Das hier ist ein vollständig KI generierter Artikel.

Die Google Threat Intelligence Group (GTIG) hat eine umfangreiche Erpressungskampagne des Akteurs UNC6671 analysiert, der unter dem Namen „BlackFile“ auftritt. Im Zentrum stehen ausgefeilte Voice-Phishing-Angriffe (Vishing) in Kombination mit der Kompromittierung von Single-Sign-On (SSO) und der Umgehung von Multi-Faktor-Authentifizierung (MFA), um tiefen Zugriff auf Cloud-Umgebungen zu erlangen und Unternehmensdaten für Erpressungszwecke zu stehlen.

Identitätszentrierte Angriffe statt Produktschwachstellen

UNC6671 ist seit Anfang 2026 aktiv und hat laut GTIG bereits Dutzende Organisationen in Nordamerika, Australien und dem Vereinigten Königreich ins Visier genommen. Im Fokus stehen vor allem Microsoft-365- und Okta-Umgebungen. Die Angriffe basieren nicht auf Sicherheitslücken in Produkten oder Infrastruktur, sondern auf konsequentem Social Engineering: Mitarbeitende werden gezielt manipuliert, um Zugangsdaten und MFA-Freigaben preiszugeben. Anschliessend nutzen die Angreifer Python- und PowerShell-Skripte, um sensible Daten aus SaaS-Diensten wie SharePoint, OneDrive, Zendesk oder Salesforce systematisch zu exfiltrieren.

GTIG ordnet UNC6671 als eigenständigen Akteur ein, auch wenn dieser zeitweise die Marke „ShinyHunters“ mitbenutzt, um Drohungen glaubwürdiger erscheinen zu lassen. Hinweise darauf sind separate TOX-Kommunikationskanäle, eigene Muster bei Domain-Registrierungen sowie eine dedizierte „BlackFile“-Datenleck-Seite. Die Kampagne unterstreicht die Bedeutung von phishing-resistenter MFA und einem starken Identitäts- und SaaS-Schutz.

Erstzugriff per Vishing: IT-Migrationsstory als Vorwand

Der Erstzugriff von UNC6671 erfolgt über hochvolumige Vishing-Kampagnen. Die Angreifer setzen dabei auf professionelle „Caller“, die gezielt Mitarbeitende anrufen – häufig auf deren private Mobiltelefone, um Unternehmensschutzmechanismen und etablierte Supportkanäle zu umgehen. Als Vorwand dient meist eine angeblich zwingende Umstellung auf Passkeys oder ein dringendes MFA-Update. Dieser IT-Deployment-Pretext soll erklären, warum ein Login auf einer bestimmten Seite nötig ist und warum dabei Sicherheitsmeldungen auftreten können.

Früher nutzte UNC6671 für jedes Zielunternehmen eigene Phishing-Domains, inzwischen kommen generische Domains mit organisationsspezifischen Subdomains zum Einsatz. Typisch sind Registrierungen bei Tucows und Subdomains mit Begriffen wie „passkey“ oder „enrollment“, etwa:

  • <organisation>.enrollms[.]com
  • <organisation>.passkeyms[.]com
  • <organisation>.setupsso[.]com

Diese Domains imitieren SSO-Portale und verstärken die Glaubwürdigkeit des angeblichen Helpdesk-Anrufs.

Adversary-in-the-Middle: MFA in Echtzeit ausgehebelt

Der Vishing-Anruf dient als Live-Adversary-in-the-Middle-Angriff. Während des Gesprächs wird das Opfer Schritt für Schritt durch einen vermeintlichen Einrichtungsprozess geführt, der in Wahrheit die Zugangsdaten direkt an die Angreifer liefert. Der Ablauf ist stark standardisiert:

  • Umleitung: Das Opfer wird auf eine täuschend echte SSO-Phishing-Seite geleitet, meist eine Subdomain der oben genannten Domains.
  • Credential Capture: Benutzername und Passwort werden in Echtzeit abgegriffen und unmittelbar an den legitimen SSO-Provider weitergereicht.
  • MFA-Umgehung: Sobald der echte SSO-Dienst eine MFA-Abfrage (Push, SMS, TOTP) stellt, wird das Opfer dazu gebracht, den Code einzugeben oder die Anfrage zu bestätigen – im Glauben, es handle sich um einen legitimen Setup-Schritt.
  • Geräteregistrierung: Nach erfolgreichem Login wechseln die Angreifer sofort in die Sicherheitseinstellungen des Kontos und registrieren ein eigenes MFA-Gerät, um dauerhaften Zugriff zu sichern.

Die Geschwindigkeit dieses Prozesses sorgt dafür, dass die Angreifer einen stabilen Zugang etablieren können, bevor das Opfer oder das Security Operations Center (SOC) Auffälligkeiten bemerkt.

Seitliche Bewegung und Datendiebstahl in SaaS-Umgebungen

Mit gültigen SSO-Sessions bewegen sich die Angreifer seitlich durch die SaaS-Landschaft des Opfers. Bevorzugte Ziele sind Microsoft 365 und Okta, inklusive SharePoint, OneDrive und angebundene Anwendungen wie Zendesk oder Salesforce. In mehreren Fällen suchten die Angreifer gezielt nach Schlagwörtern wie „confidential“ oder „SSN“, um besonders wertvolle Informationen zu identifizieren und priorisiert zu stehlen.

Nach der ersten manuellen Erkundung wechseln die Angreifer zu automatisierter Exfiltration. Skripte greifen auf Dokumentenbibliotheken zu und laden grosse Datenmengen herunter. Neben klassischen Methoden, die in Logs als FileDownloaded-Ereignisse erscheinen, nutzt UNC6671 bewusst unauffälligere Techniken, etwa offizielle APIs wie Microsoft Graph oder direkte HTTP-GET-Anfragen über python-requests und PowerShell. Dabei werden gültige Session-Cookies (z. B. FedAuth), die während der Vishing-Phase erbeutet wurden, wiederverwendet.

Ein zentrales Detail: Die Angreifer „streamen“ Dateien über direkte Fetches, die im Logging häufig nur als FileAccessed und nicht als FileDownloaded auftauchen. Da viele SOCs primär auf Download-Ereignisse achten und Zugriffe als weniger kritisch einstufen, kann diese Aktivität leicht im Rauschen des Normalbetriebs untergehen.

Forensische Spuren: User-Agent-Mismatches und ungewöhnliche Infrastruktur

Die Auswertung der Microsoft-365-Unified-Audit-Logs (UAL) durch GTIG zeigt wiederkehrende Muster, die auf skriptgesteuerte Exfiltration hindeuten. Besonders auffällig sind User-Agent-Mismatches: Während der ClientAppId etwa „Microsoft Office“ vortäuscht, um einfache Conditional-Access-Regeln zu umgehen, verraten die User-Agent-Strings tatsächlich genutzte Scripting-Engines wie python-requests/2.28.1 oder WindowsPowerShell/5.1. Dies deutet klar auf automatisierte Zugriffe statt menschlicher Interaktion über die SharePoint-Weboberfläche hin.

Zusätzlich stammen die Zugriffe häufig von untypischer Infrastruktur, etwa kommerziellen VPN-Exit-Nodes oder anderen nicht standardmässigen Netzen. In Kombination mit den anomalen User-Agents und dem Muster vieler FileAccessed-Ereignisse entsteht ein charakteristisches Profil, das zur Erkennung solcher Kampagnen genutzt werden kann.

Fazit: Phishing-resistente MFA und bessere Telemetrie sind Pflicht

Die BlackFile-Kampagne von UNC6671 zeigt, wie effektiv gut orchestriertes Social Engineering in Verbindung mit technischen Mitteln wie AiTM-Proxies, Skripting und API-Nutzung sein kann. Anstatt auf Exploits zu setzen, hebeln die Angreifer Identitätsmechanismen aus und nutzen legitime Funktionen von Cloud- und SaaS-Plattformen für ihre Zwecke. Organisationen sollten deshalb konsequent auf phishing-resistente MFA-Methoden umstellen, SSO- und SaaS-Telemetrie (insbesondere FileAccessed-Ereignisse, User-Agent-Mismatches und ungewöhnliche Herkunftsnetze) stärker auswerten und Mitarbeitende gezielt für Vishing-Szenarien sensibilisieren. Nur so lässt sich die Angriffsfläche für identitätszentrierte Erpressungskampagnen wie BlackFile nachhaltig reduzieren.

KI-Schattenartikel: Dieser Beitrag wurde mit Unterstützung eines KI-Modells erstellt und redaktionell geprüft.

Quelle: https://cloud.google.com/blog/topics/threat-intelligence/blackfile-vishing-extortion-operation/