Azure-Angriff: 81 Millionen Login-Versuche auf Microsoft-Konten
01.07.2026 - 18:23:11 | boerse-global.de
Eine massive Cyberkampagne hat Schwachstellen in Microsofts Cloud-Diensten ausgenutzt und dutzende Unternehmenskonten kompromittiert.
Sicherheitsforscher von Huntress haben eine großflächige Password-Spray-Attacke auf die Azure Command Line Interface (CLI) aufgedeckt. Zwischen dem 12. und 26. Juni 2026 registrierten die Experten über 81 Millionen Anmeldeversuche. Die Angreifer erbeuteten dabei Zugangsdaten zu mindestens 78 Konten in 64 verschiedenen Organisationen.
Die Spur führt zu LSHIY LLC
Die Ermittler konnten die Aktivitäten eindeutig dem Unternehmen LSHIY LLC zuordnen, das mit dem autonomen System AS32167 verbunden ist. Konkret identifizierten sie den IPv6-Bereich 2a0a:d683::/32 als Ursprung der Angriffswelle. Versuche, das Unternehmen zu kontaktieren, blieben bislang unbeantwortet.
Schwachstelle im MFA-Schutz
Die Angreifer nutzten den sogenannten Resource Owner Password Credentials (ROPC)-Flow. Diese Methode erlaubt es, bestimmte Konfigurationen der Multi-Faktor-Authentifizierung (MFA) zu umgehen. Das Problem: Viele Unternehmen hatten ihre MFA-Einstellungen nicht konsequent umgesetzt.
Huntress stellte fest, dass zahlreiche Organisationen MFA nicht für sämtliche Cloud-Anwendungen, bestimmte Nutzergruppen oder vertrauenswürdige Standorte durchgesetzt hatten. Besonders alarmierend: Acht der betroffenen Firmen verfügten über gar keinen MFA-Schutz. Die ROPC-Methode nutzte gezielt diese Lücken in den Conditional-Access-Richtlinien aus.
Die 81 Millionen Login-Versuche zeigen: Ihre MFA schützt nur, wenn sie lückenlos konfiguriert ist. Der ROPC-Flow umgeht Conditional Access – genau das haben die Angreifer ausgenutzt. Unser Report liefert die Checkliste für eine wirklich sichere MFA-Implementierung und einen Schritt-für-Schritt Conditional-Access-Audit. Jetzt kostenlosen MFA-Sicherheitsreport anfordern
Explosionsartiger Anstieg der Angriffswelle
Die Attacke erreichte am 22. Juni 2026 ihren Höhepunkt. An diesem einen Tag gelang es den Tätern, 30 Konten in 23 Unternehmen zu kompromittieren. Die Forscher sprechen von einem besorgniserregenden Trend: Die Zahl der Password-Spray-Versuche habe sich in den vergangenen sechs Monaten ver 155-facht.
Parallelbedrohung: ARToken-Phishing
Die Azure-CLI-Kampagne ist nicht die einzige Gefahr für Microsoft-365-Umgebungen. Forscher von Cisco Talos entdeckten zeitgleich eine Phishing-Plattform namens ARToken, die mit dem EvilTokens-System verbunden ist.
Password-Spray-Attacken haben sich in den letzten sechs Monaten ver 155-facht – und die Täter nutzen gezielt MFA-Lücken. Wer nicht alle Cloud-Apps, Nutzergruppen und Standorte absichert, bleibt verwundbar. Dieser Report zeigt Ihnen die 5 Sofortmaßnahmen, die Ihr Unternehmen vor der nächsten Welle schützen. Sofortmaßnahmen gegen Password-Spray jetzt sichern
Diese separate Bedrohung zielt speziell auf Mitarbeiter der Kreditorenbuchhaltung ab. Die Angreifer verschicken rechnungsähnliche E-Mails und nutzen Device-Code-Phishing, um OAuth-Tokens zu stehlen. Obwohl das ARToken-Panel inzwischen offline ist, hatte es zuvor über 80 Endpunkte für Token-Diebstahl und Business-E-Mail-Compromise genutzt.
Die aktuellen Entwicklungen zeigen: Unternehmen, die Microsofts Cloud-Dienste nutzen, durchleben eine Phase erhöhter Risiken. Sicherheitsexperten raten dringend, MFA lückenlos zu implementieren und Conditional-Access-Richtlinien regelmäßig zu überprüfen.
