Russische E-Mail-Malware „AUTHENTIC ANTICS“ kapert Microsoft-Konten

Das National Cyber Security Centre (NCSC) des Vereinigten Königreichs hat eine ernste Warnung vor russischer E-Mail-Malware herausgegeben, die auf Microsoft-Cloud-Dienste abzielt. Die Malware, die nun als AUTHENTIC ANTICS bezeichnet wird, ermöglicht es Bedrohungsakteuren, Benutzerkonten zu kapern und still Daten zu exfiltrieren.

Der Angriff wird mit APT28 in Verbindung gebracht, einer russischen Militäraufklärungseinheit, die dem 85. Hauptzentrum für Spezialdienste der GRU zugeordnet ist – auch bekannt als Einheit 26165, Fancy Bear, Forest Blizzard und Blue Delta.

Was macht die Malware?

AUTHENTIC ANTICS ermöglicht dauerhaften Zugriff auf Microsoft 365-Konten, indem sie normales Nutzerverhalten imitiert. Sobald aktiv:

• Zeigt sie den Nutzern realistische Microsoft-Login-Fenster an
• Stiehlt Anmeldedaten und OAuth-Tokens
• Greift auf Dienste wie Exchange Online, SharePoint und OneDrive zu
• Sendet gestohlene Daten per E-Mail – ohne Spuren im Ordner „Gesendet“ zu hinterlassen

Forscher berichten, dass die Malware sorgfältig gestaltet wurde, um sich in die legitimen Prozesse von Outlook einzufügen. Sie erzeugt seltene, aber überzeugende Aufforderungen, um Verdacht zu vermeiden.

„Die Malware nutzt geschickt die zunehmende Vertrautheit mit Microsoft-Authentifizierungsaufforderungen aus“, erklärte das NCSC.

Wie wird sie verbreitet?

Das ist noch unklar. Forscher haben die genaue Verbreitungsmethode nicht bekanntgegeben, bestätigen aber, dass die Malware im Outlook-Prozess läuft und nur mit legitimen Microsoft-Diensten kommuniziert – was die Erkennung erheblich erschwert.

Dieses verdeckte Verhalten verhindert, dass traditionelle Sicherheitswarnungen ausgelöst werden.

Wer steckt dahinter?

Das NCSC schreibt die Malware der Gruppe APT28 zu, einer bekannten, vom russischen Staat unterstützten Einheit. Diese Gruppe hat eine lange Geschichte von Cyberoperationen gegen Regierungen, Think Tanks und Verteidigungssektoren weltweit.

APT28 ist bekannt für:

• Hochentwickelte Phishing-Kampagnen
• Ausnutzung von Zero-Day-Schwachstellen
• Nutzung gestohlener Zugangsdaten für langfristige Infiltration

Reaktion Großbritanniens: Sanktionen

Als Reaktion auf die Entdeckung der Malware gab der britische Außenminister David Lammy eine klare Stellungnahme ab:

„Der Kreml sollte sich nicht im Zweifel sein: Wir sehen, was sie im Verborgenen versuchen, und wir werden das nicht tolerieren.“

Großbritannien hat neue Sanktionen gegen russische Spione verhängt, mit dem Ziel, zukünftige Angriffe zu verhindern und Verantwortliche zur Rechenschaft zu ziehen.

Fazit

Das Auftauchen der russischen E-Mail-Malware AUTHENTIC ANTICS zeigt, dass Cyber-Spionage immer raffinierter wird. Durch die Ausnutzung des Microsoft-Anmeldeverhaltens und das Nachahmen legitimer Aktivitäten hat APT28 erneut die Grenze zwischen normalem und bösartigem Verhalten verwischt. Organisationen müssen wachsam bleiben – und Regierungen müssen weiterhin Bedrohungen offenlegen, die sich offen verstecken.