Cyberkampagnen: 81 Millionen Login-Versuche auf Azure CLI

Sicherheitsforscher enthüllen mehrere Angriffswellen auf Microsoft-Dienste, darunter Teams-Phishing und massive Login-Attacken auf Azure CLI.

Sicherheitsforscher haben mehrere hochentwickelte Cyberkampagnen aufgedeckt, die gezielt Microsoft-Infrastrukturen angreifen. Die Angreifer nutzen dabei Microsoft Teams zur Verbreitung von Schadsoftware und umgehen etablierte Zwei-Faktor-Authentifizierungen.

EtherRAT: Trojaner per Teams-Anruf

Forscher von Unit 42 veröffentlichten heute einen detaillierten Bericht über eine neue Angriffswelle, die Microsoft Teams als Einfallstor nutzt. Die Hacker verteilen dabei EtherRAT – einen plattformunabhängigen Trojaner für den Fernzugriff.

Der Angriff beginnt mit einer Phishing-Mail, die als „Mitarbeiterbefragung“ getarnt ist. Kurz darauf erhalten die Opfer einen Anruf über Microsoft Teams – angeblich vom IT-Support. Die Angreifer verwenden dabei die Adresse helpdesk@Progressive936.onmicrosoft.com.

Während des Gesprächs versuchen die Hacker, die Bildschirmkontrolle zu übernehmen. Gelingt dies, installieren sie legitime Fernwartungstools wie HopToDesk oder AnyDesk, um dauerhaften Zugriff zu behalten. Anschließend laden sie einen manipulierten Installer von camorreado.click herunter, der EtherRAT entschlüsselt und ausführt. Besonders raffiniert: Der Trojaner nutzt Ethereum-Smart-Contracts für seine Kommando- und Steuerungsinfrastruktur.

Microsoft hat als Reaktion neue Schutzmechanismen in Teams eingeführt – darunter Warnungen bei externen Anrufern und eine Warteschlangenregelung für verdächtige Bots.

81 Millionen Login-Versuche: Großangriff auf Azure CLI

Noch alarmierender ist eine zweite Kampagne, die Sicherheitsforscher von Huntress im Juni entdeckten. Zwischen dem 12. und 26. Juni starteten Angreifer eine massive Password-Spray-Attacke auf die Azure-Befehlszeilenschnittstelle. Mehr als 81 Millionen Anmeldeversuche registrierten die Experten – 78 Konten in 64 verschiedenen Organisationen wurden geknackt.

Die Untersuchung offenbarte ein grundlegendes Problem: Viele betroffene Unternehmen hatten die Zwei-Faktor-Authentifizierung nicht vollständig durchgesetzt. In mehreren Fällen schützte MFA keine Anmeldungen über die Azure CLI – oder Nutzer hatten Ausnahmen für „vertrauenswürdige Standorte“ erhalten, die die Angreifer ausnutzten.

Anzeige

Wer die 81 Millionen Login-Versuche auf Azure CLI richtig einordnen will, findet in diesem kostenlosen Report die wichtigsten Sicherheits-Hebel – von MFA-Erzwingung bis Conditional-Access-Audit. Jetzt kostenlosen Sicherheits-Report anfordern

Die Angriffe kamen von einem IPv6-Bereich, der mit der Firma LSHIY LLC in Verbindung steht. Zwar scheint die Kampagne seit dem 2. Juli beendet, doch Sicherheitsexperten raten dringend: Unternehmen sollten ihre Conditional-Access-Richtlinien überprüfen und MFA für alle Cloud-Anwendungen verpflichtend machen – unabhängig vom Standort der Nutzer.

Phishing mit Passwort-geschützten PDFs

Eine dritte Angriffswelle deckte Kaspersky auf. Zwischen April und Mitte Mai 2025 missbrauchten Hacker den OAuth 2.0 Device Authorization Grant von Microsoft – auch als Device Code Flow bekannt.

Die Masche: Die Angreifer verschickten passwortgeschützte PDFs, die oft von Anwaltskanzleien zu stammen schienen. Die Dokumente enthielten Links zu legitimen Microsoft-URLs. Opfer mussten einen Code auf der offiziellen Microsoft-Anmeldeseite eingeben und ihre MFA abschließen. Was sie nicht wussten: Sie autorisierten damit unbemerkt eine Anwendung der Angreifer.

Die Hacker erbeuteten Zugriffs-, Aktualisierungs- und Identitätstoken – und damit ungehinderten Zugang zu E-Mails, OneDrive und Teams. Ähnliche Techniken nutzten bereits andere Werkzeuge wie das Kali365-Kit und die Plattform EvilTokens. Letztere war bis März 2026 für Kompromittierungen in über 340 Microsoft-365-Organisationen verantwortlich.

Bedrohungslage bleibt angespannt

Die Angriffswelle beschränkt sich nicht auf Microsoft-Dienste. Die Kratos-PhaaS-Kampagne ist aktuell in ganz Europa aktiv – allein in der vergangenen Woche verzeichneten Forscher über 100 Analyse-Sitzungen. Betroffen sind vor allem Unternehmen aus der Fertigungs-, Technologie- und Managed-Security-Branche.

Anzeige

Teams-Phishing mit EtherRAT und OAuth-Device-Code-Missbrauch: Unternehmen, die ihre Conditional-Access-Richtlinien nicht umgehend prüfen, riskieren den Zugriff auf E-Mails und OneDrive. Dieser Leitfaden liefert konkrete Prüfschritte und eine 5-Punkte-Sofortmaßnahmen-Liste. Conditional-Access-Audit jetzt sichern

Hinzu kommen kritische Sicherheitslücken in anderer Unternehmenssoftware: Die Schwachstelle CVE-2026-48282 in ColdFusion erhielt die höchste CVSS-Bewertung von 10 – und wurde innerhalb von 48 Stunden nach Veröffentlichung eines Patches ausgenutzt. Parallel durchsuchen Angreifer Systeme nach der Lücke CVE-2026-20896 in Gitea-Docker-Umgebungen.

Die aktuellen Entwicklungen zeigen: Die Bedrohungslage für Unternehmen hat sich deutlich verschärft. Wer seine Cloud-Dienste nicht umfassend absichert, riskiert den Zugriff auf sensible Daten.