Laptop mit Microsoft Exchange Logo
Laptop mit Microsoft Exchange Logo
Bildquelle: monticello, Lizenz

Microsoft Exchange Server wird zur Phishing-E-Mail-Schleuder

Über Microsofts Exchange Server verschickte ein Angreifer zahlreiche Phishing-E-Mails, um Kreditkartendaten seiner Opfer zu erbeuten.

Ein Hacker missbrauchte zahlreiche Microsoft Exchange Server, um darüber Phishing-E-Mails zu versenden, die ihre Opfer im Rahmen eines betrügerischen Gewinnspiels dazu bringen sollten, ihre Kreditkartendaten zu hinterlegen. Der Angreifer ging dabei sehr behutsam vor und schien bereits erfahren im Umgang mit Spam-E-Mail-Kampagnen zu sein.

Vermeintliches Gewinnspiel sollte Kreditkartendaten einsammeln

Laut einem Bericht des Microsoft 365 Defender Research Teams hat sich ein Hacker durch Credential-Stuffing-Angriffe über bösartige OAuth-Anwendungen Zugang zu Exchange Servern verschafft, um darüber Phishing-E-Mails zu versenden. Der Angreifer nahm Administratorkonten ins Visier, die nicht durch eine Multi-Faktor-Authentifizierung (MFA) geschützt waren. Dadurch verschaffte er sich einen ersten Zugang.

Der nicht autorisierte Zugriff auf den Cloud-Mieter ermöglichte es dem Akteur, eine bösartige OAuth-Anwendung zu erstellen, die einen bösartigen Inbound-Connector in den E-Mail-Server einfügte„, heißt es in dem Bericht von Microsoft.

Diesen Inbound-Connector nutzte der Cyberkriminelle anschließend, „um Spam-E-Mails zu versenden, die so aussahen, als stammten sie von der Domäne der Zielpersonen.“ Die E-Mails sollten ihre Empfänger schließlich dazu verleiten, sich im Rahmen eines vermeintlichen Gewinnspiels für ein kostenpflichtiges Abonnement zu registrieren und Kreditkartendaten zu hinterlegen.

Um die Abwehr zu umgehen und unentdeckt zu bleiben, löschte der Angreifer den Inbound-Connector und sämtliche Transportregeln zwischen den Spam-Kampagnen. Die OAuth-Anwendung hingegen blieb bestehen. Sie kam für die nächste Angriffswelle erneut zum Einsatz, um Konnektoren und Regeln auf dem Microsoft Exchange Server wiederholt hinzuzufügen.

Microsoft-Forscher sprechen dem Angreifer jahrelange Spam-Erfahrung zu

Damit der Hacker eine größere Reichweite erzielen konnte, nutzte er eine nicht von Microsoft stammende Cloud-basierte Infrastruktur für ausgehende E-Mails. Hauptsächlich kamen die Dienste Amazon SES und Mail Chimp zum Einsatz. Diese Plattformen werden häufig für Marketing-Zwecke verwendet und erlauben daher mitunter den Versand von Massen-E-Mails.

Der Akteur, der hinter diesem Angriff steht, führt seit vielen Jahren aktiv Spam-E-Mail-Kampagnen durch„, betonten die Microsoft-Forscher in ihrem Bericht. Innerhalb kurzer Zeit soll der Angreifer große Mengen an Spam-E-Mails mit anderen Methoden versendet haben. Beispielsweise indem er sich von betrügerischen IP-Adressen aus mit Mail-Servern verbunden hat oder direkt durch eine legitime Cloud-basierte Infrastruktur für den Massen-E-Mail-Versand.

Wie das Team mitteilt, habe Microsoft bereits alle zugehörigen Anwendungen vom Netz genommen. Betroffene Kunden habe man außerdem benachrichtigt, sodass diese entsprechende Maßnahmen einleiten können.

Über

Marc Stöckel hat nach seiner Ausbildung zum IT-Systemelektroniker und einem Studium im Bereich der technischen Informatik rund 5 Jahre als Softwareentwickler gearbeitet. Um seine technische Expertise sowie seine Sprachfertigkeiten weiter auszubauen, schreibt er seit dem Sommer 2022 regelmäßig Artikel zu den Themenbereichen Software, IT-Sicherheit, Datenschutz, Cyberkriminalität und Kryptowährungen.