Security

Erkennung eingeschleuster IT-Mitarbeiter mit Defender

3 Min. Lesezeit

Zusammenfassung

Microsoft hat Strategien zur Erkennung beschrieben, mit denen sich Bedrohungsakteure mit Verbindungen zu Nordkorea identifizieren lassen, die sich als Remote-IT-Mitarbeiter ausgeben, um in Organisationen einzudringen. Die Leitlinien konzentrieren sich auf die Korrelation von Signalen aus HR-SaaS, Identitäten, E-Mail, Conferencing und Microsoft 365, damit Sicherheits- und HR-Teams verdächtige Kandidaten vor und nach dem Onboarding erkennen können.

Brauchen Sie Hilfe mit Security?Mit einem Experten sprechen

Einleitung

Microsoft warnt Organisationen vor einer wachsenden Bedrohung: gefälschte Remote-IT-Mitarbeiter, die gestohlene oder erfundene Identitäten nutzen, um eingestellt zu werden und legitimen Zugriff auf Unternehmenssysteme zu erhalten. Für Sicherheitsteams, die Microsoft 365, Defender und SaaS-Integrationen verwalten, ist das relevant, weil der Angriff in normalen HR-Prozessen beginnt und sich schnell zu einem Vorfall der Identitäts- und Datensicherheit entwickeln kann.

Was ist neu

In den neuesten Leitlinien von Microsoft wird erläutert, wie Verteidiger diese Aktivität über den gesamten Einstellungsprozess hinweg erkennen können; Jasper Sleet wird dabei als bekanntes Beispiel für diese Taktik genannt.

Erkennung vor der Rekrutierung in Workday

Microsoft beobachtete eine verdächtige Nutzung von Workday Recruiting Web Service-Endpunkten, die über externe Karriereseiten offengelegt wurden. Zu den wichtigsten Verhaltensmustern gehören:

  • Wiederholter Zugriff auf hrrecruiting/*-API-Endpunkte
  • Aufrufe von APIs für Bewerbungen, Lebensläufe und Fragebögen
  • Mehrere externe Konten mit demselben wiederkehrenden Zugriffsmuster
  • Aktivität aus bekannter Infrastruktur von Bedrohungsakteuren

Mit dem Microsoft Defender for Cloud Apps Workday connector können Organisationen diese API-Aufrufe nachverfolgen, externe Konten identifizieren und die Aktivität mit Threat Intelligence abgleichen.

Untersuchung in der Rekrutierungsphase

Während Interviews und der Dokumentenverarbeitung sollten Verteidiger zusätzliche Signale korrelieren, zum Beispiel:

  • Verdächtige E-Mail-Kommunikation mit Einstellungsteams
  • Externe Teams-Nachrichten von riskanten IP-Adressen oder Konten
  • Aktivität in Zoom oder Cisco Webex über Defender for Cloud Apps connectors
  • DocuSign-Aktivität im Zusammenhang mit Angebotsschreiben aus verdächtigen Quellen

So können Sicherheits- und HR-Teams betrügerische Kandidaten früher im Prozess markieren.

Überwachung von Identitäten und SaaS nach der Einstellung

Nach der Einstellung steigt das Risiko, weil der Akteur ein legitimes Konto erhält. Microsoft beobachtete Fälle, in denen Workday-Anmeldungen neuer Mitarbeiter und Änderungen an der Gehaltsabrechnung aus bekannter bösartiger Infrastruktur kamen. Nach dem Onboarding sollten Verteidiger auf Folgendes achten:

  • Impossible-Travel-Warnungen bei Konten neuer Mitarbeiter
  • Zugriffe über anonyme Proxys oder von ungewöhnlichen Standorten
  • Such- und Download-Aktivitäten in Teams, SharePoint, OneDrive und Exchange Online
  • Ungewöhnliche Datenzugriffsmuster in den ersten Wochen oder Monaten der Beschäftigung

Warum das für IT-Admins wichtig ist

Das ist nicht nur ein HR-Thema. Eine betrügerische Einstellung kann viele klassische Perimeter-Abwehrmechanismen umgehen, weil die Person gültige Anmeldeinformationen und genehmigten Zugriff erhält. Sicherheitsteams benötigen Transparenz über HR-Systeme, Entra ID, Microsoft 365 und Collaboration-Tools von Drittanbietern, um dieses Verhalten frühzeitig zu erkennen.

Empfohlene nächste Schritte

  • Prüfen Sie die Workday-API-Telemetrie auf wiederholte hrrecruiting/*-Aktivität
  • Aktivieren und validieren Sie gegebenenfalls Defender for Cloud Apps connectors für Workday, Zoom, Webex und DocuSign
  • Suchen Sie nach verdächtiger Kommunikation mit Kandidaten und externen Konten
  • Überwachen Sie Identitäten neuer Mitarbeiter genau auf Impossible Travel, Proxy-Nutzung und ungewöhnliche Microsoft 365-Zugriffe
  • Koordinieren Sie HR- und Sicherheitsuntersuchungen bei verdächtigen Onboarding-Ereignissen

Organisationen mit Remote-Hiring-Programmen sollten Rekrutierungs-Workflows als Teil ihrer Angriffsfläche für Identitäten betrachten und in Threat-Hunting- und Erkennungsstrategien einbeziehen.

Brauchen Sie Hilfe mit Security?

Unsere Experten helfen Ihnen bei der Implementierung und Optimierung Ihrer Microsoft-Lösungen.

Mit einem Experten sprechen

Bleiben Sie über Microsoft-Technologien auf dem Laufenden

Originalartikel von Microsoft Defender Security Research Team and Microsoft Threat Intelligence lesen
Microsoft DefenderWorkdayremote IT workersidentity securityDefender for Cloud Apps

Verwandte Beiträge

Security

Opportunistische Cyberangriffe: Microsofts Design-Leitfaden

Microsoft fordert Unternehmen dazu auf, opportunistische Cyberangriffe zu erschweren, indem Anmeldeinformationen entfernt, öffentlich erreichbare Angriffsflächen verkleinert und sichere Plattformmuster standardisiert werden. Die Empfehlungen sind besonders relevant für Teams, die Azure-, Dynamics 365- und Power Platform-Workloads im großen Maßstab betreiben, wo inkonsistente Architekturen und offengelegte Secrets Angreifern seitliche Bewegungen erleichtern können.

Security

Cross-Tenant Teams Identitätsdiebstahl-Angriff

Microsoft hat eine von Menschen gesteuerte Angriffskette beschrieben, bei der Angreifer cross-tenant Microsoft Teams-Chats nutzen, um sich als Helpdesk-Mitarbeitende auszugeben und Nutzer dazu zu bringen, über Tools wie Quick Assist Remotezugriff zu gewähren. Die Kampagne ist relevant, weil sie legitime Kollaborations-, Remote-Support- und Admin-Tools kombiniert, um laterale Bewegung, Persistenz und Datenexfiltration zu ermöglichen – und dabei wie normale IT-Aktivität wirkt.

Security

Microsoft Defender Predictive Shielding gegen AD-Angriffe

Microsoft erläuterte, wie das Predictive Shielding in Defender die Kompromittierung von Active Directory-Domänen eindämmen kann, indem exponierte Konten mit hohen Rechten eingeschränkt werden, bevor Angreifer gestohlene Anmeldeinformationen erneut nutzen. Die Funktion hilft Sicherheitsteams, seitliche Bewegungen zu reduzieren und die Reaktionslücke bei schnellen Identitätsangriffen zu schließen.

Security

Sapphire Sleet macOS-Angriff: Defender-Erkenntnisse

Microsoft Threat Intelligence hat eine auf macOS ausgerichtete Kampagne von Sapphire Sleet beschrieben, die Social Engineering und gefälschte Software-Updates statt der Ausnutzung von Schwachstellen nutzt. Die Angriffskette basiert auf von Nutzern initiierten AppleScript- und Terminal-Ausführungen, um native macOS-Schutzmechanismen zu umgehen. Dadurch werden mehrschichtige Abwehr, Benutzeraufklärung und Endpoint Detection besonders wichtig.

Security

Kryptografische Inventarisierung für Quantum Readiness

Microsoft fordert Unternehmen auf, die kryptografische Inventarisierung als ersten praktischen Schritt in Richtung Post-Quantum-Readiness zu behandeln. Das Unternehmen beschreibt einen kontinuierlichen Lifecycle für Cryptography Posture Management, der Security-Teams dabei hilft, kryptografische Risiken in Code, Netzwerken, Runtime und Storage zu erkennen, zu bewerten, zu priorisieren und zu beheben.

Security

KI-Incident-Response: Was Security-Teams ändern müssen

Microsoft erklärt, dass traditionelle Prinzipien der Incident Response auch für AI-Systeme weiter gelten, Teams jedoch nicht-deterministisches Verhalten, schnelleren Schaden im großen Maßstab und neue Risikokategorien berücksichtigen müssen. Das Unternehmen betont den Bedarf an besserer AI-Telemetrie, funktionsübergreifenden Reaktionsplänen und einer stufenweisen Behebung, um Probleme schnell einzudämmen, während langfristige Lösungen entwickelt werden.