Microsoft Details Phishing Campaign Targeting 35,000 Users Across 26 Countries
Microsoft has disclosed details of a large-scale credential theft campaign that has leveraged a combination of code of conduct-themed lures and legitimate email services to direct users to attacker-controlled domains and steal authentication tokens. The multi-stage campaign, observed between April...
Microsoft beschreibt eine groß angelegte Credential-Diebstahlkampagne gegen 35.000 Nutzer in 26 Ländern. Die Kampagne nutzte Code-of-Conduct-Köder und legitime E-Mail-Dienste, um Nutzer auf angreiferkontrollierte Domains zu leiten und Authentifizierungstoken zu stehlen. Der Beobachtungszeitraum begann laut Artikel im April, weitere Details sind abgeschnitten.
35.000 Nutzer in 26 Ländern.
Der Diebstahl von Authentifizierungstoken kann Konten kompromittieren, auch wenn Passwörter oder MFA nicht direkt abgefragt werden.
Kompromittierte Tokens könnten Angreifern Zugriff auf betroffene Nutzerkonten ermöglichen.
Nach verdächtigen Anmeldungen, Token-Missbrauch und Zugriffen auf unbekannte Domains suchen; Token widerrufen und Nutzer zu Code-of-Conduct-Ködern sensibilisieren.
- ▸Prüfen, ob E-Mail-Sicherheitskontrollen Links zu neu erstellten oder angreiferkontrollierten Domains blockieren.
- ▸Anmelde- und OAuth-/Token-Telemetrie auf ungewöhnliche Sitzungen, neue Geräte und geografische Abweichungen prüfen.
- ▸Benutzermeldungen und Awareness-Simulationen für Code-of-Conduct- oder Richtlinien-Köder auswerten.
| Taktik | Technik | Konfidenz | Beleg |
|---|---|---|---|
| Initial Access | T1566 Phishing | High | Der Artikel nennt Code-of-Conduct-Köder und legitime E-Mail-Dienste. |
| Credential Access | T1528 Steal Application Access Token | High | Der Artikel sagt, dass Authentifizierungstoken gestohlen wurden. |
- Die betroffenen Länder sind nicht im Artikel angegeben.
- Die konkreten E-Mail-Dienste sind nicht im Artikel angegeben.
- IOCs, Domains und betroffene Plattformen sind nicht im Artikel angegeben.