Microsoft schmeißt Cyberkriminelle aus der Azure-Cloud
Die Sicherheitsabteilung des Konzern dokumentiert detailliert, wie eine Hackergruppe ihre Angriffsmethoden mit der Zeit verfeinert hat.
(Bild: VDB Photos/Shutterstock.com)
Microsoft hat 18 Azure Active-Directory-Anwendungen aus seiner Cloud verbannt, die das Unternehmen als Teil einer Angriffs-Infrastruktur identifiziert hat. In einem ausführlichen Blog-Beitrag beschreibt es das Vorgehen der Angreifer, einer Gruppe, denen Microsoft den Namen Gadolinium gegeben hat, und seiner Gegenmaßnahmen.
(Bild: Microsoft)
So beschreibt Microsoft Gadolinium als Gruppe, die bereits seit fast einem Jahrzehnt bevorzugt Unternehmen aus dem maritimen und dem Gesundheitsbereich angreift. Seit kurzem habe Gadolinium seine Aktivitäten auch auf Ziele in den Bereichen "höhere Bildung" und auf "regionale Regierungen" ausgeweitet.
Angriffstechnik verfeinert
Im Laufe der Zeit habe Microsoft beobachtet, wie Gadolinium seine Angriffsmethoden immer weiter verfeinert habe. Setzte die Gruppe früher auf "proprietäre" Malware, die sich durch handelsübliche Abwehrsoftware relativ gut identifizieren lassen, verwende sie heute vermehrt oft eingesetzte Open-Source-Anwendungen wie Microsofts Kommandozeileninterpreter PowerShell, mit denen sich Angriffe wesentlich schwieriger identifizieren ließen.
In einem im April durchgeführten Angriff zum Beispiel versendete Gadolinium in einem Spear-Phishing-Angriff eine PowerPoint-Datei, die, sobald sie aufgerufen wurde, in einem mehrstufigen Prozess weitere Dateien nachlud, darunter eine modifizierte PowerShell-Version. Sobald dieser Malware-Client erfolgreich auf den Rechnern der Opfer installiert war, konnte er je nach Bedarf weitere Module nachladen.
Cloud-Dienste bieten Vorteile für Angreifer
Als Command-and-Control-Rechner kamen dazu Azure-Active-Directory-Anwendungen zum Einsatz. Auch bei der Nutzung der Kommandoinfrastruktur haben die Angreifer mit der Zeit dazugelernt. Cloud-Dienste wie die von Microsoft bieten den Vorteil, dass man sie erst einmal kostenlos testen oder mit einer Einmalzahlung bezahlen kann. So sind sie schnell aufgesetzt, es muss nicht erst aufwändig ein fremder Rechner für den Kommandorechner infiltriert werden.
Und weil für die Nutzung dieser Angebote kein Zugang gehackt wurde, erscheinen die Server auf den ersten Blick vollkommen legitim. Microsoft hat die für die Angriffe im April verwendeten Server letztlich doch identifiziert und gesperrt. In einem Blog-Beitrag beschreibt das Unternehmen Angriffsmethoden von Gadolinium und seine Gegenmaßnahmen im Detail.
(jo)
