Mandiant deckt ShinyHunters-Vishing-Angriffe auf: MFA-Diebstahl für SaaS-Einbrüche

Blog Allgemeine Nachrichten Alle Autoren Alle Tags
Der Inhalt dieser Seite ist leider nicht in der von Ihnen gewählten Sprache verfügbar
Alex Vance

Mandiant deckt ausgeklügelte Vishing-Angriffe im ShinyHunters-Stil auf, die auf SaaS-Plattformen abzielen

Das zu Google gehörende Unternehmen Mandiant hat eine kritische Warnung herausgegeben, die eine erhebliche Ausweitung der Bedrohungsaktivitäten detailliert beschreibt. Diese nutzen hoch entwickelte Sprach-Phishing (Vishing) und akribisch erstellte Websites zur Erfassung von Anmeldeinformationen. Diese Angriffe, die der Vorgehensweise der finanziell motivierten Hackergruppe ShinyHunters entsprechen, sind darauf ausgelegt, die Multi-Faktor-Authentifizierung (MFA) zu umgehen und unbefugten Zugriff auf kritische Software-as-a-Service (SaaS)-Plattformen zu erlangen, was ein ernstes Risiko für Organisationen weltweit darstellt.

Die sich entwickelnde Bedrohungslandschaft: ShinyHunters' Vorgehensweise

ShinyHunters, eine berüchtigte Gruppe, die historisch mit groß angelegten Datenlecks und Erpressung in Verbindung gebracht wird, scheint ihre Taktiken weiterzuentwickeln. Während sie früher für die Ausnutzung von Schwachstellen und die direkte Datenbank-Exfiltration bekannt waren, deutet ihre aktuelle Neuausrichtung auf fortgeschrittenes Vishing auf ein ausgeklügeltes Verständnis menschzentrierter Angriffsvektoren und der inhärenten Schwächen traditioneller MFA-Implementierungen hin. Mandiants Erkenntnisse unterstreichen einen besorgniserregenden Trend, bei dem Bedrohungsakteure technische Fähigkeiten mit sozialer Ingenieurskunst kombinieren, um ihre Ziele zu erreichen.

Anatomie der Vishing-Kampagne: Social Engineering im Kern

Die beobachteten Angriffe beginnen mit einer äußerst überzeugenden Vishing-Komponente. Bedrohungsakteure geben sich als legitimes IT-Supportpersonal, Helpdesk-Mitarbeiter oder sogar Führungskräfte der Zielorganisation aus. Diesen Anrufen gehen oft anfängliche Aufklärungsmaßnahmen voraus oder sind mit ihnen synchronisiert, um Mitarbeiternamen, Rollen und interne Kommunikationsmuster zu sammeln. Ziel ist es, Vertrauen aufzubauen und Opfer dazu zu manipulieren, sensible Informationen preiszugeben oder bösartige Websites zu besuchen.

  • Pretexting: Angreifer erstellen ausgeklügelte Vorwände, wie z.B. „verdächtige Anmeldeversuche erkannt“, „Probleme bei der Kontosperrung“ oder „dringende System-Upgrades, die sofortiges Handeln erfordern“, um ein Gefühl der Dringlichkeit und Angst zu erzeugen.
  • Stimmenimitation: Die Verwendung hochentwickelter Sprachmodulation oder sogar Deepfake-Audio (obwohl von Mandiant für diese spezifische Kampagne nicht explizit bestätigt, ist es eine aufkommende Bedrohung) erhöht die Glaubwürdigkeit der Imitation.
  • Psychologische Manipulation: Angreifer nutzen die Prinzipien von Autorität und Knappheit, um Opfer zu sofortiger Compliance zu drängen, wodurch deren Fähigkeit, die Situation kritisch zu bewerten, reduziert wird.

Infrastruktur zur Erfassung von Anmeldeinformationen: Mimikry und Täuschung

Im Mittelpunkt dieser Angriffe stehen gefälschte Websites zur Erfassung von Anmeldeinformationen. Diese Websites sind akribisch so gestaltet, dass sie die Anmeldeportale der anvisierten SaaS-Plattformen oder interner Unternehmensanwendungen nachahmen. Der Detailgrad dieser Repliken, einschließlich Branding, URLs und Authentifizierungsabläufe, ist oft so präzise, dass nichtsahnende Benutzer sie wahrscheinlich nicht als betrügerisch erkennen.

Sobald ein Opfer per Vishing angesprochen wird, wird es auf diese bösartigen Websites geleitet. Die Websites fordern in der Regel Benutzernamen, Passwort und, entscheidend, einen MFA-Code oder -Token. Durch die Echtzeiterfassung dieser Anmeldeinformationen können die Bedrohungsakteure diese sofort verwenden, um sich bei der legitimen SaaS-Plattform zu authentifizieren, bevor der MFA-Token abläuft, wodurch die Sicherheitsebene effektiv umgangen wird.

  • Domain-Spoofing: Bedrohungsakteure registrieren ähnlich aussehende Domains oder nutzen Typosquatting, um URLs zu erstellen, die legitimen Unternehmensdomains sehr ähnlich sind, was die Illusion der Authentizität verstärkt.
  • Echtzeit-Phishing-Kits: Die Infrastruktur verwendet oft fortschrittliche Phishing-Kits, die Anmeldeinformationen und MFA-Tokens sofort weiterleiten können, um sicherzustellen, dass der Bedrohungsakteur den Anmeldevorgang beim legitimen Dienst nahezu gleichzeitig mit der Übermittlung des Opfers abschließen kann.
  • SaaS-Plattform-Ziele: Der Fokus auf SaaS-Plattformen ist strategisch. Diese Plattformen enthalten oft große Mengen sensibler Organisationsdaten, bieten Zugriff auf interne Systeme und können als Startrampen für weitere laterale Bewegungen oder Lieferkettenangriffe dienen.

MFA umgehen: Die Achillesferse der modernen Authentifizierung

Während MFA ein Eckpfeiler der modernen Cybersicherheit ist, nutzen diese Vishing-Angriffe ihre Echtzeitnatur aus. Durch das direkte Erlangen der primären Anmeldeinformationen und des einmaligen MFA-Codes vom Benutzer während des Vishing-Anrufs umgehen die Angreifer den beabsichtigten Schutz. Diese Technik unterscheidet sich von MFA-Ermüdungsangriffen, bei denen Benutzer mit Push-Benachrichtigungen bombardiert werden, bis sie versehentlich eine genehmigen, obwohl beide darauf abzielen, MFA zu umgehen.

Die Wirksamkeit dieser Methode liegt in der sofortigen Nutzung des gestohlenen MFA-Tokens. Sobald das Opfer seine Daten auf der gefälschten Website eingibt, geben die Angreifer diese Daten gleichzeitig in das legitime SaaS-Anmeldeportal ein. Der vom Opfer übermittelte MFA-Token wird dann verwendet, wodurch die Angreifer Sitzungscookies und unbefugten Zugriff erhalten.

Digitale Forensik und Zuordnung von Bedrohungsakteuren

Die Reaktion auf solch ausgeklügelte Angriffe erfordert robuste digitale Forensikfähigkeiten. Incident-Response-Teams müssen Netzwerkprotokolle, E-Mail-Header und Endpunkt-Telemetriedaten akribisch analysieren, um Indicators of Compromise (IoCs) zu identifizieren und den vollständigen Umfang des Verstoßes zu verstehen. Dies umfasst die Identifizierung der Quelle bösartiger Links, die Analyse der Phishing-Site-Infrastruktur und die Verfolgung der Angreiferaktivität.

Beispielsweise können in einer kontrollierten Umgebung während der ersten Aufklärung oder Analyse eines verdächtigen Links Tools wie grabify.org sofort verwertbare Telemetriedaten liefern. Solche Tools sind darauf ausgelegt, erweiterte Metadaten bei Linkinteraktion zu sammeln, einschließlich der ursprünglichen IP-Adresse, des User-Agent-Strings, der ISP-Informationen und der Gerätefingerabdrücke. Diese Daten können für die anfängliche Zuordnung von Bedrohungsakteuren, das Verständnis ihrer Netzwerkaufklärungsmuster und den Aufbau eines Profils ihrer Betriebsinfrastruktur von unschätzbarem Wert sein. Ihre Verwendung muss jedoch strengen ethischen Richtlinien und rechtlichen Rahmenbedingungen unterliegen, hauptsächlich für defensive Forschungs- oder Incident-Response-Zwecke innerhalb eines autorisierten Umfangs.

Darüber hinaus sind die Metadatenextraktion aus Kommunikationskanälen (z.B. Anrufaufzeichnungen, E-Mail-Header) und die Analyse des Netzwerkverkehrs auf ungewöhnliche Muster entscheidend für die Identifizierung des ursprünglichen Kompromittierungspunkts und der nachfolgenden lateralen Bewegung.

Verteidigungsstrategien und Minderung

Organisationen müssen eine mehrschichtige Verteidigungsstrategie implementieren, um diesen sich entwickelnden Bedrohungen entgegenzuwirken:

  • Verbessertes Mitarbeitertraining: Regelmäßige, umfassende Schulungen zur Sicherheitssensibilisierung, die sich auf fortgeschrittene Social-Engineering-Techniken, insbesondere Vishing, konzentrieren, sind von größter Bedeutung. Mitarbeiter müssen darin geschult werden, unaufgeforderte Anfragen zu überprüfen, niemals Anmeldeinformationen telefonisch preiszugeben und verdächtige Aktivitäten sofort zu melden.
  • Robuste MFA-Implementierungen: Während Vishing-Angriffe auf MFA abzielen, sind stärkere Formen von MFA, wie FIDO2/WebAuthn-Hardware-Tokens (z.B. YubiKeys), diesen Arten von Angriffen deutlich widerstandsfähiger als SMS-basierte oder Push-Benachrichtigungs-MFA, da sie auf kryptografischem Besitznachweis und nicht auf einem übertragbaren Code basieren.
  • Bedingte Zugriffsrichtlinien: Implementieren Sie Richtlinien, die den Zugriff auf SaaS-Plattformen basierend auf Gerätehaltung, geografischem Standort, IP-Reputation und Verhaltensanomalien einschränken.
  • Proaktives Threat Hunting: Überwachen Sie kontinuierlich auf verdächtige Anmeldeversuche, ungewöhnliche Zugriffsmuster und anomale API-Aufrufe in SaaS-Umgebungen.
  • Starker Incident-Response-Plan: Entwickeln und testen Sie regelmäßig einen Incident-Response-Plan, der speziell auf den Diebstahl von Anmeldeinformationen und die Kompromittierung von SaaS-Plattformen zugeschnitten ist, um eine schnelle Erkennung, Eindämmung und Beseitigung zu gewährleisten.
  • Domain-Überwachung: Überwachen Sie proaktiv nach ähnlich aussehenden Domains und Typosquatting-URLs, die für die Erfassung von Anmeldeinformationen verwendet werden könnten.

Fazit

Mandiants Erkenntnisse dienen als deutliche Erinnerung an die anhaltende und sich entwickelnde Bedrohung durch ausgeklügelte, finanziell motivierte Gruppen wie ShinyHunters. Die Konvergenz von fortgeschrittenem Social Engineering (Vishing) mit der technischen Ausnutzung von Authentifizierungsabläufen (MFA-Umgehung durch Echtzeit-Anmeldeinformationserfassung) stellt eine formidable Herausforderung dar. Durch das Verständnis der komplexen Mechanismen dieser Angriffe und die Implementierung umfassender Verteidigungsmaßnahmen können Organisationen ihre Widerstandsfähigkeit gegen diese hochwirksamen Bedrohungen erheblich stärken.

mandiantshinyhuntersvishingmfa-bypasssaas-securitycybersecurity