Auf den Punkt: Chinesische Akteure blieben über 18 Monate in Microsoft 365-Tenants unerkannt und nutzen einen Managed Service Provider als Basis für Lieferkettenangriffsszenarien.
Sicherheitsforscher haben eine groß angelegte Angriffskampagne auf Microsoft 365-Tenants entdeckt, bei der mutmaßlich chinesische Hacker über 18 Monate hinweg in den Cloud-Infrastrukturen von Unternehmen und einem Managed Service Provider (MSP) operierten, ohne erkannt zu werden.
Die Angreifer verschafften sich Zugang zu Microsoft 365-Umgebungen mehrerer Organisationen und infiltrierten zudem einen MSP, was ihnen Hebel für weitere Anschläge auf Kundenumgebungen bot. Der Zeitraum von 18 Monaten deutet auf eine ausgefeilte Persistenzvermeidung hin — die Akteure vermieden offenbar typische Erkennungssignaturen und arbeiteten unterhalb der Schwelle von Standard-Sicherheitserkennung.
Für CISOs unterstreicht dieser Fall die strukturellen Schwächen in der Standardüberwachung von Cloud-Tenants: Microsoft 365 bietet umfangreiche Audit- und Logging-Kapazitäten, doch viele Organisationen aktivieren diese nicht vollständig, lagern Analyse aus oder verfügen nicht über die Ressourcen für kontinuierliche Threat Hunting. Besonders kritisch ist die Kompromittierung des MSP, die als Einfallstor für Lieferkettenangriffen fungierte.
Empfohlen werden für solche Szenarien: umgehende Überprüfung der M365-Audit-Logs auf Anomalien (insbesondere Loginaktivitäten, Forwarding-Regeln, Privilege-Escalation), Aktivierung von erweiterten Threat Protection-Funktionen (Microsoft Defender für Cloud Apps, Conditional Access-Policies), Implementierung von privilegiertem Zugriffsmanagemement und regelmäßige Überprüfung von MSP-Zugriffsprivilegien auf Legitimität und Umfang.
Quelle: borncity.com · Erschienen 13. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.