Mobile-Menu

E-Mail-Bombing und Voice Phishing Cyberangreifer missbrauchen Microsoft Teams

Quelle: Pressemitteilung 3 min Lesedauer

Anbieter zum Thema

Sophos Technology GmbH
sysob IT-Distribution GmbH & Co. KG
SEPPmail - Deutschland GmbH
FTAPI Software GmbH

Sophos hat eine Bedrohungskampagne untersucht, bei der sich Cyberkriminelle als technische Support-Mitarbeiter ausgeben, um über Microsoft Teams Schadsoftware auf Unternehmenssysteme zu schleusen. So gehen die Akteure vor und so können Sie sich schützen.

Erst bombardieren sie Mitarbeiter mit E-Mails, dann geben sie sich als Helfer aus: So gehen die Cyberkriminellen, die den russischen Hackergruppen Fin7 und Storm-1811 zugeordnet werden, vor.(Bild: psdesign1 - Fotolia.com)
Erst bombardieren sie Mitarbeiter mit E-Mails, dann geben sie sich als Helfer aus: So gehen die Cyberkriminellen, die den russischen Hackergruppen Fin7 und Storm-1811 zugeordnet werden, vor.
(Bild: psdesign1 - Fotolia.com)

Sophos X-Ops, das Threat-Response-Team des Herstellers, hat eine aktive Bedrohungskampagne näher untersucht. Dabei infiltrieren Cyberkriminelle Unternehmen, indem sie diese erst mit E-Mails bombardieren und sich schließlich als Support-Mitarbeiter ausgeben, um via Microsoft Teams Daten abzuziehen oder Ransomware zu platzieren. Die Analysten stellten in ihren Untersuchungen Verbindungen der Akteure zu den den russischen Bedrohungsgruppen Fin7 und Storm-1811 fest.

Kriminelle geben sich als Mitarbeiter aus

E-Mail-Bombing ist eine Cyberangriffsmethode, bei der eine große Anzahl von E-Mails in kurzer Zeit an ein Ziel gesendet wird. Das Ziel ist es, das Postfach des Empfängers zu überfluten, um diesen zu verwirren und das Sortieren von Nachrichten zu erschweren. Bei der von Sophos untersuchten Kampagne senden die Cyberkriminellen bis zu 3.000 Nachrichten in weniger als einer Stunde an ihre Opfer. Danach folgt eine bekannte Masche: Während sie die Postfächer der ausgewählten Mitarbeiter fluten, melden sie sich parallel als vermeintlich technische Support-Mitarbeiter des betroffenen Unternehmens mit Sprach- oder Videoanrufen über Microsoft Teams. Diese Taktik ist als Voice Phishing oder auch Vishing bekannt.

In solchen Situation sind überforderte – und möglicherweise schlecht geschulte – Mitarbeitende dankbar für Hilfe bei der Bewältigung des E-Mail-Problems. Erteilt der betroffene Mitarbeiter über Quick Assists oder die Bildschirmfreigabe den „Helfern“ die Kontrolle über ihren Computer, beginnen diese damit, manuelle Konfigurationen vorzunehmen. Um automatisiert Malware auf den Zielsystemen zu platzieren, nutzen die Cyberkriminellen Java-basierte Archive (JAR-Dateien) und die Java Runtime Environment. Diese JAR-Dateien extrahieren Python-basierte Backdoors aus ZIP-Archiven, die wiederum von externen Sharepoint-Links heruntergeladen werden. Um sich langfristig in den Systemen bewegen zu können, setzen die Akteure auf legitime Microsoft-Updater, die mit bösartigen Dynamic Link Libraries versehen sind. So können sie sich Anmeldeinformationen erbeuten und damit das Netzwerk ihrer Opfer erkunden.

„Obwohl die Ausnutzung von Fernverwaltungstools und der Missbrauch legitimer Dienste an sich nicht völlig neu sind, beobachten wir, dass immer mehr Bedrohungsgruppen diese Taktiken anwenden, um Unternehmen jeder Größe ins Visier zu nehmen“, sagt Sean Gallagher, Principal Threat Researcher bei Sophos. „Da die Standardkonfiguration von Microsoft Teams es jedem Besitzer eines Teams-Kontos ermöglicht, zu chatten oder Mitarbeiter eines Unternehmens anzurufen, sind viele Unternehmen potenziell anfällig für diese Bedrohung. Zudem nutzen viele Unternehmen externe Anbieter für ihren IT-Support, sodass ein Anruf von einer fremden Nummer mit der Bezeichnung „Helpdesk-Manager“ nicht unbedingt Alarmglocken schrillen lässt.“

Schutz vor Vishing

In erster Linie ist die Sensibilisierung der Mitarbeiter eine der wichtigsten Maßnahmen, die Unternehmen ergreifen können, um sich vor Angriffen wie Vishing zu schützen. Dazu gehört neben der kontinuierlichen Weiterbildung auch die Erstellung eines Reaktionsplans für des Fall eines Cyberangriffs. Doch auch bei Microsoft 365 und Teams können Unternehmen Anpassungen vornehmen sowie weitere Maßnahmen umsetzen, die vor Übergriffen schützen:

  • 1. Beschränken Sie, wer über Microsoft Teams Kontakt zu Mitarbeitern aufnehmen kann.
  • 2. Entfernen Sie ungenutzte Konten und beschränken Sie den Zugriff auf sensible Funktionen wie Quick Assist oder Bildschirmfreigabe.
  • 3. Setzen Sie die Multifaktor-Authentifizierung bei allen Nutzern, vor allem den Administratoren ein, um unbefugten Zugriff zu verhindern.
  • 4. Setzen Sie Spam-Filter und Anti-Phishing-Lösungen ein, um E-Mail-Bombing-Angriffe zu minimieren.
  • 5. Überwachen Sie ungewöhnlich hohe Volumen an eingehenden Nachrichten.
  • 6. Implementieren Sie Netzwerksegmentierung, um Angreifern den Zugriff auf kritische Systeme zu erschweren.
  • 7. Überwachen Sie regelmäßig die Zugriffsrechte und passen Sie diese gegebenenfalls an, wenn ein Mitarbeiter zu hohe Berechtigungen hat.
  • 8. Überwachen Sie Netzwerke auf verdächtige Aktivitäten wie unerwartete Datenübertragungen.
  • 9. Aktualisieren Sie regelmäßig Betriebssysteme, Software und Sicherheitsanwendungen, um bekannte Schwachstellen zu schließen.

(ID:50293443)

Jetzt Newsletter abonnieren

Täglich die wichtigsten Infos zur IT-Sicherheit

Mit Klick auf „Newsletter abonnieren“ erkläre ich mich mit der Verarbeitung und Nutzung meiner Daten gemäß Einwilligungserklärung (bitte aufklappen für Details) einverstanden und akzeptiere die Nutzungsbedingungen. Weitere Informationen finde ich in unserer Datenschutzerklärung. Die Einwilligungserklärung bezieht sich u. a. auf die Zusendung von redaktionellen Newslettern per E-Mail und auf den Datenabgleich zu Marketingzwecken mit ausgewählten Werbepartnern (z. B. LinkedIn, Google, Meta).

Aufklappen für Details zu Ihrer Einwilligung

Weiterführende Inhalte