Missbrauch von App-spezifischen Passwörtern: Neue Phishing-Methode kompromittiert E-Mail-Konten prominenter Russland-Kritiker

Eine raffinierte Phishing-Kampagne hat sich eine bisher wenig beachtete Google-Kontofunktion zunutze gemacht: Anwendungsspezifische Passwörter (App-Specific Passwords, ASP). Ziel waren hochkarätige Wissenschaftler und Kritiker des russischen Regimes.

Laut einer gemeinsamen Analyse der Google Threat Intelligence Group (GTIG) und des Citizen Lab handelt es sich um eine gezielte Operation mit mutmaßlich russischem Ursprung. Die Angreifer setzten dabei auf Social Engineering und gaben sich in personalisierten E-Mails als Vertreter des US-Außenministeriums aus – mit überzeugender Kommunikation und teilweise wochenlanger Kontaktpflege.

Der zentrale Angriffsvektor: Die Opfer wurden dazu gebracht, für ein angeblich sicheres Kommunikationssystem ein ASP zu generieren – ein Feature, das Google für den Zugriff von Drittanbieter-Apps auf Gmail-Konten bereitstellt, ohne das Hauptpasswort preiszugeben. Sobald das ASP übermittelt wurde, erhielten die Angreifer unmittelbaren und dauerhaften IMAP/SMTP-Zugriff auf das Postfach – meist ohne dass zusätzliche Zwei-Faktor-Authentifizierung ausgelöst wurde.

„Diese Methode zeigt, wie Schwachstellen nicht im Code, sondern in der Benutzerführung und Aufklärung liegen“, betonen die GTIG-Forscher Gabby Roncone und Wesley Shields. Besonders gefährlich sei, dass ASPs nach wie vor von vielen Nutzern als harmlos oder temporär betrachtet würden – obwohl sie in Wirklichkeit persistente Zugangscodes darstellen.

Die Kampagne lief von April bis mindestens Anfang Juni 2025. Die Akteure arbeiteten mit gezielten Ködern und maßgeschneiderten E-Mail-Inhalten, die das Vertrauen der Opfer erschleichen sollten – ein Paradebeispiel für moderne, menschzentrierte Angriffstaktiken im Cyberraum.

In Zusammenarbeit mit externen Partnern hat die Google Threat Intelligence Group (GTIG) einen von Russland staatlich geförderten Cyber-Angreifer beobachtet, der sich als Mitarbeiter des US-Außenministeriums ausgab. Von mindestens April bis Anfang Juni 2025 hatte dieser Angreifer prominente Wissenschaftler und Kritiker Russlands ins Visier genommen und oft umfangreiche Maßnahmen zum Aufbau einer Vertrauensbeziehung sowie maßgeschneiderte Köder eingesetzt, um die Opfer davon zu überzeugen, anwendungsspezifische Passwörter (ASP) einzurichten. Sobald das Ziel den ASP-Passcode weitergibt, verschaffen sich die Angreifer dauerhaften Zugriff auf die Mailbox des Opfers. In diesem Beitrag werden zwei unterschiedliche Kampagnen detailliert beschrieben. Diese Aktivität steht im Einklang mit den jüngsten Untersuchungen des Citizen Lab zu Social-Engineering-Angriffen auf ASPs, einer weiteren nützlichen Ressource für Nutzer mit hohem Risiko.

GTIG verfolgt diese Aktivität unter der Bezeichnung UNC6293, einem wahrscheinlich vom russischen Staat gesponserten Cyberakteur, den wir mit geringer Sicherheit als mit APT29 / ICECAP in Verbindung stehend einstufen. Nachdem eine Beziehung aufgebaut war, versendete der Angreifer Phishing-Köder, die als Einladungen zu Besprechungen getarnt waren, und fügte gefälschte E-Mail-Adressen des Außenministeriums in die CC-Zeile der ersten Kontaktaufnahme ein, um die Legitimität des Kontaktversuchs zu erhöhen. Die erste Phishing-E-Mail selbst ist nicht direkt bösartig, sondern fordert das Opfer auf, zu antworten, um ein Treffen zu vereinbaren.

Abbildung 1: Keir Giles, ein bekannter britischer Russland-Experte, veröffentlichte diesen Screenshot eines E-Mail-Headers mit gefälschten E-Mails des US-Außenministeriums, die Teil einer UNC6293-Kampagne waren.

Die Zielpersonen, die darauf reagierten, erhielten eine E-Mail mit einem harmlosen PDF-Anhang. Der Anhänger mit dem Thema „Außenministerium“ ist auf die Zielperson zugeschnitten und enthält Anweisungen für den sicheren Zugriff auf eine gefälschte Cloud-Umgebung des Außenministeriums. Dazu wurden die Opfer aufgefordert, die Website https://account.google.com aufzurufen und ein anwendungsspezifisches Passwort (ASP) oder „App-Passwörter“ zu erstellen. ASPs sind zufällig generierte 16-stellige Passcodes, mit denen Drittanbieter-Anwendungen auf Ihr Google-Konto zugreifen können. Sie sind für Anwendungen und Geräte vorgesehen, die Funktionen wie die 2-Stufen-Verifizierung (2SV) nicht unterstützen. Um ein ASP zu verwenden, müssen Sie es einrichten und einen Namen für die Anwendung vergeben.

Abbildung 2: Harmloses PDF-Dokument mit Anweisungen

In Kampagne eins lautete der in der Lock-PDF vorgeschlagene ASP-Name „ms.state.gov“, in Kampagne zwei beobachteten wir einen ASP-Namen mit ukrainischem und Microsoft-Bezug. Nach der Erstellung des ASP wiesen die Angreifer das Ziel an, ihnen den 16-stelligen Code zu senden. Anschließend richteten die Angreifer einen E-Mail-Client für die Verwendung des ASP ein, wahrscheinlich mit dem Ziel, auf die E-Mail-Korrespondenz des Opfers zuzugreifen und diese zu lesen. Diese Methode ermöglicht den Angreifern außerdem den dauerhaften Zugriff auf Konten.

Campaign	Sender Theme	ASP Name	Attacker Infrastructure Used
Campaign 1	State Department	ms.state.gov	91.190.191.117 – Residential proxy
Campaign 2	Unknown	Ukrainian and Microsoft-themed ASP	91.190.191.117 – Residential proxy

Die Angreifer meldeten sich hauptsächlich über Proxy-Server für Privatanwender und VPS-Server bei den Konten der Opfer an und verwendeten in einigen Fällen dieselbe Infrastruktur, um auf verschiedene Konten von Opfern oder Angreifern zuzugreifen. Dadurch konnten wir die beiden unterschiedlichen Kampagnen, die wir beobachtet hatten, mit demselben Cluster in Verbindung bringen. Wir haben die durch diese Kampagnen kompromittierten Gmail-Konten wieder gesichert.

Abhilfemaßnahmen

GTIG hat es sich zur Aufgabe gemacht, komplexe Bedrohungen zu verstehen und ihnen entgegenzuwirken. Wir nutzen die Ergebnisse unserer Untersuchungen, um die Sicherheit der Google-Produkte zu gewährleisten und unsere Nutzer sowie Unternehmenskunden zu schützen.

Nutzer haben die vollständige Kontrolle über ihre ASPs und können diese nach Bedarf erstellen oder widerrufen. Nach der Erstellung sendet Google eine Benachrichtigung an das entsprechende Gmail-Konto, die Wiederherstellungs-E-Mail-Adresse und alle Geräte, die mit diesem Google-Konto angemeldet sind, um sicherzustellen, dass der Nutzer diese Form der Authentifizierung aktivieren wollte.

Abbildung 3: Google-Konto-Hilfe zu App-Passwörtern

Google bietet erweiterte Ressourcen für mehr Sicherheit, wie beispielsweise das Advanced Protection Program (APP), das für Personen mit hohem Risiko für gezielte Angriffe und andere schwerwiegende Bedrohungen gedacht ist. Durch die Nutzung des APP wird aufgrund der erhöhten Sicherheitsanforderungen des Programms verhindert, dass ein Konto einen ASP erstellt.

Quelle: Google Threat Intelligence

---

Bild/Quelle: https://depositphotos.com/de/home.html