Russische Bedrohungsakteure nutzen Microsoft-Gerätecode-Authentifizierung für groß angelegte Angriffe
Volexity hat mehrere russische Bedrohungsakteure entdeckt, die ausgeklügelte Social-Engineering- und Spear-Phishing-Kampagnen einsetzen, um Microsoft 365-Konten über Phishing mit Gerätecode-Authentifizierung zu kompromittieren. Diese Angriffe nutzen den weniger bekannten Arbeitsablauf der Gerätecode-Authentifizierung, wodurch es für Benutzer schwierig wird, sie als Phishing-Versuche zu erkennen. Die Kampagnen, oft mit politischen Themen (z. B. Fokus auf die US-amerikanische Regierung), geben sich als Personen von Organisationen wie dem US-Außenministerium und dem ukrainischen Verteidigungsministerium aus und locken Opfer in gefälschte Microsoft Teams-Meetings oder Anwendungszugriffe. Volexity verfolgt drei Bedrohungsakteure, von denen einer möglicherweise mit CozyLarch (Überschneidung mit DarkHalo, APT29) in Verbindung steht. Die Effektivität dieses Angriffs beruht auf der Ausnutzung der Unkenntnis der Benutzer über die Gerätecode-Authentifizierung und umgeht herkömmliche Sicherheitsmaßnahmen. Volexity empfiehlt Organisationen, die Gerätecode-Authentifizierung über bedingte Zugriffsrichtlinien zu blockieren und das Sicherheitsbewusstsein der Benutzer zu verbessern.
Mehr lesen