In den meisten dieser Fälle hatten die Opfer MFA in ihrer Infrastruktur aktiviert, aber dennoch gaben die *Audit Logs* nicht sofort Aufschluss über anomale Aktivitäten. Erfahrungsgemäß sind Phishing-Kampagnen die Hauptschuldigen, wenn es zu einer unerklärlichen ersten Kompromittierung kommt. Herkömmliche Erkennungsmethoden für Phishing lieferten bei dieser neuen Welle von Vorfällen jedoch keine Ergebnisse.
Nach einigen internen Untersuchungen kam unser Team zu demselben Ergebnis, das Microsoft etwa einen Monat später bekannt geben sollte: Reverse-Proxy-Phishing-Frameworks wie EvilginX, Modlishka und Muraena waren daran schuld.
Etwa ein weiteres Jahr später, Ende Mai 2023, nahm Ksandros Apostoli vom SEC Defence Team, an der x33fcon teil, wo er sich den Vortrag vom Drahtzieher von EvilginX, Kuba Gretzky alias @mrgretzky, ansah. Sein Vortrag über EvilginX mit dem Titel "*How much is the Phish?*" inspirierte ihn zu diesem Blogpost.
Nähere Informationen finden Sie in unserem englischen Blogpost.