Microsoft Exchange Server als Werkzeug von Phishing-Angreifern

23.09.2022 20:38 Uhr Lurker

Microsoft Exchange Server wird zur Phishing-E-Mail-Schleuder

Ein kürzlich bekannt gewordener Fall von Phishing-Angriffen zeigt wie Angreifer Microsoft Exchange Server missbrauchen können um ihre Opfer auszutricksen. In diesem konkreten Fall hat ein Hacker erfolgreich zahlreiche Exchange Server gekapert und von dort aus Phishing-E-Mails verschickt. Ziel des Angreifers war es; Kreditkartendaten seiner Opfer zu erbeuten.

Wie das Microsoft 365 Defender Research Team berichtet, nutzte der Angreifer Credential-Stuffing-Angriffe um über bösartige OAuth-Anwendungen Zugang zu Exchange Servern zu erlangen. Dabei hatte er es primär auf Administratorkonten abgesehen die nicht durch eine Multi-Faktor-Authentifizierung geschützt waren. Mit diesem Zugang konnte er dann eine bösartige OAuth-Anwendung erstellen und einen Inbound-Connector in den Email-Server einschleusen.

Über diesen Inbound-Connector konnte der Hacker dann Spam-E-Mails verschicken die den Empfängern vorgaukelten, von der eigenen Domäne zu stammen. Ziel der E-Mails war es die Empfänger zu überzeugen, sich bei einem vermeintlichen Gewinnspiel anzumelden und dabei ihre Kreditkartendaten preiszugeben. Damit der Angreifer unerkannt verbleiben konnte, löschte er den Inbound-Connector und alle Transportregeln nach jeder Spam-Kampagne. Die bösartige OAuth-Anwendung blieb jedoch vorhanden sein und wurde immer wieder für neue Angriffswellen eingesetzt.

Um eine größere Reichweite zu erzielen, nutzte der Angreifer eine nicht von Microsoft stammende Cloud-basierte Infrastruktur für ausgehende E-Mails. Dabei griff er insbesondere auf die Dienste von Amazon SES und Mail Chimp zurück die normalerweise für Marketing-Zwecke genutzt werden. Laut dem Microsoft-Forschungsteam verfügte der Angreifer über langjährige Erfahrung im Versand von Spam-E-Mails und nutzte verschiedene Methoden um seine Ziele zu erzielen.

Microsoft hat mittlerweile alle betroffenen Anwendungen vom Netz genommen und betroffene Kunden informiert. Es bleibt jedoch abzuwarten, ob weitere ähnliche Vorfälle auftreten werden und welche Schutzmaßnahmen Unternehmen ergreifen sollten um sich vor solchen Angriffen zu schützen.

Kommentare

Ähnliche News

Exchange Server: Ein Schweizer Käse an Sicherheitslücken

Exchange Server hat Löcher wie ein Schweizer Käse

Immer wieder wird Microsofts Exchange-Server zum Ziel von Cyberangriffen. Aktuell haben Hacker eine Zero-Day-Schwachstelle ausgenutzt um die Ransomware Lockbit zu installieren und Daten zu erbeuten.

Die Wirksamkeit von 2FA nach Google-Studie zur Account-Sicherheit

2FA wehrt die meisten Attacken ab laut Google-Studie zur Account-Sicherheit

Unser Leben wird immer digitaler und folglich ist es wichtig, unsere Accounts adäquat abzusichern. Ein Passwort allein reicht nicht aus, folglich hat sich die Zwei-Faktor-Authentifizierung (2FA) etabliert.

Apple warnt vor betrügerischen E-Mails

Apple gibt eine Warnung vor Phishing-Mails heraus die sich als legitime Nachrichten tarnen können. Es wurde ein Exempel für eine erfolgreiche Phishing-Nachricht gezeigt die dazu benutzt werden kann um an persönliche Informationen der Empfänger zu gelangen.

EvilProxy – eine neue Bedrohung bei MFA

EvilProxy vereinfacht Diebstahl wertvoller Login-Daten trotz MFA

Immer ergänzend Unternehmen setzen auf Multi-Faktor-Authentifizierung (MFA) um ihre Online-Konten und -Dienste vor Hackern und Cyberkriminellen zu schützen. Doch nunmehr gibt es eine neue Bedrohung auf dem Markt: die PaaS-Plattform EvilProxy.

Account-Hijacking: Black-Hat-Hacker im Kundenservice

Account-Hijacking auf Bestellung: Black-Hat-Hacker mit miesem Kundenservice

Wie steigert ist das Risiko, dass ein bezahlter Profi-Hacker den eigenen Email-Account übernimmt? Dies wollten Forscher der University of California in San Diego in Kooperation mit Google herausfinden.