Frage an die Administratoren von Microsoft Tenants mit Office 365-Konten: Beobachtet ihr verstärkt Angriffe auf diese Konten. Mir liegt eine Lesermeldung vor, die nahelegt, dass NGOs verstärkt im Fokus solcher Angriff sein könnten.

Ich stelle das Thema mal hier im Blog ein, auf das mich ein Leser zum 17. April 2025 hingewiesen hat. Er schrieb in einer E-Mail, dass sie gerade eine mögliche Angriffswelle auf Non Government Organizations (NGOs) beobachten.

Der Leser merkte an, dass es einige NGOs offensichtlich schon erwischt habe, denn mehrere seiner Kunden hätten zum genannten Datum SharePoint-Links erhalten. Diese SharePoint-Links stammen von legitimen, aber offensichtlich übernommenen Microsoft Office 365-Konten. Der Leser konnte in seinem IT-Umfeld mindestens zwei NGOs ausmachen, die Betroffenen in etwa gleichen Dateien geschickt haben.

Der Leser fragte, ob ich da was konkretes gehört habe, was ich verneinen musste. Auf Nachfrage meldete der Blog-Leser zum 18. April, dass er zwei NGOs als angegriffen identifiziert habe. Alles sähe nach simplen Übernahmen von Office 365-Accounts aus.

Interessant war für den Leser, dass es in beiden Fällen um konkrete Partner von seinen Kunden ging. Die übernommen E-Mail-Konten wurden dann direkt benutzt, um auch  Office 365-Accounts der eigenen Kunden zu übernehmen.

Die bösartige E-Mail kam von Microsoft und beinhalte einen SharePoint-Link, der legitim aussah und zu sein scheint (zumindest ein Link zeige wirklich auf SharePoint – bei dem anderen Link liegt dem Leser nur ein Screenshot der betreffenden Mail vor).

Die schädliche E-Mail hat zumindest, was das Wording im Text der Datei angeht, grob auf die Aufgaben des Empfängers gepasst. Es hieß “Vorschlag zur Genehmigung”. Der Leser meint, dass sie schon länger erwarten, dass NGOs gezielter in den Blick von Cyberangriffen rücken, da hier oft der Stress immens hoch sei. Andererseits seien diese Ziele hochgradig interessant, da NGOs mit immens vielen Ministerien und anderen staatlichen Stellen Kontakt haben.