Hacker zielen mit immer raffinierteren Methoden auf Unternehmen und ihre Cloud-Zugänge ab.
Sicherheitsforscher haben in den vergangenen Monaten mehrere hochentwickelte Angriffswellen auf Microsoft-365-Konten identifiziert. Die Bandbreite reicht von automatisierten Passwort-Spray-Attacken bis hin zu gezieltem Social Engineering über Microsoft Teams. Besonders besorgniserregend: Die Angreifer nutzen gezielt Schwachstellen in veralteten Authentifizierungsprotokollen und missbrauchen legitime Verwaltungswerkzeuge.
Gefährliche Lücke im Geräte-Code-Verfahren
Eine neue Kampagne, die zwischen Ende Juni und Anfang Juli 2026 beobachtet wurde, steht im Zusammenhang mit DEBULL – einer mutmaßlichen „Phishing-as-a-Service“-Plattform. Die Angreifer nutzen den sogenannten Microsoft-Geräte-Code-Flow, um unbefugten Zugriff auf M365-Konten zu erlangen.
Der Angriff funktioniert so: Nutzer erhalten eine Nachricht mit einem vermeintlichen Kollaborationsangebot, die auf eine legitime Microsoft-Anmeldeseite führt. Im Hintergrund generiert ein Broker Geräte-Code-Tokens. Gibt das Opfer den vom Angreifer bereitgestellten Code auf der echten Microsoft-Seite ein, erhält der Hacker einen Zugangstoken – und umgeht damit sämtliche Sicherheitsmaßnahmen.
Die DEBULL-Werkzeuge nutzen GraphSpy für Aktivitäten nach der Kompromittierung. Forscher sehen zudem Überschneidungen mit der Bedrohungsgruppe Storm-2372, die bereits im Februar 2025 aktiv war.
Bereits von April bis Mitte Mai 2026 gab es eine ähnliche Kampagne, die Organisationen in der Schweiz und Brasilien ins Visier nahm. Damals lockten Angreifer ihre Opfer mit passwortgeschützten PDF-Anhängen über ein gefälschtes Rechtsportal zur legitimen Microsoft-Anmeldeseite.
81 Millionen Anmeldeversuche: Die größte Passwort-Spray-Attacke
Parallel dazu entdeckten Sicherheitsforscher von Huntress eine massive Passwort-Spray-Kampagne gegen Azure CLI-Anmeldungen. Zwischen dem 12. und 26. Juni 2026 generierten die Angreifer mehr als 81 Millionen Anmeldeversuche.
Rekord-Schäden durch Phishing: Warum immer mehr Unternehmen jetzt auf Awareness-Kampagnen setzen. Experten erklären im kostenlosen Anti-Phishing-Paket, wie Ihr Unternehmen sich wirksam schützen kann. Experten-Leitfaden zur Phishing-Abwehr gratis herunterladen
Die Attacke war erfolgreich: 78 Konten in 64 verschiedenen Organisationen wurden kompromittiert. Die Angreifer nutzten den Resource-Owner-Password-Credentials-Flow (ROPC), der es ihnen erlaubte, die Multi-Faktor-Authentifizierung (MFA) zu umgehen – vorausgesetzt, die Conditional-Access-Richtlinien deckten Azure CLI nicht explizit ab.
Die schädlichen Aktivitäten, die am 2. Juli endeten, wurden auf einen IPv6-Bereich zurückgeführt, der mit dem Unternehmen LSHIY LLC verbunden ist. Experten empfehlen Unternehmen dringend, MFA für alle Anwendungen zu erzwingen und den Azure-CLI-Zugriff strikt auf Administratoren zu beschränken.
Teams als Einfallstor: Der IT-Support-Trick
Eine weitere aktive Kampagne setzt auf Social Engineering über Microsoft Teams. Die Angreifer geben sich als IT-Support-Mitarbeiter aus. Der Angriff beginnt mit einer Phishing-E-Mail, die eine „Mitarbeiterumfrage“ als Köder enthält.
Dann wird es perfide: Das Opfer erhält einen Sprachanruf über Teams von einem externen Konto. Während des Gesprächs nutzt der Angreifer die Bildschirmfreigabe, um das Opfer zur Installation von Fernwartungssoftware wie AnyDesk oder HopToDesk zu bewegen. Sobald die Kontrolle übernommen ist, wird EtherRAT installiert – ein Node.js-basierter Trojaner für den Fernzugriff.
Das Besondere an dieser Schadsoftware: Sie nutzt Ethereum-Smart-Contracts für ihre Kommando- und Kontrollinfrastruktur. Mehrere Versionen des Installers wurden identifiziert – ein Zeichen dafür, dass die Kampagne aktiv weiterentwickelt wird.
Phishing-Plattform Kratos: Europa im Visier
Auch automatisierte Phishing-Plattformen bleiben eine Bedrohung. Aktuelle Daten von ANY.RUN zeigen, dass die Kratos-PhaaS-Plattform in ganz Europa aktiv ist. Allein in der vergangenen Woche wurden über 100 Sitzungen registriert.
Immer mehr Unternehmen werden Opfer von Cyberangriffen – diese Checkliste hilft Ihnen, es zu verhindern. Experten erklären im kostenlosen E-Book, wie Sie sich proaktiv absichern, bevor es zu spät ist. Kostenloses E-Book zur Cyber-Security anfordern
Die Kampagne nutzt aktualisierte Phishing-Abläufe, die Opfer nach dem Abgreifen ihrer Anmeldedaten auf die legitime office.com-Domain weiterleiten. Besonders betroffen: die Fertigungsindustrie, der Technologiesektor und Managed Security Service Provider (MSSP).
Die unterschätzte Gefahr: Überschüssige Berechtigungen
Neben externen Angriffen lauern Risiken auch innerhalb der Unternehmen. Branchenberichte aus dem Jahr 2025 zeigten, dass rund 16 Prozent aller geschäftskritischen Daten aufgrund zu großzügiger Berechtigungseinstellungen übermäßig geteilt werden.
Microsoft hat zwar technische Schwachstellen wie EchoLeak – eine Zero-Click-Prompt-Injection-Lücke – geschlossen. Doch Sicherheitsexperten warnen: Microsoft 365 Copilot kann sensible Informationen preisgeben, wenn die zugrunde liegenden SharePoint- und OneDrive-Berechtigungen nicht korrekt eingeschränkt sind.
Administratoren wird empfohlen, Werkzeuge wie SharePoint Advanced Management (SAM) und Purview zu nutzen, um übermäßig freigegebene Inhalte zu identifizieren und zu bereinigen – bevor KI-gesteuerte Such- und Synthesewerkzeuge zum Einsatz kommen.

