{"id":55716,"date":"2025-02-05T10:04:57","date_gmt":"2025-02-05T09:04:57","guid":{"rendered":"https:\/\/www.secuinfra.com\/?p=55716"},"modified":"2025-03-24T15:41:11","modified_gmt":"2025-03-24T14:41:11","slug":"cyberangriff-durch-vermeintlichen-it-support-ueber-ms-teams-ein-erfahrungsbericht","status":"publish","type":"post","link":"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyberangriff-durch-vermeintlichen-it-support-ueber-ms-teams-ein-erfahrungsbericht\/","title":{"rendered":"Cyberangriff durch vermeintlichen IT-Support \u00fcber MS Teams: Ein Erfahrungsbericht"},"content":{"rendered":"<div id=\"ez-toc-container\" class=\"ez-toc-v2_0_83 counter-flat ez-toc-counter ez-toc-white ez-toc-container-direction\">\n<div class=\"ez-toc-title-container\">\n<p class=\"ez-toc-title\" style=\"cursor:inherit\">[inhalt_uebersetzt]<\/p>\n<span class=\"ez-toc-title-toggle\"><\/span><\/div>\n<nav><ul class='ez-toc-list ez-toc-list-level-1 ' ><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-1\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyberangriff-durch-vermeintlichen-it-support-ueber-ms-teams-ein-erfahrungsbericht\/#Wie_alles_begann_Die_Spam-Welle\" >Wie alles begann: Die Spam-Welle<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-2\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyberangriff-durch-vermeintlichen-it-support-ueber-ms-teams-ein-erfahrungsbericht\/#Der_%E2%80%9Evermeintliche%E2%80%9C_Retter_Kontakt_ueber_MS_Teams\" >Der \u201evermeintliche\u201c Retter: Kontakt \u00fcber MS Teams<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-3\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyberangriff-durch-vermeintlichen-it-support-ueber-ms-teams-ein-erfahrungsbericht\/#%E2%80%9EBitte_laden_Sie_AnyDesk_herunter%E2%80%9C\" >\u201eBitte laden Sie AnyDesk herunter\u201c<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-4\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyberangriff-durch-vermeintlichen-it-support-ueber-ms-teams-ein-erfahrungsbericht\/#Die_Remote-Session_15_Stunden_im_Visier\" >Die Remote-Session: 1,5 Stunden im Visier<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-5\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyberangriff-durch-vermeintlichen-it-support-ueber-ms-teams-ein-erfahrungsbericht\/#Unprofessionalitaet_des_Angreifers\" >Unprofessionalit\u00e4t des Angreifers<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-6\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyberangriff-durch-vermeintlichen-it-support-ueber-ms-teams-ein-erfahrungsbericht\/#Der_Wendepunkt_Der_echte_IT-Support_meldet_sich\" >Der Wendepunkt: Der echte IT-Support meldet sich<\/a><\/li><li class='ez-toc-page-1'><a class=\"ez-toc-link ez-toc-heading-7\" href=\"https:\/\/testing.secuinfra.com\/de\/techtalk\/cyberangriff-durch-vermeintlichen-it-support-ueber-ms-teams-ein-erfahrungsbericht\/#Lektionen_aus_dem_Vorfall\" >Lektionen aus dem Vorfall<\/a><\/li><\/ul><\/nav><\/div>\n\n<p class=\"wp-block-paragraph\">Manchmal liest man \u00fcber <strong>Cyberangriffe<\/strong> und denkt, so etwas k\u00f6nne einem selbst nicht passieren \u2013 bis es dann doch geschieht. Genau so ein Fall spielte sich k\u00fcrzlich ab. Der Angriff zeigt eindringlich, wie <strong>Social Engineering<\/strong> funktioniert und wie selbst ein eher unerfahrener Angreifer erheblichen Schaden anrichten k\u00f6nnte.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Wie_alles_begann_Die_Spam-Welle\"><\/span>Wie alles begann: Die Spam-Welle<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Es fing alles damit an, dass ein Mitarbeiter von einer Flut an Spam-Mails \u00fcbersch\u00fcttet wurde. Produktives Arbeiten war schlicht unm\u00f6glich. R\u00fcckblickend war das wohl der erste Schachzug des Angreifers. Die \u00dcberlastung der Mails sollten vermutlich das \u201eperfekte\u201c Szenario schaffen, um den n\u00e4chsten Schritt vorzubereiten: <strong>die Kontaktaufnahme<\/strong>.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Der_%E2%80%9Evermeintliche%E2%80%9C_Retter_Kontakt_ueber_MS_Teams\"><\/span>Der \u201evermeintliche\u201c Retter: Kontakt \u00fcber MS Teams<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">W\u00e4hrend der Mitarbeiter noch versuchte, das Chaos in seinem Postfach zu bew\u00e4ltigen, meldete sich pl\u00f6tzlich jemand \u00fcber <strong>MS Teams<\/strong>. Der Kontakt wirkte auf den ersten Blick v\u00f6llig legitim \u2013 schlie\u00dflich stellte sich die Person als IT-Support vor. Die Frage, ob die Probleme mit den Mails immer noch best\u00fcnden, traf genau den Nerv des gestressten Mitarbeiters. Der Mitarbeiter folgte den Anweisungen des vermeintlichen Helfers.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"%E2%80%9EBitte_laden_Sie_AnyDesk_herunter%E2%80%9C\"><\/span>\u201eBitte laden Sie AnyDesk herunter\u201c<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Hier kam der n\u00e4chste Schritt: Der Angreifer forderte den Mitarbeiter auf, die <strong>Fernwartungssoftware AnyDesk<\/strong> herunterzuladen. Auf den ersten Blick nichts Ungew\u00f6hnliches, oder? Doch genau hier schlug die Falle zu. Mit den besten Absichten gew\u00e4hrte der Mitarbeiter Zugriff, und der Angreifer war kurze Zeit sp\u00e4ter mitten in einer Remote-Session.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Die_Remote-Session_15_Stunden_im_Visier\"><\/span>Die Remote-Session: 1,5 Stunden im Visier<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Die Remote-Session dauerte etwa 1,5 Stunden. In dieser Zeit f\u00fchrte der Angreifer mehrere Aktivit\u00e4ten durch:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Der Mitarbeiter wurde aufgefordert, sein <strong>M365-Passwort<\/strong> preiszugeben, was er leider tat.<\/li>\n\n\n\n<li>Ein paar Dokumente wurden offenbar ausgeleitet, wie sp\u00e4tere Analysen der AnyDesk-Logs zeigten. Gl\u00fccklicherweise handelte es sich um unkritische Dokumente.<\/li>\n\n\n\n<li>Der Angreifer f\u00fchrte diverse Befehle aus, um Systeminformationen zu sammeln und Schwachstellen zu identifizieren.<\/li>\n<\/ul>\n\n\n\n<p class=\"wp-block-paragraph\">Die Befehle zeigten einen Versuch, Netzwerkinformationen, Registrierungsdetails und m\u00f6glicherweise sensible Konfigurationen auszulesen.<\/p>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<div class=\"wp-block-cb-carousel cb-single-slide\" data-slick=\"{&quot;slidesToShow&quot;:1,&quot;slidesToScroll&quot;:1,&quot;speed&quot;:300,&quot;arrows&quot;:true,&quot;dots&quot;:true,&quot;autoplay&quot;:false,&quot;autoplaySpeed&quot;:3000,&quot;infinite&quot;:true,&quot;responsive&quot;:[{&quot;breakpoint&quot;:769,&quot;settings&quot;:{&quot;slidesToShow&quot;:1,&quot;slidesToScroll&quot;:1}}]}\">\n<div class=\"wp-block-cb-slide\">\n<figure class=\"wp-block-image aligncenter size-full\"><img fetchpriority=\"high\" decoding=\"async\" width=\"844\" height=\"466\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Sammeln-von-Netzwerkinformationen1-2.png\" alt=\"\" class=\"wp-image-56000\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Sammeln-von-Netzwerkinformationen1-2.png 844w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Sammeln-von-Netzwerkinformationen1-2-800x442.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/Sammeln-von-Netzwerkinformationen1-2-768x424.png 768w\" sizes=\"(max-width: 844px) 100vw, 844px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Sammeln von Netzwerkinformationen<br><\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-cb-slide\">\n<figure class=\"wp-block-image aligncenter size-full\"><img decoding=\"async\" width=\"844\" height=\"466\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/2-Ueberpruefung-von-Registry-Eintraegen-von-VPN-Tunnels1-1.png\" alt=\"\" class=\"wp-image-56002\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/2-Ueberpruefung-von-Registry-Eintraegen-von-VPN-Tunnels1-1.png 844w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/2-Ueberpruefung-von-Registry-Eintraegen-von-VPN-Tunnels1-1-800x442.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/2-Ueberpruefung-von-Registry-Eintraegen-von-VPN-Tunnels1-1-768x424.png 768w\" sizes=\"(max-width: 844px) 100vw, 844px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">\u00dcberpr\u00fcfung von Registry Eintr\u00e4gen von VPN Tunnels<br><\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-cb-slide\">\n<figure class=\"wp-block-image size-full\"><img decoding=\"async\" width=\"844\" height=\"466\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/3-Ueberpruefung-von-Registry-Eintraegen-ohne-das-Anzeigen-von-Fehlermeldungen1-1.png\" alt=\"\" class=\"wp-image-56004\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/3-Ueberpruefung-von-Registry-Eintraegen-ohne-das-Anzeigen-von-Fehlermeldungen1-1.png 844w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/3-Ueberpruefung-von-Registry-Eintraegen-ohne-das-Anzeigen-von-Fehlermeldungen1-1-800x442.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/3-Ueberpruefung-von-Registry-Eintraegen-ohne-das-Anzeigen-von-Fehlermeldungen1-1-768x424.png 768w\" sizes=\"(max-width: 844px) 100vw, 844px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">\u00dcberpr\u00fcfung von Registry Eintr\u00e4gen ohne das Anzeigen von Fehlermeldungen<br><\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-cb-slide\">\n<figure class=\"wp-block-image aligncenter size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"844\" height=\"466\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/4-Ueberpruefungen-VPN-Verbindungen1-1.png\" alt=\"\" class=\"wp-image-56006\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/4-Ueberpruefungen-VPN-Verbindungen1-1.png 844w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/4-Ueberpruefungen-VPN-Verbindungen1-1-800x442.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/4-Ueberpruefungen-VPN-Verbindungen1-1-768x424.png 768w\" sizes=\"(max-width: 844px) 100vw, 844px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">\u00dcberpr\u00fcfung von laufenden VPN Verbindungen mit fehlerhaften Befehlen<br><\/p>\n<\/div>\n\n\n\n<div class=\"wp-block-cb-slide\">\n<figure class=\"wp-block-image size-full\"><img loading=\"lazy\" decoding=\"async\" width=\"844\" height=\"466\" src=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/5-Installationsbefehl-von-level.io-Remote-Monitoring-Management-Software1-2.png\" alt=\"\" class=\"wp-image-56008\" srcset=\"https:\/\/testing.secuinfra.com\/wp-content\/uploads\/5-Installationsbefehl-von-level.io-Remote-Monitoring-Management-Software1-2.png 844w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/5-Installationsbefehl-von-level.io-Remote-Monitoring-Management-Software1-2-800x442.png 800w, https:\/\/testing.secuinfra.com\/wp-content\/uploads\/5-Installationsbefehl-von-level.io-Remote-Monitoring-Management-Software1-2-768x424.png 768w\" sizes=\"(max-width: 844px) 100vw, 844px\" \/><\/figure>\n\n\n\n<p class=\"wp-block-paragraph\">Installationsbefehl von level.io (Remote Monitoring &amp; Management Software)<\/p>\n<\/div>\n<\/div>\n\n\n\n<div style=\"height:20px\" aria-hidden=\"true\" class=\"wp-block-spacer\"><\/div>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Unprofessionalitaet_des_Angreifers\"><\/span>Unprofessionalit\u00e4t des Angreifers<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Trotz der erfolgreichen Remote-Session zeigte sich der Angreifer als wenig professionell:<\/p>\n\n\n\n<ul class=\"wp-block-list\">\n<li>Mehrere PowerShell-Befehle schlugen fehl, und einige waren schlicht falsch formuliert.<\/li>\n\n\n\n<li>Die Vorgehensweise deutete darauf hin, dass der Angreifer wohl ein <strong>Playbook<\/strong> oder Skript verwendete, das er blind kopierte und einf\u00fcgte. Die Anpassung an die spezifische Umgebung fehlte komplett.<\/li>\n\n\n\n<li>Das gleiche Angriffsmuster wurde in der Vergangenheit Angreifern zugeschrieben, welche die BlackBasta <strong>Ransomware-as-a-Service<\/strong> verwendeten. Inwiefern es sich es sich um einen Nachahmer oder einen Affiliate dieser Ransomware handelte, konnte nicht belegt werden. Weiterf\u00fchrende Informationen dazu finden Sie <a  href=\"https:\/\/www.itpro.com\/security\/cyber-crime\/hackers-have-been-posing-as-it-support-on-microsoft-teams\"  target=\"_blank\" rel=\"noreferrer noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >hier<\/a> und <a  href=\"https:\/\/www.forbes.com\/sites\/larsdaniel\/2024\/10\/30\/hackers-posing-as-it-support-on-teams-new-ransomware-scam-targeting-your-workplace\/\"  target=\"_blank\" rel=\"noreferrer noopener\" dpc-external=\"true\"  target=\"_blank\"  rel=\"nofollow\" >hier<\/a>.<\/li>\n<\/ul>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Der_Wendepunkt_Der_echte_IT-Support_meldet_sich\"><\/span>Der Wendepunkt: Der echte IT-Support meldet sich<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<p class=\"wp-block-paragraph\">Nach 1,5 Stunden in der Remote-Session rief dann endlich der echte IT-Support der Firma an. Dies war der Moment, in dem der Mitarbeiter merkte, dass etwas nicht stimmte, und die Remote-Session unterbrach. Gl\u00fccklicherweise war es dem unprofessionellen Vorgehen des Angreifers geschuldet, dass kein ernsthafter Schaden entstand. Der Rechner wurde isoliert, und alle Passw\u00f6rter wurden zur\u00fcckgesetzt.<\/p>\n\n\n\n<h2 class=\"wp-block-heading\"><span class=\"ez-toc-section\" id=\"Lektionen_aus_dem_Vorfall\"><\/span>Lektionen aus dem Vorfall<span class=\"ez-toc-section-end\"><\/span><\/h2>\n\n\n\n<ol start=\"1\" class=\"wp-block-list\">\n<li><strong>Security Awareness Schulungen sind unverzichtbar:<\/strong><br>Der Angriff h\u00e4tte wom\u00f6glich verhindert werden k\u00f6nnen, wenn die Mitarbeitenden besser geschult gewesen w\u00e4ren. Insbesondere die Aufforderung zur Installation von Software sollte stets skeptisch hinterfragt werden.<\/li>\n\n\n\n<li><strong>Restriktionen f\u00fcr Remote-Tools:<\/strong><br>Software wie AnyDesk sollte nicht einfach heruntergeladen und installiert werden k\u00f6nnen. Die versuchte Ausf\u00fchrung sollte blockiert und alarmiert werden. Ein Whitelisting f\u00fcr zul\u00e4ssige Programme sowie die Vorinstallation ben\u00f6tigter Software k\u00f6nnten \u00e4hnliche Vorf\u00e4lle in Zukunft verhindern.<\/li>\n\n\n\n<li><strong>Technische Schutzma\u00dfnahmen:<\/strong>\n<ul class=\"wp-block-list\">\n<li>Die Zusammenarbeit in Plattformen wie Microsoft Teams mit Externen Leuten sollte auf bekannte und vertrauensw\u00fcrdige Organisationen beschr\u00e4nkt werden.<\/li>\n\n\n\n<li>PowerShell-Aktivit\u00e4ten sollten \u00fcberwacht und restriktive Richtlinien f\u00fcr Skript-Ausf\u00fchrungen implementiert werden. F\u00fcr weitere Informationen lesen Sie auch unseren vollst\u00e4ndigen Artikel zum Thema <a href=\"https:\/\/testing.secuinfra.com\/techtalk\/was-ist-forensic-readiness\/\" target=\"_blank\" rel=\"noreferrer noopener\">Forensic Readiness<\/a>.<\/li>\n<\/ul>\n<\/li>\n<\/ol>\n\n\n\n<p class=\"wp-block-paragraph\">Dieser Vorfall mag glimpflich ausgegangen sein, aber er zeigt deutlich, wie wichtig es ist, sowohl auf technischer als auch auf menschlicher Ebene vorbereitet zu sein. Social Engineering ist oft der effektivste Weg f\u00fcr Angreifer, ihre Ziele zu erreichen \u2013 das d\u00fcrfen wir nie vergessen.<\/p>\n","protected":false},"excerpt":{"rendered":"<p>Manchmal liest man \u00fcber Cyberangriffe und denkt, so etwas k\u00f6nne einem selbst nicht passieren \u2013 bis es dann doch geschieht. Genau so ein Fall spielte sich k\u00fcrzlich ab. Der Angriff zeigt eindringlich, wie Social Engineering funktioniert und wie selbst ein eher unerfahrener Angreifer erheblichen Schaden anrichten k\u00f6nnte.<\/p>\n","protected":false},"author":25,"featured_media":55724,"comment_status":"closed","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"_acf_changed":false,"footnotes":""},"categories":[302,66],"tags":[9],"dpc_coauthors":[],"class_list":["post-55716","post","type-post","status-publish","format-standard","has-post-thumbnail","hentry","category-it-sicherheitsbedrohungen","category-techtalk","tag-it-security"],"acf":[],"_links":{"self":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/55716","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/users\/25"}],"replies":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/comments?post=55716"}],"version-history":[{"count":0,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/posts\/55716\/revisions"}],"wp:featuredmedia":[{"embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media\/55724"}],"wp:attachment":[{"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/media?parent=55716"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/categories?post=55716"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/tags?post=55716"},{"taxonomy":"dpc_coauthors","embeddable":true,"href":"https:\/\/testing.secuinfra.com\/de\/wp-json\/wp\/v2\/dpc_coauthors?post=55716"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}