Angesichts der zunehmenden Zahl von Cyberangriffen auf Active Directory sehen sich AD-Sicherheits-, Identitäts- und IT-Teams einem wachsenden Druck ausgesetzt, die sich entwickelnde AD-bezogene Bedrohungslandschaft zu überwachen. Um IT-Experten dabei zu helfen, Angriffe auf AD zu verstehen und zu verhindern, veröffentlicht das Semperis Research Team eine monatliche Übersicht über die jüngsten Cyberangriffe. In diesem Monat fordern die MOVEit-Angriffe weitere Opfer, Microsoft meldet Verletzungen von E-Mail-Konten, bei denen ein gestohlener Azure AD Enterprise Signing Key verwendet wurde, und sowohl BlackCat als auch Clop melden Angriffe auf das Kosmetikunternehmen Estée Lauder.
Chinesische Cyberkriminelle verwenden gestohlenen Azure AD Signierschlüssel, um E-Mail-Konten zu kompromittieren
Microsoft hat berichtet, dass eine chinesische Cyberspionage-Gruppe namens Storm-0558 einen gestohlenen Azure AD Enterprise Signing Key verwendet hat, um in die E-Mail-Konten von etwa 25 Organisationen einzudringen, darunter angeblich auch das Außen- und das Handelsministerium der USA.
Deutsche Bank, Maximus und Colorado State stehen auf der Liste der Opfer von MOVEit
Der US-Regierungsdienstleister Maximus, die Deutsche Bank und die Colorado State University waren drei der jüngsten Opfer, die berichteten, dass ihre Daten bei den jüngsten MOVEit Transfer-Datendiebstählen kompromittiert wurden. Die Ransomware-Gruppe Clop nutzte eine Zero-Day-Schwachstelle in der Dateiübertragungsanwendung aus, um in Unternehmen auf der ganzen Welt einzudringen, darunter der Versicherungsanbieter Genworth Financial aus Virginia und das California Public Employees' Retirement System (CalPERS). Zu den Angriffsmethoden von Clop gehört es, das gesamte Netzwerk des Opfers anzugreifen, indem der Active Directory (AD)-Server kompromittiert wird und Malware abgelegt wird.
ALPHV/BlackCat und Clop fordern Angriffe auf das Kosmetikunternehmen Estée Lauder
Sowohl ALPHV/BlackCat als auch Clop machten sich für Cyberangriffe auf den Kosmetikriesen Estée Lauder Companies verantwortlich, wobei sich Clop Berichten zufolge über die Sicherheitslücke MOVEit Transfer Zugang verschaffte. BlackCat beschwerte sich, dass das Unternehmen sich weigerte, in Verhandlungen einzutreten, und veröffentlichte dann eine API für seine Leck-Site, um die Sichtbarkeit seiner Angriffe zu erhöhen und den Druck auf die Opfer zu erhöhen, ein Lösegeld zu zahlen. Diese Taktik wurde von Clop bald kopiert, indem er im Internet gehostete Websites für bestimmte Opfer einrichtete.