Die Gruppe hinter dem Solarwinds-Hack ist zurück und hat Phishing-Mails an etliche Behörden, Firmen und NGOs verschickt. Davor warnt Microsoft seine Kunden in einem aktuellen Blogpost. In Redmond sieht man hinter dem wiederholten Angriff vor allem die Bestätigung eines schon länger anhaltenden Trends.
Mehrere Tausend E-Mail-Konten betroffen
Bei der aktuellen Attacke sind Medienberichten zufolge bisher bereits rund 3000 E-Mail-Konten in mehr als 150 verschiedenen Organisationen angegriffen worden – von Regierungsbehörden über Think Tanks bis hin zu Beratungsfirmen und NGOs. Die betroffenen Organisationen seien über 24 Länder verteilt, die Mehrzahl der Ziele liege bisher noch in den USA.
Laut Analysen verberge sich dahinter erneut die russische Gruppe Nobelium, auch bekannt als APT29 oder „Cozy Bear“. Sie war nach Experteneinschätzung bereits für den Solarwinds-Hack im vergangenen Herbst verantwortlich.
Vertrauenswürdiger Absender: Phishing-Mail vom Behördenaccount
Im aktuellen Fall kaperten die Angreifer zunächst einen Account der United States Agency for International Development (USAID) bei einem Marketing-Anbieter, über den dann die Phishing-Mails versendet wurden.
Ein in diesen Mails verschickter Link verwies auf eine Datei, über die die Hacker laut Microsoft sowohl Daten abgreifen als auch weitere Rechner infizieren konnten. Es werde zudem die seit längerem erkennbare Strategie von Nobelium deutlich, sich Zugang zu Technologieanbietern zu verschaffen, um anschließend deren Kunden zu infizieren (sogenannte Supply-Chain-Attacken). Weitere detaillierte technische Hintergründe zu den angewandten Methoden hat Microsoft in seinem Threat Intelligence Center veröffentlicht.
Umfassende Cybersecurity für den Kommunikationskanal E-Mail
Wieder einmal zeigt sich dabei: Für den Schutz von Enterprise-Postfächern, egal ob On-Premises oder in der Cloud, ist eine möglichst umfassende Email Security mit entsprechenden Phishing Filter-Funktionen heutzutage unerlässlich. Warum sich eine ergänzende Cloud-basierte Security-Lösung auch für Microsoft-365-Umgebungen in jedem Fall empfiehlt, lesen Sie in unserem kürzlich zu diesem Thema erschienen Blogpost.