Microsoft: Hacker nutzen „Gerätecode-Phishing“ (Device Code Phishing) um Konten zu kapern
Microsoft hat eine neue Bedrohungsgruppe namens Storm-2372 identifiziert, die seit August 2024 verschiedene Sektoren wie Regierung, NGOs, IT-Dienstleistungen, Verteidigung, Telekommunikation, Gesundheit, Hochschulbildung sowie Energie- und Öl-/Gassektoren in Europa, Nordamerika, Afrika und dem Nahen Osten angreift.
Die Gruppe, die vermutlich russischen Interessen nahesteht, nutzt eine Phishing-Methode namens „Device Code Phishing“. Dabei geben sich die Angreifer in Messaging-Apps wie WhatsApp, Signal und Microsoft Teams als prominente Persönlichkeiten aus, um Vertrauen zu gewinnen.
Sie senden Phishing-E-Mails, die als Microsoft Teams-Einladungen getarnt sind, und fordern die Empfänger auf, sich über einen von den Angreifern generierten Gerätecode anzumelden. Dadurch erhalten die Hacker Zugriff auf Authentifizierungstoken, die ihnen ermöglichen, auf die kompromittierten Konten zuzugreifen und sensible Daten zu stehlen.
Microsoft empfiehlt, den Gerätecodefluss zu blockieren, phishing-resistente Multi-Faktor-Authentifizierung zu implementieren und das Prinzip der minimalen Rechtevergabe anzuwenden, um solche Angriffe zu verhindern. Quelle: The Hacker News
Neue Taktik, um Opfer dazu zu bringen, schädliche PowerShell-Befehle mit Administratorrechten auszuführen
Nordkoreanische Hacker der Gruppe Kimsuky nutzen eine neue Taktik, um Opfer dazu zu bringen, schädliche PowerShell-Befehle mit Administratorrechten auszuführen. Dabei geben sie sich als Regierungsbeamte aus und bauen über Messaging-Apps Vertrauen zu ihren Zielen auf.
Nach einiger Zeit senden sie Spear-Phishing-E-Mails mit PDF-Anhängen, die angeblich offizielle Anweisungen enthalten. Diese leiten die Opfer auf gefälschte Registrierungsseiten, die sie auffordern, PowerShell als Administrator zu öffnen und bereitgestellten Code einzugeben.
Dieser Code installiert eine browserbasierte Remote-Desktop-Software, lädt ein Zertifikat mit einer vordefinierten PIN herunter und registriert das Gerät des Opfers auf einem entfernten Server, wodurch die Angreifer vollen Zugriff erhalten.
Microsoft hat diese Angriffe seit Januar 2025 beobachtet und empfiehlt, Benutzer für solche Social-Engineering-Methoden zu sensibilisieren und den Einsatz von PowerShell einzuschränken, um das Risiko zu minimieren. Quelle: bleepingcomputer.com
Die Lazarus Gruppe zielt mit neuer Malware-Taktik weltweit auf Entwickler ab
Die nordkoreanische Hackergruppe Lazarus hat eine weltweite Kampagne gestartet, die sich gezielt gegen Softwareentwickler und Kryptowährungsnutzer richtet. Unter dem Namen „Operation Marstech Mayhem“ nutzen die Angreifer eine neue Schadsoftware namens „Marstech1“, um die Software-Lieferkette zu infiltrieren und sensible Daten zu stehlen.
Sie platzieren dabei bösartigen JavaScript-Code in GitHub-Repositories und npm-Paketen, die vertrauenswürdig erscheinen sollen. Sobald Entwickler diese Repositories klonen und den Code ausführen, verbindet sich die Malware mit den Command-and-Control-Servern der Angreifer, um weitere schädliche Payloads herunterzuladen und Daten zu exfiltrieren.
Besonders im Visier stehen Kryptowährungs-Wallets wie MetaMask, Exodus und Atomic. Die Malware durchsucht Systeme nach diesen Wallets und manipuliert Browser-Konfigurationen, um Transaktionen abzufangen. Die Schadsoftware zeichnet sich durch fortschrittliche Verschleierungstechniken aus, die eine Erkennung erschweren.
Seit Ende 2024 wurden über 230 Opfer in den USA, Europa und Asien identifiziert.
Diese Kampagne unterstreicht die Notwendigkeit für Entwickler, die Quellen von Code sorgfältig zu überprüfen, Netzwerkverkehr auf Anomalien zu überwachen und Endpunktschutzlösungen einzusetzen, die in der Lage sind, verschleierte Skripte zu erkennen. |
