Mimecast Logo
Angebot einholen

    Missbrauch bei „Direct Send“

    6. August 2025

    Wichtige Punkte
    • Angreifer nutzen die „Direct Send“-Funktion von Microsoft 365 aktiv aus, um Phishing-E-Mails zu versenden
    • Diese Technik umgeht Perimeter-Sicherheitslösungen effektiv, indem bösartige E-Mails über die vertrauenswürdige Infrastruktur von Microsoft 365 weitergeleitet werden.
    • Es sind keine Anmeldedaten oder Tokens erforderlich, sondern lediglich die Kenntnis der Zieldomäne und gültige Empfängeradressen
    • Dies stellt eine kritische Lücke in den E-Mail-Sicherheitsmaßnahmen dar, da externe Sicherheitsfilter umgangen werden, die eingehende E-Mails aus externen Quellen überprüfen.

    Übersicht

    Das Mimecast-Team für Bedrohungsforschung beobachtet weiterhin bösartige E-Mail-Kampagnen, die die „Direct Send“-Funktion von Microsoft 365 ausnutzen. Über diesen Angriffsvektor können Angreifer E-Mails versenden, die den Anschein erwecken, von internen Benutzern zu stammen, ohne dass eine Authentifizierung erforderlich ist oder ein Konto kompromittiert werden muss. Diese Technik hat an Bedeutung gewonnen, da sie Perimeter-Sicherheitslösungen effektiv umgeht und sich das Vertrauen zunutze macht, das Nutzer der internen Kommunikation entgegenbringen. Diese neu auftretende Bedrohung stellt eine kritische Lücke in den E-Mail-Sicherheitsmaßnahmen von Unternehmen dar, die Microsoft 365 nutzen.

     

    Angriffsmethodik

    „Direct Send“ ist eine offizielle Funktion von Microsoft 365, die es Geräten, Anwendungen und Diensten von Drittanbietern ermöglicht, E-Mails ohne Authentifizierung direkt an die Postfächer der Benutzer zu senden. Angreifer nutzen diese Funktion aus, indem sie eine Verbindung zum SMTP-Endpunkt von Microsoft 365 herstellen und E-Mails versenden, bei denen interne Absender vorgetäuscht werden. Der Angriffsablauf umfasst drei wesentliche Schritte:

    1. Angreifer ermitteln durch Erkundungsmaßnahmen gültige Domänen von Organisationen und E-Mail-Adressen von Empfängern.
    2. Die E-Mails sind so gestaltet, dass sie den Anschein erwecken, von vertrauenswürdigen internen Nutzern oder Abteilungen zu stammen, und ahmen häufig gängige geschäftliche Mitteilungen wie IT-Benachrichtigungen oder Ankündigungen der Personalabteilung nach.
    3. Diese gefälschten E-Mails werden direkt über die Infrastruktur von Microsoft 365 zugestellt, wo sie als intern weitergeleitete Nachrichten erscheinen.

    Im Gegensatz zum herkömmlichen E-Mail-Spoofing sind für den Missbrauch von „Direct Send“ keine Authentifizierungsdaten, kein Benutzername, kein Passwort und kein Token erforderlich. Angreifer benötigen lediglich Kenntnis der Domain der Zielorganisation sowie gültige Empfängeradressen. Diese Technik ist besonders effektiv, da die E-Mails die vertrauenswürdige Infrastruktur von Microsoft 365 durchlaufen und dadurch sowohl für Sicherheitssysteme als auch für Endnutzer als legitim erscheinen. Da keine Authentifizierungsanforderungen bestehen, können Angreifer sich als beliebiger interner Benutzer ausgeben, ohne legitime Konten kompromittieren zu müssen.

     

    Informationen zur Kampagne

    Unternehmen sind über diesen Angriffsvektor einem erheblichen Risiko durch den Diebstahl von Zugangsdaten, business email compromise und malware delivery ausgesetzt. Das implizite Vertrauen, das mit der internen Kommunikation einhergeht, erhöht die Wahrscheinlichkeit, dass Nutzer erfolgreich mit bösartigen Inhalten interagieren.

    Jüngste Angriffe haben die Wirksamkeit dieser Technik unter Beweis gestellt: Angreifer konnten erfolgreich Zugangsdaten erbeuten und sich in den angegriffenen Umgebungen einen Zugang verschaffen, um sich dort seitlich auszubreiten. Der Missbrauch von „Direct Send“ war insbesondere bei Organisationen erfolgreich, die bei ihren Geschäftsabläufen in hohem Maße auf die E-Mail-Kommunikation angewiesen sind.

    Obwohl direkt versendete Spam-E-Mails Mimecast nicht durchlaufen, enthalten die kürzlich beobachteten Kampagnen PDF- und DOCX-Anhänge mit QR-Codes oder stark verschleierte HTML-Anhänge, die alle zu Phishing-Seiten führen, auf denen Anmeldedaten abgegriffen werden sollen.

    Missbrauch von Microsoft Direct Send 1.png

    Die Analyse der angehängten PDF- und DOC-Dateien zeigt, dass die Angreifer automatisierte Tools einsetzen, um im Rahmen einer Phishing-Kampagne, die die „Direct Send“-Funktion von Microsoft ausnutzt, überzeugende, geschäftsbezogene Köder zu generieren. Die PDF-Anhänge wurden überwiegend mit wkhtmltopdf 0.12.6 (Qt 4.8.7) erstellt, einem Tool, das häufig zur Konvertierung von HTML-Vorlagen in PDF-Dateien in großem Umfang verwendet wird, während die DOCX-Dateien mit Microsoft Office Word 2007 erstellt wurden, einer älteren Version, die Funktionen unterstützt, die bei Phishing-Angriffen häufig missbraucht werden, wie beispielsweise Aufforderungen zur Dateiwiederherstellung und Makrokompatibilität. Der konsequente Einsatz dieser Tools sowie die schnelle Erstellung mehrerer themenbezogener Dokumente noch am selben Tag deuten auf einen koordinierten und vorlagengestützten Ansatz hin, der darauf abzielt, die Zustellung zu maximieren und herkömmliche Sicherheitskontrollen zu umgehen.

     

    HTML-Analyse

    Ein interessantes Beispiel für einen HTML-Anhang zeigt eine starke Verschleierung mittels Homoglyphen-Verschleierung. Auf den ersten Blick verwendet der Code eine single Variable wiederholt, doch er definiert und verarbeitet mehr als hundert Variablen, die jeweils mit drei optisch ähnlichen UTF-8-Zeichen (Unicode) benannt sind. Diese als „Unicode“- oder „Homoglyphen-Verschleierung“ bezeichnete Technik erschwert die manuelle Analyse erheblich und kann viele automatisierte Erkennungswerkzeuge überlisten. Das Skript verzichtet auf lesbare Zeichenfolgen oder direkte Zuweisungen. Stattdessen nutzt es eine Reihe von JavaScript-Eigenheiten und Tricks zur Typumwandlung – wie beispielsweise !1+[] (was die Zeichenfolge „ "“ ergibt, false"), []+{} (was „ " “ ergibt, [object Object]") und "foo"& " bar" (was stets den Wert 0 ergibt), um einfache Ganzzahlen und Zeichenfolgen zu erzeugen. Diese Ganzzahlen werden anschließend als Array-Indizes oder zur Bildung von ASCII-Codes verwendet, die mithilfe von Funktionen wie `String.fromCharCode` dynamisch zur endgültigen Nutzlast zusammengesetzt werden. Der Code verwendet document.write() um den schädlichen Inhalt darzustellen, der den Nutzer auf eine Phishing-Seite weiterleitet. All dies geschieht, ohne dass im statischen Code irgendwelche aussagekräftigen Zeichenfolgen vorhanden sind, was eine statische Analyse und eine signaturbasierte Erkennung äußerst erschwert.

    Microsoft Direct Send – Missbrauch 2.png

    Bei anderen identifizierten HTML-Anhängen wird überwiegend eine Variante von UTF-8-Zeichen verwendet, um die Datei stark zu verschleiern.

     

    Anzeichen für eine Kompromittierung

    Ursprüngliche Absender-IP-Adressen


    141.95.71.216
    141.95.114.238
    139.28.38.90
    23.163.0.158
    51.89.87.86

    Betreffzeilen von E-Mails


    Neues Mitarbeiterhandbuch und organisatorische Neuigkeiten
    Anerkennung Ihrer Arbeitsleistungen – Aktuelles zur Vergütung
    Obligatorische erneute Bestätigung Ihrer Anmeldedaten
    Bestätigung: Jahresendbonus 2025 wurde Ihrer Gehaltsabrechnung hinzugefügt
    Erforderliche Maßnahme: Mitarbeiterbeurteilung bei [Firmenname]

    Domains


    Jmvthr[.]owlrd[.]ru
    Eiregirc[.]ru
    Mettsoll[.]com
    djvzk[.]uekmu[.]es


    Datei-Hashes


    cc2f055a242eec9ba870fc3040883439666266a018c833b72bb201592ff0c0e4
    19279573e2c3b0e6348bb305e3101531eea978037330636942a0be85dccd62c1
    988d3069d1241d2784debeb6946c57a8c66221d7fbfbd6228b2b8b3cc4e92a50
    092d0be4a754532ad49e202eeba2a7709dad03f3f58cf72205f38efc668ebabd
    975b04bb26d5fe627e195bdf46fc4eec7b25b63d7b4ab926b437a04903ec522f
    625561c24491e8b68efa34e14c5a332c63c6121a333f700af4ff6801ebe587c8
    b810f7e999d5824147535e3974cf349010f78badaa0428c554bb3e5eec56db2f
    5b6aa8f966e240f620ad10417ff4804941966f878cc83020391ad786f5360f43
    3f52227acb6f97853b491cdaab53630cb21b3337a972efcb05660cd139df2482
    c2394537d5e7b3c1c9afc73408b5c6b1c1154650a4a8454b9f4e534c9ddbd092
    ca82e7201694b964e0f6702e08f75f98f0732552aefaed6ae8b170689341bfe2
    3432411a3bb498e6688d24dc3824b6469242d42d0b8742116479f35a8c05ab5a
    f24785156ec9c045e88eed48b2a262996a12e7bc62f50784bba9334172668275
    48171e699562fe854418797cd8b8517b3f5eec598fd89e3d20c5a8f346176bf2
    d5800e021a88c6e91f1605b892e8aefe1ba21719022417746a64a4acba13e903
    cf74d4c1c3e8317c43aacdcda57cb8da032477e24732d0a7987c8bf5aa9ff186
    7c11352b17e325a53e3a73e34459fc55b90ceaf2c3cd4dc4421be879c7147391
    b96ee4c2bdf566a5740dc100cf1c70896cd2806fac42d46b022d5c52c3a8a52a
    df6bc150a77c36beafbfd0c59daa7a8960bb090743b778477e25805195640c0c
    0736b07c27ff2ff21175991c2ffae38d75a66bbb57fe4390afb3347e4d6e691a

    Empfehlungen


    Maßnahmen zur Risikominderung

    • Aktivieren Sie die Einstellung „Direktversand ablehnen“: Falls Ihre Organisation den Direktversand nicht benötigt, deaktivieren Sie diese Funktion. Aktivieren Sie im Exchange-Verwaltungscenter die Einstellung „Direktversand ablehnen“. Dadurch wird eine unbefugte Nutzung der „Direct Send“-Funktion verhindert, indem E-Mails zurückgewiesen werden, die versuchen, diese Methode ohne ordnungsgemäße Authentifizierung zu nutzen.
    • Aktivieren Sie strenge DMARC- oder SPF-Einträge

    M365 mit Mimecast konfigurieren

    Umweltverträglichkeitsprüfung

    Bevor diese Funktion aktiviert wird, sollten Unternehmen ihre Umgebung auf Geräte oder Anwendungen überprüfen, die für legitime Geschäftsfunktionen auf nicht authentifiziertes SMTP angewiesen sind. Bei Altsystemen, Druckern, Scannern und Fachanwendungen sind unter Umständen Konfigurationsaktualisierungen erforderlich, um authentifizierte Versandmethoden nutzen zu können.

    Zurück zum Anfang