Inmitten der Eskalation des Konflikts im Nahen Osten hat eine an Microsoft 365 Umgebungen gerichtete Cyber-Angriffskampagne zu den Fore-Organisationen in der Region geführt. Laut der von der Sicherheitsfirma Check Point veröffentlichten Analyse hat ein Akteur mit Verbindungen zum Iran am 3., 13. und 23. März 2026, der sich hauptsächlich auf Israel und die Vereinigten Arabischen Emirate konzentrierte und Hunderte von lokalen Körperschaften beeinflusste, drei Wellen gezielter Bruttokraftzugangsversuche durchgeführt.
Die verwendete Technik - bekannt als Passwort-Spray - ist, das gleiche gemeinsame Passwort gegen viele verschiedene Benutzer in einer bestimmten Anwendung zu testen, eine Taktik, die die Wahrscheinlichkeit der Aktivierung von Blockiermechanismen durch gescheiterte Versuche reduziert und erlaubt, schwache Anmeldeinformationen auf einer Skala zu entdecken. Check Point bezieht sich auf Muster, die in der Vergangenheit iranischen Gruppen wie Peach Sandstorm und Gray Sandstorm (auch in anderen Orten von der Industrie identifiziert) zugeschrieben wurden, und stellt fest, dass der Angriff in Phasen entwickelt wurde: aggressiver Sweep von Tor's Ausgangsknoten, Authentifizierungsversuche und in Fällen, in denen sie Zugang erlangten, Entfernung sensibler Informationen wie den Inhalt von Mailboxen.
Der technische Bericht des israelischen Unternehmens beschreibt auch die Verwendung von "red-team"-Tools und die Verwendung von kommerzieller Anonimisierung und VPN-Infrastruktur - einschließlich Knoten mit AS35758 - um den Ursprung der Verbindungen zu verbergen. Obwohl der Schwerpunkt Israel und die VAE lag, hat Check Point Aktivitäten im Zusammenhang mit dem gleichen Akteur gegen Ziele in Europa, den Vereinigten Staaten, dem Vereinigten Königreich und Saudi-Arabien gefunden und weist auf die Opfer von Regierungsbehörden und Kommunen bis zu Sektoren wie Technologie, Verkehr und Energie hin.
Diese Art von Kampagne zeigt zwei kritische Realitäten: zum einen die Beharrlichkeit und Raffinesse von Akteuren, die von oder mit Verbindungen zu Staaten tätig sind; zum anderen die Eigenverletzlichkeit vieler Cloud-Umgebungen, wenn grundlegende vertiefte Verteidigungskontrollen nicht angewandt werden.
Empfehlungen zur Verteidigung von Passwort-Spritzversuchen sind bekannt und dennoch nicht homogen umgesetzt. Überwachung von Log-in-Daten zur Erkennung von abnormen Mustern, die Einführung von Conditional Access Controls, die die Authentifizierung an zugelassenen Standorten beschränken, erfordern Multi-Faktor-Authentifizierung (MFA) für alle Konten und Aktivierung des Audit-Registers, um weitere Untersuchungen zu ermöglichen, sind grundlegende aber effektive Maßnahmen. Microsoft unterhält praktische Anleitungen zur Einrichtung von bedingtem Zugriff und MFA in Azure / Microsoft 365 Umgebungen, die für jeden Administrator nützlich sind: Microsoft Conditional Access Guide und MFA-Dokumentation.
Der regionale Kontext verstärkt das Risiko: Dies sind keine isolierten Vorfälle, sondern eine Dynamik, in der Cyberspace ein weiterer Bereich der geopolitischen Konfrontation geworden ist. Parallel zu den Zutritts- und Exfiltrationskampagnen gab es eine Zunahme der Ransomware-Operationen und anderer Sabotageaktivitäten, die politische Motivationen und Profit vermischen, die Grenze zwischen organisiertem Verbrechen und Operationen mit staatlicher Unterstützung oder Toleranz verschwimmen.
Ein jüngstes und relevantes Beispiel ist der Angriff auf eine Gesundheitsorganisation in den Vereinigten Staaten Ende Februar 2026 der Pay2Key-Gruppe zugeschrieben, eine Ransomware-Operation, die nach unabhängigen und Versicherungen Untersuchungen Verbindungen mit iranischen Betreibern zeigt. In diesem Vorfall nutzten die Angreifer angeblich eine unöffentlich bestimmte Zugangsroute, indem sie legitime Remote Access-Tools nutzten, um Präsenz zu etablieren, Anmeldeinformationen zu sammeln, Verteidigungen zu deaktivieren und die Chiffre einzusetzen. Berichte von Signaturen wie Halcyon und Beazley geben Details darüber, wie diese Akteure ihre Techniken entwickelt haben: von dem falschen des Zustands von Antivirenlösungen bis zur Reinigung von Datensätzen am Ende der Ausführung, um Spuren ihrer eigenen Aktionen zu löschen. Weitere allgemeine Informationen über das Aussehen und die Taktik von Ransomware-Gruppen finden Sie in Halcyons Publikationen und in der Industrie Analyse: Halcyon - Bedrohungsanalyse und Beazley - Ressourcen auf Cyberincidents.
Darüber hinaus wurden Ransomware-Varianten, die an Linux-Umgebungen angepasst wurden, beobachtet, dass die Antwort, die mit Root-Privilegien ausgeführt werden, eine breite Palette von Dateisystem reisen und moderne Chiffren wie ChaCha20 verwenden, sowie deaktivieren Sie Sicherheitsmechanismen und sorgen für Beharrlichkeit nach dem Neustart. Die jüngsten technischen Untersuchungen über die Proben und das Verhalten dieser Varianten wurden von Sicherheitsfirmen wie Morphyec veröffentlicht, die Techniken der Verteidigungsschwächung und Persistenz dokumentieren: Morphisec - technischer Blog.
Im Ransomware-Ökosystem wurden auch Bewegungen zwischen Betreibern und verbundenen Unternehmen gemeldet: Ransomware Familien-Administratoren haben bestimmte Gruppen ermutigt, andere Ciphers zu übernehmen oder die Vorteile von politisch-ideologischen Familien wieder zu nutzen, eine Zirkulation von Werkzeugen und Taktiken in der Cyber-Kriminalität Unterwelt, die schließlich Auswirkungen auf zivile und geschäftliche Ziele. Dieses Phänomen verstärkt die These, dass viele zeitgenössische Kampagnen geopolitische Ziele mit kriminellen Geschäftsmodellen kombinieren, und dass die Ziele in der Region - von kritischer Infrastruktur bis zu Dienstleistern - besonders wünschenswert sind.
Was kann eine Organisation heute tun? Neben der Anwendung von MFA- und Conditional Access Controls ist es wichtig, eine Kontohygiene aufrechtzuerhalten: Konten mit Privilegien einschränken, Standard-Passwörter drehen und ausschließen, End-Punkt-Erkennung und Mail-Umgebungen implementieren, und Praxis-Ansprech- und Wiederherstellungspläne, die widerstandsfähige Backup- und bewährte Wiederherstellungsverfahren umfassen. Die Sichtbarkeit ist kritisch: Die Erfassung und Analyse der Telemetrie von Authentifizierungs- und Cloud-Aktivitäten ermöglichen es, Sweep-Muster und Seitenbewegungen zu erkennen, bevor es zu Massenexfiltration oder Verschlüsselung kommt.
Schließlich sei daran erinnert, dass Cyberdefence nicht nur ein technisches Problem, sondern auch eine organisatorische und politische. Die Zusammenarbeit zwischen Sektoren, der Austausch von Informationen zwischen Unternehmen und nationalen Agenturen und die fortgesetzte Annahme von guten Praktiken durch Lieferanten und Kunden sind notwendige Elemente, um die Auswirkungen dieser Kampagnen zu reduzieren. Für diejenigen, die Microsoft 365-Umgebungen verwalten, sind die vom Lieferanten und der Nebenreaktions-Community veröffentlichten Anleitungen und Tools ein guter Ausgangspunkt: Überwachungs- und Identitätsberichte in Azure AD.
Die Bedrohungslandschaft ändert sich schnell und oft ohne große öffentliche Ankündigungen: Angriffe, die mit einem einfachen Passwortversuch beginnen, können zu Lücken mit schweren wirtschaftlichen und operativen Folgen werden. Die beste Verteidigung ist, mit gut konfigurierten Basiskontrollen, kontinuierlicher Sichtbarkeit und abgestimmten Antwortverfahren zu rechnen. Um diese Bedrohungen und technischen Empfehlungen aufrechtzuerhalten, ist es angebracht, den Veröffentlichungen der Fachfirmen und der übrigen Antwortzentren zu folgen, die diese Ereignisse in Echtzeit dokumentieren und analysieren.
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...
Die dunkle Identitätsfrage verändert die Regeln der Unternehmenssicherheit
Der Identity Gap: Snapshot 2026 Bericht veröffentlicht von Orchid Security legt Zahlen auf einen gefährlichen Trend: die "dunkle Materie" der Identität - Konten und Anmeldeinfor...