Microsoft Teams im Visier: Neue Hacker-Welle erschüttert Unternehmen

Sicherheitsforscher schlagen Alarm: Hochprofessionelle Cyberangriffe nutzen Microsoft Teams als Einfallstor für Industriespionage. Staatlich gesteuerte Gruppen tarnen ihre Aktivitäten geschickt als gewöhnliche Erpressungsversuche – und die Methode ist erschreckend erfolgreich.

MuddyWater tarnt sich als Erpresserbande

Im Fokus der aktuellen Warnung steht die iranische Hackergruppe MuddyWater, die auch unter den Namen Mango Sandstorm und Seedworm bekannt ist. Die Gruppe hat eine perfide Taktik entwickelt: Sie gibt sich als finanziell motivierte Ransomware-Bande aus, um Sicherheitsteams in die Irre zu führen.

Da Angreifer immer häufiger psychologische Tricks und Social Engineering nutzen, um Mitarbeiter zu täuschen, ist proaktive Aufklärung der beste Schutz. In diesem kostenlosen Anti-Phishing-Paket erfahren Sie, wie Sie Manipulationsversuche rechtzeitig entlarven. Jetzt kostenlosen Phishing-Ratgeber herunterladen

Doch der Schein trügt. Anders als klassische Erpresser, die Dateien verschlüsseln und Lösegeld fordern, geht es MuddyWater um etwas ganz anderes: langfristigen Zugang zu Unternehmensnetzwerken und den Abfluss sensibler Daten.

Die Angriffskette beginnt meist harmlos. Die Täter kontaktieren Mitarbeiter über externe Chat-Anfragen in Microsoft Teams. Geben sich als IT-Support aus. Und dann wird es gefährlich: Über geteilte Bildschirme lassen sie sich Passwörter zeigen oder manipulieren die Zwei-Faktor-Authentifizierung.

Opfer werden aufgefordert, ihre Zugangsdaten in lokale Textdateien zu tippen oder fremde Geräte für die Authentifizierung freizuschalten. Bis Ende März 2026 verzeichnete die zugehörige Erpresserseite bereits 36 angebliche Opfer – vor allem aus den USA, aus Branchen wie Bau, Fertigung und Unternehmensdienstleistungen.

Die IT-Support-Falle: Wie Angreifer Vertrauen ausnutzen

Die neue Angriffswelle zeigt, wie geschickt Hacker legitime Werkzeuge für ihre Zwecke missbrauchen. Nach dem ersten Kontakt über Teams setzen die Angreifer Fernwartungstools wie DWAgent oder AnyDesk ein. Damit bewegen sie sich quer durchs Netzwerk – ohne die üblichen Alarmglocken schrillen zu lassen.

Die Masche folgt einem festen Muster: Die Täter geben sich als hilfsbereite IT-Mitarbeiter aus. Während der Teams-Sitzung locken sie ihre Opfer auf gefälschte Microsoft-Seiten, etwa für das Tool Quick Assist. Sobald die Angreifer authentifizierten Zugriff haben, verbinden sie sich mit internen Systemen – bis hin zu den zentralen Domänencontrollern.

Das Ziel: Keine Verschlüsselung, keine Lösegeldforderung. Stattdessen stilles Abgreifen von Konstruktionsplänen, Geschäftsgeheimnissen und Kundendaten.

Neue Bedrohung: UNC6692 und die Snow-Malware

Doch MuddyWater ist nicht allein. Eine neu identifizierte Gruppe namens UNC6692 hat in den vergangenen Wochen für Aufsehen gesorgt. Sie setzt auf eine eigene Schadsoftware namens „Snow" – ein Toolkit, das komplette Domänenübernahmen ermöglicht.

Der Angriff beginnt mit einer perfiden Ablenkung: Die Hacker fluten das Postfach des Opfers mit tausenden Spam-Nachrichten. Während der Mitarbeiter verzweifelt versucht, den Überblick zu behalten, meldet sich der „hilfsbereite IT-Support" per Teams. Das Angebot: Hilfe bei der Spam-Flut.

Der Haken: Der mitgelieferte Link führt zu einer Seite, die angeblich einen „Gesundheitscheck" des Systems durchführt – in Wahrheit aber die Zugangsdaten abgreift.

Die Erfolgsquote dieser Methode ist alarmierend: 72 Prozent der Angriffe waren laut aktuellen Sicherheitsberichten erfolgreich. Das Snow-Toolkit enthält eine Browser-Erweiterung für dauerhaften Zugriff, ein Tunnel-Tool für Datenabflüsse und eine Hintertür zur vollständigen Kontrolle des Endgeräts.

Angesichts immer komplexerer Bedrohungslagen und neuer gesetzlicher Anforderungen müssen Unternehmen ihre IT-Strategie dringend anpassen. Dieser kostenlose Report liefert wertvolle Einblicke in aktuelle Sicherheits-Trends und zeigt kostengünstige Wege zum proaktiven Schutz auf. Gratis-E-Book zur Cyber-Security jetzt sichern

Warum Teams zum neuen Risiko wird

Microsoft Teams genießt in Unternehmen einen Vertrauensvorschuss. Viele Mitarbeiter halten die Plattform für sicherer als E-Mail – ein fataler Irrtum. Genau dieses Vertrauen machen sich die Angreifer zunutze.

Zwar hat Microsoft in der Vergangenheit Sicherheitslücken geschlossen – etwa eine Spoofing-Schwachstelle, die das Fälschen von Absendernamen erlaubte. Doch das eigentliche Problem bleibt: Legitime Funktionen werden missbraucht.

Sicherheitsexperten beobachten einen „seismischen Wandel" in der Phishing-Strategie. Die Zahl der Angriffe über Kalendereinladungen stieg um 49 Prozent. Besonders tückisch: Hacker nutzen mehrere Kommunikationswege gleichzeitig. Eine E-Mail, dann ein Anruf, schließlich eine Teams-Nachricht – die Kombination macht den Betrug für selbst erfahrene Mitarbeiter kaum erkennbar.

Was Unternehmen jetzt tun müssen

Die Botschaft der Sicherheitsforscher ist eindeutig: Ungesicherte Teams-Nachrichten von externen Kontakten müssen genauso misstrauisch behandelt werden wie verdächtige E-Mails.

Konkrete Schutzmaßnahmen:
- Externe Chat-Anfragen und Anrufe standardmäßig blockieren
- Nur vertraute Partner auf eine Whitelist setzen
- Überwachung auf unerwartete Installationen von Fernwartungstools wie AnyDesk
- Sofortige Alarmierung bei Änderungen der Zwei-Faktor-Authentifizierung durch Nicht-Administratoren

Der Kampf gegen diese neue Generation von Cyberangriffen wird härter. Denn die Täter kombinieren raffinierte Sozialtechnik mit legitimen Werkzeugen – und tarnen sich dabei noch als die Guten. Für Sicherheitsteams bedeutet das: Sie müssen über den Tellerrand der klassischen Ransomware-Erkennung hinausblicken und den gesamten Angriffszyklus im Auge behalten. Nur so lassen sich die wahren Ziele staatlich gesteuerter Spionage aufdecken.

de | wissenschaft | 69299111 |