Microsoft’s Cybersecurity-Experten haben eine ausgeklügelte Phishing-Kampagne aufgedeckt, die von der Hackergruppe Storm-2372 durchgeführt wird. Die Angreifer nutzen dabei eine innovative Methode, die auf dem Missbrauch von Device-Code-Authentifizierung basiert, um sich Zugang zu Microsoft 365-Unternehmenskonten zu verschaffen.
Zielgerichtete Angriffe auf kritische Infrastruktur
Die Kampagne richtet sich gezielt gegen Organisationen der kritischen Infrastruktur in Europa, Nordamerika, Afrika und dem Nahen Osten. Besonders betroffen sind Regierungseinrichtungen, Verteidigungsunternehmen und Energieversorger. Die Angreifer missbrauchen dabei einen Authentifizierungsmechanismus, der ursprünglich für Geräte ohne Browser oder Tastatur, wie Smart TVs und IoT-Devices, entwickelt wurde.
Social Engineering als Einstiegspunkt
Die Angreifer initiieren den Kontakt über populäre Messaging-Plattformen wie WhatsApp, Signal oder Microsoft Teams. Sie geben sich als wichtige Geschäftspartner aus und senden gefälschte Einladungen zu Online-Meetings, die einen speziell präparierten Device-Autorisierungscode enthalten.
Technische Details der Kompromittierung
Sobald das Opfer den Code verwendet, erlangen die Angreifer Zugriff auf Authentication-Tokens (Access und Refresh). Diese Tokens ermöglichen den Zugriff auf Microsoft-Dienste ohne Passworteingabe. Besonders kritisch ist die Verwendung von Microsoft Authentication Broker-IDs, die es den Angreifern ermöglichen, neue Tokens zu generieren und sich über Entra ID dauerhaft im System zu etablieren.
Präventive Sicherheitsmaßnahmen
Zur Absicherung gegen diese Angriffe empfehlen Sicherheitsexperten folgende Maßnahmen:
– Deaktivierung der Device-Code-Authentifizierung wo möglich
– Implementation von Conditional Access-Richtlinien
– Strikte Durchsetzung von Multi-Faktor-Authentifizierung
– Beschränkung des Zugriffs auf vertrauenswürdige Geräte und Netzwerke
Die Sicherheitsfirma Volexity bestätigt die Verbindung dieser Angriffe zur APT29-Gruppe (auch bekannt als Cozy Bear und Midnight Blizzard). Organisationen sollten ihre Sicherheitsmaßnahmen umgehend überprüfen und anpassen, da die Angreifer nur ein 15-minütiges Zeitfenster für die Ausnutzung der Device-Codes haben. Dies erfordert eine präzise Koordination der Angriffe und unterstreicht die Notwendigkeit proaktiver Sicherheitsmaßnahmen sowie regelmäßiger Mitarbeiterschulungen im Bereich der Informationssicherheit.
