SecBoard
Zurück zur Übersicht
ManagerRed-TeamerIT/SaaS

Russia Hacked Routers to Steal Microsoft Office Tokens

KrebsOnSecurity·
Originalartikel lesen bei KrebsOnSecurity

Russische Hacker verbunden mit der militärischen Geheimdienstorganisation GRU nutzen bekannte Schwachstellen in älteren Internet-Routern, um Microsoft Office-Authentifizierungstoken zu stehlen. Die Aktion betroffene Organisationen und mehr als 18.000 Netzwerke, hauptsächlich kleinere Unternehmen und Privathaushalte mit veralteten Routern. Benutzer sollten ihre Router auf dem neuesten Sicherheitsstand halten und regelmäßige Updates durchführen, um solche Angriffe zu verhindern.

Kurzfassung

Der Artikel berichtet, dass russische Hacker mit Verbindung zur GRU bekannte Schwachstellen in älteren Internet-Routern nutzten, um Microsoft-Office-Authentifizierungstoken zu stehlen. Betroffen waren Organisationen und mehr als 18.000 Netzwerke, hauptsächlich kleinere Unternehmen und Privathaushalte mit veralteten Routern. Empfohlen werden aktuelle Router-Sicherheitsstände und regelmäßige Updates.

Relevanz für Manager / CISOs
Priorität:Hoch
Betroffene

Organisationen und mehr als 18.000 Netzwerke, hauptsächlich kleinere Unternehmen und Privathaushalte mit veralteten Routern

Warum relevant

Gestohlene Microsoft-Office-Authentifizierungstoken können Zugang zu Cloud- oder Office-Diensten ermöglichen.

Realistisches Worst Case

Angreifer kompromittieren veraltete Router und stehlen Microsoft-Office-Authentifizierungstoken aus betroffenen Netzwerken.

Handlungsempfehlung

Router-Firmware aktualisieren, veraltete Router ersetzen und Microsoft-Office-Sitzungen sowie Token-Nutzung prüfen.

Defensive Validierung / Purple-Team Checks
  • Router-Inventar auf veraltete Modelle und fehlende Firmware-Updates prüfen.
  • Microsoft-Office-Authentifizierungsereignisse auf ungewöhnliche Token-Nutzung oder Sitzungen prüfen.
  • Netzwerkgeräte-Logs auf Ausnutzung bekannter Router-Schwachstellen und ungewöhnlichen ausgehenden Verkehr prüfen.
MITRE ATT&CK Zuordnung
TaktikTechnikKonfidenzBeleg
Credential AccessT1528 Steal Application Access TokenHighDer Artikel nennt den Diebstahl von Microsoft-Office-Authentifizierungstoken.
Initial AccessT1190 Exploit Public-Facing ApplicationLowDer Artikel nennt die Nutzung bekannter Schwachstellen in älteren Internet-Routern.
Offene Punkte
  • Konkrete Router-Modelle nicht im Artikel angegeben.
  • Konkrete CVEs nicht im Artikel angegeben.
  • IOCs nicht im Artikel angegeben.
  • Betroffene Länder nicht im Artikel angegeben.

MITRE ATT&CK Kill Chain (16 Techniken)

Reconnaissance
T1589.001

Credentials

T1590.005

IP Addresses

T1592.002

Software

Resource Development
T1583.001

Domains

T1583.002

DNS Server

T1583.003

Virtual Private Server

T1583.004

Server

T1584.001

Domains

T1584.002

DNS Server

T1584.003

Virtual Private Server

T1584.004

Server

T1587.001

Malware

T1588.001

Malware

T1588.006

Vulnerabilities

Persistence
T1556.006

Multi-Factor Authentication

Credential Access
T1557

Adversary-in-the-Middle

Themen
A Little SunshineInternet of Things (IoT)Latest WarningsNe'er-Do-Well NewsThe Coming StormAPT 28Black Lotus LabsDanny AdamitisFancy BearForest Blizzard
Vollständigen Artikel lesen bei KrebsOnSecurity

Verwandte Artikel

Webinar: Fixing the gaps in network incident response

BleepingComputer·vor etwa 1 Stunde

Microsoft Patches 137 Vulnerabilities

SecurityWeek·vor etwa 3 Stunden

Exaforce Raises $125 Million for Agentic SOC Platform

SecurityWeek·vor etwa 4 Stunden

Škoda warns of customer data breach after online shop hack

BleepingComputer·vor etwa 4 Stunden

Adobe Patches 52 Vulnerabilities in 10 Products

SecurityWeek·vor etwa 4 Stunden