Schutzprogramme, Sicher & Anonym, Verschlüsselung & Datensicherheit

Azure-Cloud verbannt Cyberkriminelle

Microsoft reagiert auf die Angriffsmethoden einer neuen Hackergruppe

Cyberkriminelle bessern ihre Angriffsmethoden immer weiter aus.
Angriffe von Cyberkriminellen werden immer raffinierter. - Foto: Pixabay

Insgesamt 18 Active-Directory-Anwendungen hat Microsoft aus seiner Cloud verbannt. Sie wurden als Teil einer Angriffs-Infrastruktur identifiziert. Der Konzern hat den Angreifern den Namen Gadolinium gegeben. In einer detaillierten Ausführung beschreibt Microsoft, wie die Angreifer vorgehen und welche Gegenmaßnahmen angesteuert werden.

Seit fast zehn Jahren greift Gadolinium bevorzugt Unternehmen aus dem maritimen und dem Gesundheitsbereich an. Seit kurzem habe Gadolinium seine Aktivitäten auch auf Ziele in den Bereichen höhere Bildung und auf regionale Regierungen ausgeweitet, heißt es.

Cyberkriminelle haben Methoden verbessert

Früher setzte Gadolinium noch auf „proprietäre“ Malware. Diese ließ sich durch eine handelsübliche Abwehrsoftware gut identifizieren. Mittlerweile setzen die Cyberkriminellen auf Open-Source-Anwendungen, wie beispielsweise der Kommandozeilinterpreter PowerShell. Damit können Angriffe deutlich schwieriger identifiziert werden.

Bei einem Angriff im April versendete Gadolinium in einem Spear-Phishing-Angriff zum Beispiel eine PowerPoint-Datei. Sobald sie aufgerufen wurde lud sie in einem mehrstufigen Prozess weitere Dateien nach, darunter auch eine modifizierte PowerShell-Version. Sobald der Malware-Client erfolgreich auf den Rechnern der Opfer installiert war, konnte er je nach Bedarf weitere Module nachladen.

Cloud-Dienste: Ein Vorteil für Angreifer

Als Command-and-Control-Rechner kamen dazu Azure-Active-Directory-Anwendungen zum Einsatz. Auch bei der Nutzung der Kommandoinfrastruktur haben die Angreifer mit der Zeit dazugelernt. Einige Cloud-Dienste bieten den Vorteil, dass man sie erst einmal kostenlos testen oder mit einer Einmalzahlung bezahlen kann. So sind sie schnell aufgesetzt, es muss nicht erst aufwändig ein fremder Rechner für den Kommandorechner infiltriert werden.

Und weil für die Nutzung dieser Angebote kein Zugang gehackt wurde, erscheinen die Server auf den ersten Blick vollkommen legitim. Microsoft hat die für die Angriffe im April verwendeten Server letztlich doch identifiziert und gesperrt. In einem Blog-Beitrag beschreibt das Unternehmen Angriffsmethoden von Gadolinium und seine Gegenmaßnahmen im Detail.

 

Quelle: heise online Redaktion

Zurück

Diesen Beitrag teilen
Weitere Meldungen zum Thema
oben