In den letzten Wochen ist eine Welle von Intrusionen entstanden, die die alten Handwerke der Telefontäuschung mit sehr ausgeklügelten Phishing-Tools verbindet, und deren Ziel ist es nicht, ein einziges Konto zu nehmen, sondern die Tür zum gesamten Cloud-Ökosystem eines Unternehmens zu öffnen. Mandiant und Googles Geheimdienstteam-Forscher verfolgen mehrere Kampagnen, die nach ihrer Analyse gezielte Anrufe - das bekannte Verderben - und falsche Portale mit der Marke des Unternehmens nutzen, um einzigartige Start-up-Berechtigungen (SSO) und Multi-Faktor-Authentifizierungscodes oder Genehmigungen (MFA) zu stehlen. Der öffentliche Bericht, der diese Aktivität beschreibt, ist auf dem Google Cloud-Blog verfügbar. Hier..
Der Modus operandi kombiniert zwei Elemente: einerseits kontaktiert der Angreifer das Opfer, indem er als IT-Personal oder Support fungiert; andererseits leitet er es auf eine Zugangsseite, die genau das Corporate Portal imitiert. Identitätsunternehmen wie Okta haben gezeigt, wie sich Phishing Kits entwickelt haben, um interaktive Dialoge zu integrieren, die den Angreifer und das Opfer während des Anrufs in Echtzeit führen, was den Empfang von Anmeldeinformationen erleichtert und MFA-Antworten manipuliert, während der Mitarbeiter noch auf der Linie ist.
Sobald der Täter Zugriff auf ein SSO-Konto hat - zum Beispiel in Okta, Microsoft Enter oder Google - ändert sich das Bild radikal: von diesem zentralen Panel können Sie Dutzende von Anwendungen in der Cloud erreichen, die der Benutzer autorisiert hat. Dokumente in Salesforce, Mailboxen und Dateien in Microsoft 365 und SharePoint, Verträge in DocuSign, Dateien in Dropbox oder Google Drive, Slack Kanäle und Räume in Atlassian sind gemeinsame Ziele. Für Gruppen, die sich auf Diebstahl und Erpressung konzentrierten, handelt dieses Board als Startrampe, um große Datenmengen mit einem einzigen Kompromißkonto zu kopieren.
Die Teams, die diese Kampagnen untersuchen, haben mehrere Gruppen von Schauspielern kategorisiert. Mandiant spricht von Clustern, die als UNC6661, UNC6671 und als ShinyHunters bezeichnet werden (manchmal als UNC6240 bezeichnet). In einigen Zwischenfällen scheinen der anfängliche Zugriff und die Exfiltration die Arbeit einer opportunistischen Gruppe zu sein, und anschließende Rettungsanforderungen werden von ShinyHunters oder von Mitgliedern, die die Technik replizieren, beansprucht. BleepingComputer war eine der Medien, die erweiterte Details über Anrufe, die als Corporate Support vorgeben; seine Chronik bietet Kontext, wie Anrufe und falsche Seiten entwickeln, und kann konsultiert werden Hier..
Forscher haben technische Beweise veröffentlicht, um bösartige Aktivität nach dem Eindringen zu identifizieren. Dazu gehören Datensätze von Massen-Downloads von SharePoint oder OneDrive, bei denen der Benutzer Agent PowerShell ist, Anmeldung zu Salesforce von IP-Adressen, die mit Angreifern und Massen-Downloads in DocuSign verknüpft sind. In mindestens einem Fall aktivierten die Eindringlinge ein Google Workspace-Plugin namens TogleBox Recall, um E-Mails zu suchen und zu löschen, die die Registrierung eines neuen MFA-Verfahrens melden würden, ein Manöver, um zu verhindern, dass das Opfer die Benachrichtigungen erhält, die es alarmieren könnten; die Funktion dieses Plugins wird auf der Website des Lieferanten beschrieben. Hier..
Betrügerische Domains werden oft mit Namen registriert, die legitime Portale des Unternehmens simulieren: Varianten mit Wörtern wie "sso", "intern", "Unterstützung" oder sogar Kombinationen, die Namen von Identitätsanbietern enthalten, um Glaubwürdigkeit zu erlangen. Mandiant hat Aufzeichnungen durch Registrierungsstellen und die Verwendung von kommerziellen Wohn-Proxy- oder VPN-Netzwerken beobachtet, um den Ursprung der Verbindungen zu verbergen, die sofortige IP-Blockung erschwert.
Aus Sicht der Erkennung empfehlen Experten, die Identifizierung von Verhaltensmustern zu priorisieren, anstatt nur auf Schlosslisten zu vertrauen. Als SSO-Bestätigung gefolgt von schnellen oder massiven Downloads mehrerer SaaS-Anwendungen, PowerShells Präsenz auf SharePoint und OneDrive, unerwartete OAuth-Autorisierungen in Drittanbieter-Anwendungen und die Entfernung von MFA Change Reporting-E-Mails sind Zeichen, die tiefere Forschung aktivieren sollten.
Mandiant hat praktische Empfehlungen veröffentlicht, um Identitätsflüsse zu verschärfen, Authentifizierungs-Restaurierungsprozesse zu gewährleisten und die Telemetrie-Registrierung zu verbessern, um Post-vishing-Aktivität erkennen zu können, bevor Datendiebstahl abgeschlossen ist. Sie haben auch Regeln für Sicherheits-Operations-Plattformen zur Verfügung gestellt, die helfen können, Indikatoren im Zusammenhang mit ShinyHunters zu finden; eine Zusammenfassung dieser Regeln für Google SecOps ist verfügbar in diesem Link.
Für die Unternehmen ist die zentrale Lehre, dass MFA nicht mehr selbst ein Panacea ist: Wenn Angreifer den sozialen Dialog kontrollieren und überzeugende Schnittstellen in Echtzeit präsentieren, können sie einen Mitarbeiter überreden, um zu liefern, was erforderlich ist, um ein Gegnergerät zu registrieren oder Zugang zu billigen. Aus diesem Grund ist es neben der Aufrechterhaltung der MFA angebracht, die Telefonunterstützungsprozeduren zu verschärfen, zusätzliche Überprüfungen bei Authentifizierungsmethoden vorzunehmen und alle OAuth-Berechtigungsprotokolle oder neue MFA-Geräteinschriften genau zu überwachen.
Im Bereich des Betriebs sollten die SaaS-Anwendungszugriffsrichtlinien überprüft werden, um die erforderlichen Berechtigungen zu begrenzen, Alarme für abnorme Download-Muster zu aktivieren und lange Audits aufrechtzuerhalten, damit die Aktivität wieder aufgebaut werden kann. Die Koordination zwischen Sicherheitsteams, Identitätsanbietern und Cloud-Anwendungsmanagern ist unerlässlich, um das Belichtungsfenster zu reduzieren, wenn ein Konto beeinträchtigt wird.
Die Kampagne, die ShinyHunters und assoziierte Akteure gestartet haben, zeigt, wie die Geschäftssicherheit an Hybridangriffe angepasst werden muss, die die soziale Engineering- und technische Automatisierung mischen. Das Verständnis des Pfades, der dem Angreifer folgt - der Ruf des Verderbens, das verfälschte Portal, die Erfassung von Anmeldeinformationen, die Handhabung von MFA und die Verwendung von SSO als Hebel - hilft, Kontrollen zu entwickeln, die zusammen viele der heute genutzten Zugangswege schließen werden.
Wenn Sie die Ergebnisse und spezifische Empfehlungen für Verteidiger vertiefen möchten, sind der Bericht und die Anleitungen von Mandiant und Google Cloud ein guter Ausgangspunkt; die Hauptforschung ist auf Google Clouds Blog veröffentlicht von Mandiant / Google, und Okta Aktienanalyse über die Entwicklung von interaktiven Phishing Kits auf Ihrem Intelligenz-Blog. Für eine journalistische Zusammenfassung der ersten öffentlichen Fälle können Sie die Berichterstattung lesen BlepingComputer.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...