Thought Leadership
Ein Phishing-Vorfall, ein kompromittiertes Postfach – und plötzlich zwei völlig unabhängige Angreifer mit unterschiedlichen Zielen. Was nach einem Ausnahmefall klingt, könnte ein wachsender Trend sein: Multi-Actor Intrusion-Angriffe.
Zwei Angreifer, eine Umgebung, verschiedene Absichten
Vor Kurzem untersuchte Eye Security einen vermeintlich routinemäßigen Phishing-Vorfall. Ein Blick in die Logs offenbarte jedoch ein überraschendes Muster: Der erste Angreifer verschaffte sich über einen Adversary-in-the-Middle-Angriff (AiTM) Zugang. Seine erste Handlung: Einrichtung von Inbox-Regeln, um Phishing-Mails an Hunderte von Kontakten zu versenden.
Doch damit nicht genug. Wenige Tage später tauchte ein zweiter Angreifer mit anderer Infrastruktur und anderer Vorgehensweise in derselben Umgebung auf. Statt auf Verbreitung zu setzen, las er E-Mails und griff auf interne Dokumente zu.
Zwei Eindringlinge mit unterschiedlichen Zielen: einer will streuen, der andere sammeln.
Warum Multi-Actor Intrusion besonders gefährlich ist
Die größte Gefahr liegt im Nebeneinander der Aktivitäten. Während ein Angreifer laut agiert (Massenversand von Phishing-Mails), bleibt der andere leise (Datenexfiltration). Sicherheitsteams laufen Gefahr, nur den lauten Angriff zu sehen, und den stillen, oft gefährlicheren, zu übersehen.
Hinzu kommt: Ein initialer Zugang kann mehrfach verkauft oder weitergegeben werden. Initial Access Broker spezialisieren sich darauf, Zugänge zu beschaffen und an verschiedene Akteure mit komplett unterschiedlichen Motiven zu veräußern.
Was können Unternehmen tun?
1. Logging auf „Maximum“ stellen
Ohne detaillierte Logs bleiben Multi-Actor-Angriffe unsichtbar. Besonders Exchange- und Entra-ID-Logs (ehemals Azure AD) müssen ausreichend lange und tiefgehend gespeichert werden.
2. Zeitliche Muster erkennen
Ein einzelner kompromittierter Account kann über Wochen von verschiedenen IPs und mit unterschiedlichen User-Agents genutzt werden. Regelmäßige Überprüfungen von Anmeldeaktivitäten außerhalb der üblichen Zeiten sind essenziell.
3. Inbox-Regeln überwachen
Regeln, die E-Mails automatisch verschieben, löschen oder weiterleiten, sind ein klassisches Indiz für böswillige Aktivitäten. Automatisierte Alarme auf neue, verdächtige Regeln helfen frühzeitig.
4. Keine Tunnelperspektive auf den ersten Angreifer
Sobald ein Kompromiss festgestellt wird, sollte die Untersuchung nicht beim ersten gefundenen Akteur enden. Die Frage muss lauten: Gibt es Anzeichen für weitere unabhängige Aktivitäten?
5. Multi-Faktor-Authentifizierung (MFA) richtig einsetzen
AiTM-Angriffe können selbst MFA-Sitzungen abfangen. Hier helfen Phishing-resistente Methoden wie FIDO2-Sicherheitsschlüssel oder zertifikatsbasierte Authentifizierung.
Fazit: Vom Einzeltäter zum organisierten Nebeneinander
Multi-Actor Intrusions stellen traditionelle Incident-Response-Prozesse infrage. Das alte Denkmuster „Ein Vorfall , ein Angreifer“ ist gefährlich naiv. Sicherheitsteams müssen lernen, parallele Spuren zu erkennen, zu trennen und gegen unterschiedliche Ziele zu verteidigen.
Eye Security nimmt Interessierte am 21. April Schritt für Schritt durch diesen konkreten Fall mit: Wie der Zugriff zustande kam, wie er aufrechterhalten wurde und welche Signale übersehen wurden.
Mehr Infos: Webinar „Multi-Actor Intrusion in Business Email Compromise“ (Englisch)
