Russische staatliche Hacker nutzen Gerätecode-Phishing in globaler Cyber-Spionage-Kampagne

Eine gefährliche Welle von Cyberangriffen, die mit vom russischen Staat gesponserten Hackern in Verbindung gebracht werden, erfasst wichtige Branchen und gefährdet Regierungsbehörden, Rüstungsunternehmen, Telekommunikationsunternehmen und andere wichtige Organisationen. Microsoft hat einen hochentwickelten Bedrohungsakteur mit der Bezeichnung Storm-2372 identifiziert, der Gerätecode-Phishing nutzt, um Konten zu infiltrieren und vertrauliche Daten abzugreifen.

Diese Kampagne, die seit mindestens August 2024 aktiv ist, hat Organisationen in Nordamerika, Europa, dem Nahen Osten und Afrika betroffen. Da diese Angriffsmethode herkömmliche Authentifizierungsmechanismen umgehen kann, stellt sie ein erhebliches Risiko für kritische Infrastrukturen und die nationale Sicherheit dar.

So funktioniert Gerätecode-Phishing

Die Gerätecode-Authentifizierung ist ein legitimer Prozess, der zum Anmelden bei Konten von Geräten verwendet wird, die nicht über interaktive Anmeldefunktionen verfügen, wie z. B. Smart-TVs oder IoT-Geräte. Angreifer nutzen diese Funktion aus, indem sie Opfer dazu verleiten, einen generierten Gerätecode auf einer legitimen Anmeldeseite einzugeben. Sobald das Ziel den Code übermittelt, ruft der Hacker ein Zugriffstoken ab, das ihm unbefugten Zugriff auf die E-Mails, den Cloud-Speicher und andere sensible Systeme des Opfers gewährt.

Im Gegensatz zum herkömmlichen Phishing erfordert Gerätecode-Phishing keine Passwörter. Stattdessen werden Authentifizierungsabläufe missbraucht, um dauerhaften Zugriff zu erhalten, solange die Sitzungstoken gültig bleiben. Auf diese Weise können sich Angreifer seitlich innerhalb eines kompromittierten Netzwerks bewegen, ihre Berechtigungen erweitern und sich weiter innerhalb einer Organisation ausbreiten.

Die Taktik von Storm-2372

Die Untersuchung von Microsoft zeigt, dass Storm-2372 gezielt Phishing-E-Mails verwendet, die oft als Einladungen zu Microsoft Teams-Meetings getarnt sind, um Opfer dazu zu verleiten, Zugriff zu gewähren. Die Gruppe wendet Social-Engineering-Taktiken über WhatsApp, Signal und Microsoft Teams an und gibt sich als einflussreiche Personen aus, die für ihre Ziele relevant sind. Sobald eine Beziehung hergestellt ist, senden die Angreifer bösartige Meeting-Einladungen mit betrügerischen Authentifizierungsanforderungen.

Nach erfolgreicher Kompromittierung eines Kontos missbraucht Storm-2372 die Microsoft Graph API, um Posteingänge nach sensiblen Schlüsselwörtern wie „Benutzername“, „Passwort“, „Administrator“, „Anmeldeinformationen“, „gov“ und „geheim“ zu durchsuchen. Außerdem exfiltriert er E-Mails und nutzt kompromittierte Konten, um weitere interne Phishing-Angriffe innerhalb der Organisation zu starten.

Seit dem 13. Februar 2025 haben die Hacker ihre Taktik weiterentwickelt und nutzen die Client-ID des Microsoft Authentication Broker, um Aktualisierungstoken zu erhalten. Mit diesen Token können sie ihre eigenen Geräte bei Entra ID registrieren und so effektiv eine dauerhafte Hintertür in kompromittierte Netzwerke einbauen. Um einer Entdeckung zu entgehen, wurde auch beobachtet, dass Storm-2372 regionsspezifische Proxyserver nutzt, um seinen Zugriff zu verschleiern.

Verbindungen zu anderen russischen Hackergruppen

Das Cybersicherheitsunternehmen Volexity berichtet, dass Gerätecode-Phishing eingesetzt wurde, um hochrangige Einrichtungen anzugreifen, darunter das US-Außenministerium, das ukrainische Verteidigungsministerium und das Parlament der Europäischen Union. Neben Storm-2372 wurden drei weitere mit Russland verbundene Hackergruppen – APT29 (Cozy Bear), UTA0304 und UTA0307 – bei der Verwendung ähnlicher Techniken beobachtet.

Obwohl diese Akteure getrennt voneinander verfolgt werden, vermutet Volexity, dass sie möglicherweise Teil einer einzigen koordinierten Kampagne sind, deren Zweck darin besteht, Informationen von westlichen Regierungen und strategischen Institutionen zu sammeln.

Abwehrstrategien: Schutz vor Gerätecode-Phishing

Unternehmen müssen proaktive Sicherheitsmaßnahmen ergreifen, um sich gegen diese neue Bedrohung zu schützen. So geht's:

1. Deaktivieren Sie die Gerätecode-Authentifizierung (falls nicht erforderlich)

Wenn Ihre Organisation nicht auf die Gerätecode-Authentifizierung angewiesen ist, können Sie den Angriffsvektor vollständig eliminieren, indem Sie diese deaktivieren.

2. Aktivieren Sie die Multi-Faktor-Authentifizierung (MFA)

Während beim Gerätecode-Phishing Passwörter umgangen werden, kann die Aktivierung starker MFA-Methoden (wie etwa Hardware-Sicherheitsschlüssel) dazu beitragen, unbefugten Zugriff zu verhindern.

3. Achten Sie auf ungewöhnliche Authentifizierungsanfragen

Sicherheitsteams sollten auf verdächtige Anmeldeversuche achten, insbesondere von unbekannten Standorten oder Geräten, die über Entra ID registriert sind.

4. Mitarbeiter über Social Engineering aufklären

Da Angreifer soziale Plattformen wie WhatsApp und Signal nutzen, um Vertrauen aufzubauen, müssen Unternehmen ihre Mitarbeiter darin schulen, Identitätsbetrugstaktiken zu erkennen und unerwartete Besprechungsanfragen zu überprüfen.

5. Implementieren Sie Richtlinien für bedingten Zugriff

Beschränken Sie den Zugriff basierend auf Gerätevertrauen, geografischem Standort und Verhaltensanalysen, um verdächtige Anmeldungen zu blockieren, bevor sie erfolgreich sind.

Bis Zane
February 18, 2025
Computer Security
Deutsch
February 18, 2025
Computer Security

Beliebte Beiträge

Was ist die Datei OperaGXSetup.exe und ist sie bösartig?

vor 11 months

Eporner.com und warum die übermäßigen Pop-ups riskant sind

vor 12 days

Beachten Sie: Jemand hat Sie als Betrugsversuch für die...

vor 10 months

HackTool:Win32/Crack: eine bösartige Bedrohung, die Ihr System...

vor 7 months

Eine potenziell ernste Bedrohung: Trojan:Win32/Suschil!rfn

vor 19 days

Was ist die Bedrohung durch den Packunwan-Trojaner und wie...

vor 11 months
Deutsch
Lade...

Cyclonis Password Manager Details & Terms

KOSTENLOSE Testversion: 30-tägiges einmaliges Angebot! Für die kostenlose Testversion ist keine Kreditkarte erforderlich. Volle Funktionalität für die Dauer der kostenlosen Testversion. (Die volle Funktionalität nach der kostenlosen Testversion erfordert den Kauf eines Abonnements.) Um mehr über unsere Richtlinien und Preise zu erfahren, sehen Sie EULA, Datenschutzrichtlinie, Rabattbedingungen und Kaufseite. Wenn Sie die App deinstallieren möchten, besuchen Sie bitte die Seite mit den Deinstallationsanweisungen.

Home

Produkte

Cyclonis Password Manager Cyclonis World Time

Unterstützung

Hilfe FAQs Downloads Anfragen & Support

Unternehmen

Über uns Kontaktiere uns Report Abuse

Legal (Post Merger)

EnigmaSoft Limited (fka Cyclonis Limited)

Cyclonis Password Manager's EULA Cyclonis World Time's Terms of Service Datenschutz-Bestimmungen Cookie-Richtlinie Special Discount Offer Terms Additional Terms & Conditions SpyHunter EULA RegHunter EULA EnigmaSoft Privacy Policy & Cookie Policy ESG Privacy Policy & Cookie Policy EnigmaSoft Discount Offer Terms ESG Discount Offer Terms

© 2017-2025 Cyclonis Ltd. CYCLONIS is a trademark of EnigmaSoft Limited (Cyclonis was merged into EnigmaSoft Limited effective November 25, 2023.) All rights reserved.

Registered Office EnigmaSoft Limited: 1 Castle Street, 3rd Floor, Dublin 2 D02 XD82, Ireland.
EnigmaSoft Limited, Private Company Limited by shares, Company Registration Number 597114.

Windows ist eine Marke von Microsoft, die in den USA und anderen Ländern eingetragen ist.
Mac, iPhone, iPad und App Store sind Marken von Apple Inc., eingetragen in den USA und anderen Ländern.
iOS ist eine eingetragene Marke von Cisco Systems, Inc. und/oder seinen verbundenen Unternehmen in den USA und bestimmten anderen Ländern.
Android und Google Play sind Marken von Google LLC.