Microsoft warnt vor raffinierten SharePoint-Phishing-Angriffen auf Energiebranche

Eine neue, hochgefährliche Phishing-Kampagne nutzt kompromittierte Partner-Accounts und legitime Microsoft-Dienste, um Sicherheitsbarrieren zu umgehen. Das Ziel: Die Energiebranche.

Microsofts Sicherheitsforscher haben diese Woche eine ausgeklügelte Angriffswelle aufgedeckt. Die Täter nutzen gehackte Kontakte von vertrauenswürdigen Lieferanten, um über legitime Microsoft-SharePoint-Links an sensible Session-Cookies zu gelangen. Diese erlauben Zugriff auf Accounts – selbst wenn eine Zwei-Faktor-Authentifizierung (MFA) aktiv ist. Der Betreff der täuschend echten E-Mails lautet stets „NEW PROPOSAL – NDA“.

Angriff über die vertraute Lieferkette

Der Trick der Cyberkriminellen ist simpel und wirkungsvoll: Sie starten ihre Attacke nicht von unbekannten Absendern, sondern von bereits gekaperten Konten bei Partnerunternehmen. Diese „Lieferketten“-Methode erhöht die Glaubwürdigkeit immens. Der Empfänger denkt, eine geschäftliche Anfrage eines bekannten Ansprechpartners zu erhalten.

Der enthaltene Link führt tatsächlich zu einer echten SharePoint-Datei, etwa einem angeblichen Vertragsentwurf. Da die URL von Microsoft stammt, umgeht sie oft die Filter gängiger Secure Email Gateways. Klickt das Opfer, wird es zur Anmeldung aufgefordert. Hier schaltet sich die Adversary-in-the-Middle (AiTM)-Technik ein: Die Hacker leiten auf eine perfekte Fälschung des Firmen-Login-Portals um. Geben die Nutzer dort ihre Zugangsdaten und den MFA-Code ein, werden die Session-Token abgefangen. Mit diesen „digitalen Schlüsseln“ können sich die Angreifer dann selbst in den Account einloggen – die MFA ist wirkungslos.

Viele Unternehmen unterschätzen, wie schnell AiTM- und Lieferketten-Phishing eskalieren können. Ein kostenloses Anti-Phishing-Paket erklärt in vier praktischen Schritten, wie Sie verdächtige SharePoint-Links erkennen, Adversary‑in‑the‑Middle‑Vektoren identifizieren und kompromittierte Sessions sofort sperren. Enthalten sind auch Checklisten für Incident-Responder und Maßnahmen zur schnellen Widerrufung aktiver Sitzungen. Jetzt Anti‑Phishing‑Paket herunterladen

Tarnung und aggressive Ausbreitung

Sind die Hacker erst einmal drin, agieren sie schnell und hinterhältig. Laut Microsoft-Bericht richten sie sofort bösartige Postfachregeln im gekaperten Account ein. Diese markieren eingehende E-Mails automatisch als „gelesen“ und verschieben sie ins Archiv oder löschen sie.

Warum? Diese Taktik hat zwei Zwecke: Sie verhindert, dass das Opfer Sicherheitswarnungen oder Fehlermeldungen sieht. Und sie verschafft den Angreifern wertvolle Zeit für ihre nächsten Schritte. In einem beobachteten Fall verschickten die Kriminellen von einem einzigen gehackten Account über 600 Phishing-Mails an interne und externe Kontakte. Besonders tückisch: Sie griffen dabei auf bestehende E-Mail-Konversationen zurück, um ihren Betrug glaubwürdiger zu machen.

Die Angreifer zeigten dabei ein „Hands-on-Keyboard“-Verhalten. Sie überwachten die gehackten Postfächer aktiv. Fragten empfangende Kollegen per E-Mail nach, ob die „NDA“-Anfrage echt sei, antworteten die Hacker persönlich – und bestätigten die Legitimität. Anschließend löschten sie den gesamten Schriftverkehr, um Spuren zu verwischen.

Fokussiert auf kritische Infrastruktur

Die Kampagne zielt aktuell besonders auf Unternehmen der Energiebranche. Diese Fokussierung auf kritische Infrastrukturen passt in den Trend: Versorgungseinrichtungen werden zunehmend für Spionage oder das Vorbereiten späterer Sabotageakte ins Visier genommen.

Der Schaden geht weit über den ersten Account-Zugriff hinaus. Mit den gestohlenen Session-Cookies können die Täter auf sensible interne Dokumente, Finanzdaten und SharePoint- oder OneDrive-Inhalte zugreifen. Noch gefährlicher: Sie können laufende E-Mail-Konversationen kapern, um etwa Business Email Compromise (BEC)-Betrug zu begehen. Dabei leiten sie Zahlungen auf betrügerische Konten um oder autorisieren gefälschte Transaktionen.

Passwort-Reset reicht nicht: So wehrt man die Angriffe ab

Die Entdeckung dieser Kampagne zeigt die Grenzen klassischer Sicherheitsmaßnahmen auf. Da die Angreifer Session-Cookies stehlen, nützt ein einfacher Passwort-Reset nichts – die „digitalen Schlüssel“ bleiben gültig. Microsoft betont, dass Incident-Responder alle aktiven Sitzungen im System widerrufen müssen, um die Eindringlinge effektiv auszusperren.

Cybersicherheitsexperten raten daher zu robusteren Authentifizierungsmethoden. Phishing-resistente MFA wie FIDO2-Sicherheitsschlüssel oder zertifikatbasierte Authentifizierung können AiTM-Angriffe vereiteln, da die Authentifizierungsdaten nicht so einfach abgefangen werden können.

Zudem empfehlen sie die Einrichtung von Conditional Access Policies. Diese Richtlinien können den Zugriff abhängig von Geräte-Compliance, Standort und Risikobewertung einschränken. Auch die Rechteverwaltung für Postfachregeln ist entscheidend: Die Möglichkeit, solche Regeln zu erstellen, sollte eingeschränkt oder zumindest mit einer Admin-Benachrichtigung versehen werden.

Ein neuer Standard für Phishing-Angriffe?

Die Kampagne ist Ende Januar 2026 noch aktiv. Der Missbrauch vertrauenserweckender Dienste wie SharePoint stellt Verteidiger vor immense Herausforderungen, denn diese Services komplett zu blockieren, ist im Geschäftsalltag kaum möglich.

Analysten prognostizieren, dass dieser hybride Ansatz – eine Kombination aus Lieferketten-Kompromittierung, Missbrauch legitimer Infrastruktur und AiTM-Toolkits – zum Standard für raffinierte Phishing-Kampagnen in diesem Jahr werden könnte. Unternehmen sollten ihre Sensibilisierungsprogramme dringend anpassen und Mitarbeiter speziell für die Risiken von Datei-Freigabe-Links schulen – selbst wenn diese scheinbar von bekannten Kontakten stammen.

PS: Übrigens: Wer SharePoint-Links und E‑Mail‑Konversationen sicherer macht, reduziert das Risiko solcher Angriffe drastisch. Das Anti‑Phishing‑Paket liefert praxisnahe Vorlagen für Mitarbeiterschulungen, technische Hardening‑Checks für Microsoft‑365 und ein Sofort‑Maßnahmenprotokoll für den Fall eines gefälschten Login‑Dialogs. Ideal für IT‑Verantwortliche in kritischen Infrastrukturen. Anti‑Phishing‑Paket jetzt anfordern