- Anzeigen -


Sie sind hier: Home » Virenwarnung » Hintergrund

90 Prozent der Log-in-Versuche von China


Neue Cyber-Attacke "KnockKnock" zielt auf gefährdete E-Mail-Accounts in Office 365
Skyhigh Networks identifiziert einen weltweiten Angriff auf Systemkonten, die oftmals keinen strengen Sicherheitsregeln unterliegen

- Anzeigen -





Skyhigh Networks hat einen neuen Cyber-Angriff von einem bisher unbekannten Botnet aufgespürt: KnockKnock. Dabei handelt es sich um einen komplexen Angriff auf Exchange-Online-Konten als Bestandteil von Office 365. Die Attacken gingen von insgesamt 16 Ländern aus und und wurden bei mehr als der Hälfte der Unternehmen entdeckt, die "Skyhigh for Office 365" im Einsatz haben. Im Visier der Angreifer sind vor allem automatisierte E-Mail-Accounts, die nicht mit einer bestimmten Person verknüpft sind und in der Regel nicht den strengen Sicherheitsrichtlinien der Unternehmen unterliegen.

Im Gegensatz zum jüngsten Brute-Force-Angriff auf Office-365-Accounts, den Skyhigh Networks zuvor entdeckt hatte, verfolgt KnockKnock eine ganz spezifische Strategie. Der Angriff zielt auf Systemkonten ab, die üblicherweise Teil der E-Mail-Systeme von Unternehmen sind. Dazu gehören beispielsweise Konten für Administratoren oder Software zur Marketing- und Sales-Automatisierung. Da solche Accounts nicht mit einer Person verknüpft sind und eine automatische Nutzung erlauben müssen, unterliegen sie nicht unbedingt den sonst in Unternehmen üblichen Security-Richtlinien, etwa einer Multi-Faktor-Authentifizierung (MFA) und dem Ändern von Passwörtern in bestimmten Zeitabständen.

KnockKnock hat drei Stoßrichtungen: Der Angriff will neue Regeln für den Posteingang aufstellen, eine Phishing-Attacke initiieren und Unternehmen über diese, unter Kontrolle gebrachte E-Mail-Adresse infizieren.

"Dieser Angriff auf Office 365 ist besonders heimtückisch. Systemkonten sind für die Business-Automatisierung essenziell, unterliegen aber üblicherweise nur geringen Sicherheitsanforderungen", sagt Daniel Wolf, Regional Director DACH bei Skyhigh Networks. "Nur ein Cloud-basierter Sicherheitsansatz kann diese Attacken auf das schwächste Glied in Office 365 wirkungsvoll eindämmen."

Details und Umfang der Attacke

Die KnockKnock-Attacke startete im Mai 2017 und ist bislang noch nicht zum Stillstand gekommen. Der bisherige Höhepunkt der Angriffe wurde zwischen Juni und August erreicht. Der Fokus lag hier auf gezielten Adress-Konten und nicht auf einem breit gestreuten Angriff, wodurch im Schnitt pro Unternehmen fünf E-Mail-Adressen attackiert wurden. Die Threat-Protection-Funktionalität des CASB von Skyhigh Networks schlug an, als die Log-In-Standorte vom Standard-Verhaltensmuster für diese Accounts abwichen. Eine Analyse ergab folgende Details:

>> Die Hacker griffen von 63 verschiedenen Netzwerken an und nutzten 83 IP-Adressen für ihre Attacke.

>> Ungefähr 90 Prozent der Log-in-Versuche gingen von China aus, der Rest kam von Russland, Brasilien, den USA, Argentinien und elf weiteren Ländern.

>> Zu den Opfern der Angriffe gehörten unter anderem Anbieter für Infrastruktur sowie Internet-of-Things-Lösungen (IoT), außerdem Abteilungen in großen Unternehmen, die für die Infrastruktur und IoT-Projekte zuständig sind - in einer Vielzahl von Branchen: im Maschinenbau, Finanz- und Gesundheitswesen, bei Konsumgüterherstellern sowie in den USA bei öffentlichen Einrichtungen.

>> So gut wie alle betroffenen Accounts waren solche, die nicht einer bestimmten Person zugeordnet sind.

Weltweit nutzen rund 30 Millionen Anwender die CASB-Lösung von Skyhigh Networks. Dadurch hat die Cloud-Security-Anbieterin umfassenden Einblick in den globalen Cloud-Traffic und kann so Cyber-Attacken wie KnockKnock durch die Korrelation der anonymisierten Nutzerdaten identifizieren. Vor allem durch maschinelles Lernen und Analysen des Nutzerverhaltens (User Behavior Analytics) lassen sich atypische und dadurch verdächtige Anwenderaktionen entdecken. Dadurch zählen diese Verfahren zu den zentralen Verteidigungsstrategien, um Daten in der Cloud zu entdecken, zu kontrollieren und zu schützen. (Skyhigh Networks: ra)

eingetragen: 17.10.17
Home & Newsletterlauf: 24.11.17


Skyhigh Networks: Kontakt und Steckbrief

Der Informationsanbieter hat seinen Kontakt leider noch nicht freigeschaltet.

- Anzeigen -





Kostenloser IT SecCity-Newsletter
Ihr IT SecCity-Newsletter hier >>>>>>

- Anzeigen -


Meldungen: Hintergrund

  • Gefälschte Office-365-Mails im Umlauf

    Die Sicherheitsexperten von Retarus warnen vor einer besonders perfiden Phishing-Angriffswelle: Derzeit befinden sich personalisierte Phishing-Mails in einem täuschend echten Microsoft-Layout im Umlauf, die den Empfänger unter anderem zu einer zweifachen Passwort-Eingabe auffordern. Retarus empfiehlt daher die sorgfältige Überprüfung enthaltener Links. Zusätzlichen Schutz bieten spezielle E-Mail-Security-Lösungen mit umfangreicher Phishing-Filterung und modernen Funktionen für die Advanced Threat Protection.

  • In Asien verheerende Schäden angerichtet

    Die Cyberspionage-Infrastruktur "PZChao" hat seit spätestens Juli 2017 Behörden, Bildungseinrichten und Technologie- und Telekommunikationsunternehmen angegriffen. Jetzt legt Bitdefender erstmals eine detaillierte Analyse zu PZChao vor: Der Malware-Werkzeugkasten, der vor allem auf Ziele in Asien und den USA ausgerichtet ist, verfügt über eine umfassende Infrastruktur zur Auslieferung von Komponenten und eine Fernzugriffskomponente, die eine feindliche Übernahme des kompromittierten Endgeräts erlaubt - bis hin zur Live-Verwendung von Mikrofon und Kamera. Überraschenderweise ebenfalls enthalten: ein Cryptominer, um Bitcoins zu schürfen - dies wurde in derart gezielten Attacken bisher nicht beobachtet.

  • Bösartige Aktivität von AdultSwine

    Sicherheitsforscher von Check Point Software Technologies haben einen neuen bösartigen Code im Google Play Store entdeckt, der sich in fast 60 Kinderspiel-Apps versteckt. Nach Angaben von Google Play wurden die Apps bisher zwischen 3 und 7 Millionen Mal heruntergeladen.Die Malware, AdultSwine genannt, richtet in dreierlei Hinsicht verheerenden Schaden an.

  • Mehrstufige Spyware ermöglicht Fernsteuerung

    Experten von Kaspersky Lab haben mit der Spyware ‚Skygofree' ein sehr fortschrittliches mobiles Implantat entdeckt. Die Android-Spionage-Malware ist seit dem Jahr 2014 aktiv und wurde für zielgerichtete Cyberüberwachung entwickelt, möglicherweise auch für offensive Cyberoperationen. Zu den fortschrittlichen Funktionen von Skygofree zählt beispielsweise die Möglichkeit, standortbasierte Audioaufnahmen über infizierte Geräte zu machen. Die Spyware wird über Internetseiten, die Seiten führender Mobilfunknetzbetreiber imitieren sollen, verbreitet.

  • Point-of-Sale-Malware "LockPOS"

    Die "LockPOS" genannte Point-of-Sale-Malware wurde erstmals 2017 beobachtet. Es handelt sich um einen Infostealer, der Daten von Zahlungskarten wie Kreditkarten aus dem Speicher der betroffenen Point-of-Sale-Systeme abzieht. Sicherheitsanalyst Henok Asfaw, Senior Threat Researcher beim Spezialisten für KI-basierende Malware-Abwehr bei Cylance, hat sich die jüngste Variante von LockPOS in seinem aktuellen Blog genauer angesehen. LockPOS hat - wie dokumentiert - die Injection-Technik so verändert, dass sie die Malware nun direkt im Kernel, also dem Betriebssystemkern, platziert. Das macht es bedeutend schwieriger die Schadsoftware aufzudecken und dient in erster Linie dazu traditionell arbeitende Antivirenlösungen zu umgehen.