \"Vorschlag zur Genehmigung\". Der Leser meint, dass sie schon l\u00e4nger erwarten, dass NGOs gezielter in den Blick von Cyberangriffen r\u00fccken, da hier oft der Stress immens hoch sei. Andererseits seien diese Ziele hochgradig interessant, da NGOs mit immens vielen Ministerien und anderen staatlichen Stellen Kontakt haben.<\/p>\n

Fundstelle zu SharePoint passt nicht<\/h2>\n

Ich habe mal kurz gesucht – die Kollegen von Bleeping Computer haben zum 27. M\u00e4rz 2025 den Beitrag\u00a0Hijacked Microsoft web domain injects spam into SharePoint servers<\/a> ver\u00f6ffentlicht, der auch SharePoint thematisiert.<\/p>\n

Dort ging es aber um eine Die Legacy Domain f\u00fcr Microsoft Stream, die von Dritten gekapert wurde. Microsoft Stream ist ein Video-Streaming-Dienst f\u00fcr Unternehmen, der es Organisationen erm\u00f6glicht, Videos in Microsoft 365-Anwendungen wie Teams und SharePoint hochzuladen und zu teilen.<\/p>\n

In obigem Fall wurde die gekaperte Domain genutzt, um eine gef\u00e4lschte Amazon-Website anzuzeigen, die f\u00fcr ein thail\u00e4ndisches Kasino wirbt. Dies f\u00fchrte dazu, dass alle SharePoint-Websites mit alten eingebetteten Videos die Seite als Spam anzeigten. Der Fall passt also nicht so ganz.<\/p>\n","protected":false},"excerpt":{"rendered":"

Frage an die Administratoren von Microsoft Tenants mit Office 365-Konten: Beobachtet ihr verst\u00e4rkt Angriffe auf diese Konten. Mir liegt eine Lesermeldung vor, die nahelegt, dass NGOs verst\u00e4rkt im Fokus solcher Angriff sein k\u00f6nnten.<\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[7263,153,426],"tags":[1171,823,4328],"class_list":["post-310893","post","type-post","status-publish","format-standard","hentry","category-cloud","category-microsoft-office","category-sicherheit","tag-cloud","tag-office-365","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/310893","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=310893"}],"version-history":[{"count":0,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/310893\/revisions"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=310893"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=310893"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=310893"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}