Microsoft-konti kapret

Eskil Sørensen
02.12.2025 10:43
Phishing-kampagne inden for uddannelsessektoren udnytter sårbarheder i Active Directory Federation Services.

Angrebsaktiviteterne har rettet sig mod omkring 150 organisationer, primært inden for uddannelsessektoren, der anvender Microsoft Active Directory Federation Services (ADFS) til autentificering. 

Det skriver Dark Reading, baseret på en rapport fra Abnormal Security.

I rapporten fremgår det, at angriberne benyttede spoofede e-mails, der så ud til at komme fra it-afdelingen med besked om en vigtig opdatering, men den sendte i stedet modtagerne hen til falske Microsoft ADFS-login-sider, skræddersyet til den specifikke MFA-konfiguration hos den pågældende organisation. Når brugerne så indtastede deres legitimationsoplysninger og MFA-koder, fik angriberne adgang til brugernes konti og kunne bevæge sig videre til andre tjenester gennem Single Sign-On-funktionen. Efter kompromittering ville de så kunne udføre aktiviteter som rekognoscering, oprettelse af mailfilterregler for at opsnappe kommunikation og lateral phishing mod andre brugere i organisationen.

Geografisk spredte institutioner

Selvom den præcise geografiske fordeling af de berørte uddannelsesinstitutioner ikke er specificeret, er det kendt, at ADFS anvendes bredt på tværs af forskellige lande, fremgår det. Derfor er det sandsynligt, at institutioner i flere regioner er blevet påvirket af kampagnen.

Det er i øvrigt uklart, om de identificerede angreb er en del af en enkeltstående kampagne eller en række separate hændelser. I Abnormal Securitys analyser beskrives specifikke angreb, men det angives ikke , om disse er forbundet som led i en større, sammenhængende kampagne. Abnormal Security analyserer løbende phishing-angreb og rapporterer om deres fund baseret på de data, de indsamler over tid, fremgår det af metoden. Og i dette tilfælde havde over 50 pct. af de identificerede angreb ramt skoler, universiteter og andre uddannelsesinstitutioner. 

Abnormal Security identificerede de berørte organisationer ved at analysere de phishing-e-mails, der blev brugt i angrebene. Ved at undersøge e-mailens indhold, afsenderadresser og de falske login-sider kunne de fastslå, hvilke institutioner angrebsaktiviteterne var rettet imod. Desuden muliggjorde overvågning af netværkstrafik og samarbejde med de berørte organisationer en mere præcis kortlægning af angrebets omfang og de specifikke mål.

Adgang til og analyse af phishing-e-mails

Det fremgår, at Abnormal Security har specialiseret sig i e-mail-sikkerhed og tilbyder løsninger, der integreres med organisationers eksisterende e-mail-systemer. Det gør det muligt at overvåge indkommende e-mails i realtid og identificere mistænkelige aktiviteter. Når en phishing-e-mail opdages, analyseres e-mailens metadata, indhold og eventuelle vedhæftede filer eller links. På den måde kan Abnormal Security identificere og studere phishing-e-mails, der er rettet mod deres kunder, og dermed forstå angrebsmønstre og mål. 

Der er med andre ord tale om konklusioner baseret på observationer kunderne hos Abnormal Securitys ca 2.400 kunder.

Information