Die aktuelle FBI-Warnung vor der Phishing-as-a-Service-Plattform „Kali365“ verdeutlicht, wie niedrig die Einstiegshürden für moderne Phishing-Angriffe inzwischen geworden sind. Solche Plattformen ermöglichen es Angreifern, schnell und in großem Umfang Kampagnen gegen Microsoft-365-Umgebungen aufzusetzen. Da dabei legitime Microsoft-Infrastruktur genutzt wird, wirken die Aktivitäten für Betroffene häufig unauffällig und sind entsprechend schwerer zu erkennen. Steven Campbell, Staff Threat Intelligence Researcher bei Arctic Wolf, ordnet die aktuelle Entwicklung wie folgt ein:
„Wir beobachten eine allmähliche Zunahme der Aktivitäten sowie einen klaren Ausbau der zugrunde liegenden Infrastruktur. Die Angreifer setzen neue Server und Zugangs-Panels ein, was darauf hindeutet, dass die Operation reift und skaliert.
Untersuchungen von Arctic Wolf im April identifizierten Aktivitäten, bei denen dieselbe Phishing-as-a-Service-Plattform genutzt wurde, auf die sich auch die aktuelle Warnung des FBI bezieht. Das FBI beschreibt dabei die Plattform selbst – Kali365 – und nicht eine einzelne Kampagne. Kali365 senkt die Einstiegshürde, indem es Angreifern ein sofort einsatzbereites Toolkit für fortgeschrittene Phishing-Angriffe bereitstellt. Da dabei legitime Microsoft-Infrastruktur genutzt wird, wirkt die Aktivität für Betroffene oft unauffällig, was die Erkennung zusätzlich erschwert.
Praktisch bedeutet das: Angreifer müssen keine komplexen Werkzeuge mehr selbst entwickeln. Sie können Kampagnen schnell und in großem Umfang aufsetzen. Die Zielauswahl scheint breit angelegt und überwiegend opportunistisch zu sein, statt sich auf eine bestimmte Branche zu konzentrieren. Das Hauptmotiv dürfte finanzieller Natur sein. Der Zugriff, der durch solche Kampagnen erlangt wird, kann unter anderem für Business-E-Mail-Compromise und andere Betrugsformen genutzt werden, bei denen Angreifer versuchen, vertrauenswürdige Konten zu monetarisieren.“
#ArcticWolf
