Teams-Phishing installiert A0Backdoor, Signal-Hijacking-Kampagne, Salesforce Aura unter Angriff
1. Microsoft Teams-Phishing verbreitet A0Backdoor-Malware
🚨 KRITISCH — Aktive Kampagne gegen Finanz- & Gesundheitssektor
Bedrohungsakteure nutzen Microsoft Teams-Nachrichten, um Mitarbeiter im Finanz- und Gesundheitssektor anzugreifen. Nach der Kontaktaufnahme über Teams überzeugen die Angreifer ihre Opfer, Fernzugriff über Quick Assist zu gewähren, ein legitimes Windows-Fernsupport-Tool. Sobald die Verbindung steht, installieren sie eine bisher unbekannte Hintertür namens A0Backdoor.
Besonders bemerkenswert ist die Raffinesse des Social Engineering — die Angreifer geben sich als IT-Support-Personal aus und erzeugen Dringlichkeit rund um angebliche Sicherheitsprobleme. A0Backdoor ermöglicht dauerhaften Zugriff, Diebstahl von Anmeldeinformationen und laterale Bewegung im Netzwerk.
Erforderliche Maßnahmen: Quick Assist über Gruppenrichtlinien einschränken. Mitarbeiter über unaufgeforderte Teams-Supportanfragen aufklären. Ungewöhnliche Fernzugriff-Tool-Aktivitäten überwachen.
2. Google: Cloud-Angriffe verlagern sich von Anmeldedaten auf Schwachstellen-Exploitation
Googles neuester Threat-Intelligence-Bericht zeigt eine signifikante Veränderung der Cloud-Angriffstaktiken. Hacker nutzen zunehmend neu veröffentlichte Schwachstellen in Drittanbieter-Software aus, anstatt sich auf schwache oder gestohlene Anmeldedaten für den initialen Cloud-Zugriff zu verlassen.
Die alarmierendste Erkenntnis: Das Zeitfenster zwischen Schwachstellen-Veröffentlichung und aktiver Ausnutzung hat sich von Wochen auf nur wenige Tage, manchmal Stunden, verkürzt. Dies setzt Sicherheitsteams unter enormen Druck, sofort zu patchen.
| Kennzahl | Vorher | Aktuell |
|---|---|---|
| Durchschn. Zeit bis zur Ausnutzung | 2–4 Wochen | 1–3 Tage |
| Häufigster Initialzugriffsvektor | Gestohlene Anmeldedaten | Schwachstellen-Exploitation |
| Drittanbieter-Software-Beteiligung | Moderat | Hauptziel |
3. Russische GRU-Hacker kapern Signal- & WhatsApp-Konten
🚨 STAATLICH GESPONSERT — Warnung der niederländischen Regierung
Die niederländische Regierung hat eine offizielle Warnung vor einer laufenden russischen staatlich gesponserten Phishing-Kampagne herausgegeben, die mit dem GRU (russischer Militärgeheimdienst) in Verbindung steht. Die Kampagne richtet sich gegen Regierungsbeamte, Militärpersonal und Journalisten und versucht, deren Signal- und WhatsApp-Konten zu kapern.
Die Angreifer nutzen ausgefeiltes Social Engineering, um ihre Ziele dazu zu bringen, ihre Messaging-Konten mit von Angreifern kontrollierten Geräten zu verknüpfen. Nach der Kompromittierung erhalten die Akteure vollen Zugriff auf verschlüsselte Gespräche, Kontakte und geteilte Medien.
Erforderliche Maßnahmen: Verknüpfte Geräte in den Signal- und WhatsApp-Einstellungen überprüfen. Registrierungssperre bei Signal aktivieren. Hochrangige Mitarbeiter über diese spezifische Bedrohung informieren.
4. Ericsson US-Datenschutzverletzung
Ericssons US-Tochtergesellschaft hat eine Datenschutzverletzung offengelegt, die auf die Kompromittierung eines Drittanbieter-Dienstleisters zurückgeht. Mitarbeiter- und Kundendaten wurden gestohlen, einschließlich personenbezogener Daten.
Dieser Vorfall verdeutlicht das anhaltende Risiko von Lieferkettenangriffen — selbst wenn die eigene Sicherheit robust ist, können Anbieter und Dienstleister zur Schwachstelle werden.
5. ShinyHunters nutzen Salesforce Aura-Schwachstelle aus
⚠️ AKTIVE AUSNUTZUNG — Salesforce Experience Cloud
Die berüchtigte Erpresserbande ShinyHunters nutzt aktiv einen neuen Fehler in Salesforce Experience Cloud (Aura-Framework) aus, um Daten aus falsch konfigurierten Instanzen zu stehlen. Organisationen mit exponierten Salesforce Experience Cloud-Seiten sind unmittelbar gefährdet.
ShinyHunters sind für massive Datenschutzverletzungen bekannt und erpressen ihre Opfer typischerweise mit der Drohung, gestohlene Daten zu veröffentlichen. Die Salesforce Aura-Schwachstelle ermöglicht unbefugten Zugriff auf sensible Datensätze bei fehlerhaft konfigurierten Instanzen.
Erforderliche Maßnahmen: Salesforce Experience Cloud-Konfigurationen sofort überprüfen. Gastbenutzer-Berechtigungen kontrollieren. Auf unerwartete Datenzugriffsmuster prüfen.
6. Bösartiges npm-Paket gibt sich als OpenClaw aus
Ein bösartiges npm-Paket namens @openclaw-ai/openclawai wurde entdeckt, das sich als legitimer Installer tarnt. Das Paket installiert einen Remote-Access-Trojaner (RAT) und stiehlt sensible Daten von macOS-Systemen, darunter:
- System-Anmeldedaten und Schlüsselbunddaten
- Browser-Cookies und gespeicherte Passwörter
- Kryptowährungs-Wallet-Dateien
- SSH-Schlüssel und Konfiguration
- iMessage-Verlauf
Das Paket verzeichnete 178 Downloads vor der Erkennung. Dies ist ein klassischer Lieferkettenangriff, der das Vertrauen in Paketmanager ausnutzt.
7. Nordkoreanische UNC4899 kompromittieren Kryptofirma
Googles Mandiant ordnet den Einbruch bei einer Kryptofirma UNC4899 (auch bekannt als TraderTraitor) zu, einer nordkoreanischen Bedrohungsgruppe. Die Angreifer kompromittierten das Ziel über eine trojanisierte AirDrop-Datei und nutzten dann Living-off-the-Cloud-Techniken — den Missbrauch legitimer Cloud-Dienste, um sich in normalem Datenverkehr zu tarnen.
Dies stellt eine Weiterentwicklung nordkoreanischer Cyberoperationen dar und zeigt wachsende Raffinesse bei Cloud-nativen Angriffstechniken.
8. Chrome-Erweiterungen werden nach Eigentümerwechsel bösartig
Zwei Chrome-Erweiterungen wurden dabei erwischt, wie sie nach dem Eigentümerwechsel an neue Entwickler bösartig wurden. Die neuen Besitzer veröffentlichten Updates, die Code-Injection und Datendiebstahl ermöglichten — betroffen waren Nutzer, die die Erweiterungen mit aktivierter Auto-Update-Funktion installiert hatten.
Erforderliche Maßnahmen: Browser-Erweiterungen in Ihrer Organisation überprüfen. Erweiterungs-Allowlisting implementieren. Auf unerwartete Erweiterungs-Updates achten.
9. Cisco Catalyst SD-WAN CVE-2026-20127 unter massenhafter Ausnutzung
🚨 KRITISCHES CVE — Aktive Massenausnutzung
Eine kritische Schwachstelle in Cisco Catalyst SD-WAN (CVE-2026-20127) wird mittlerweile massenhaft von zahlreichen IP-Adressen ausgenutzt. Organisationen mit betroffener Cisco SD-WAN-Infrastruktur sollten sofort patchen oder Gegenmaßnahmen ergreifen.
Erforderliche Maßnahmen: Patches aus Ciscos Sicherheitshinweis sofort anwenden. Falls ein Patch nicht möglich ist, empfohlene Workarounds implementieren und auf Kompromittierungsindikatoren überwachen.
10. ClickFix-Angriff entwickelt sich mit Windows Terminal weiter
Die ClickFix-Social-Engineering-Technik hat sich weiterentwickelt. Angreifer verwenden nun gefälschte CAPTCHA-Seiten, die Opfer anweisen, bösartige Befehle in Windows Terminal einzufügen statt in den traditionellen Ausführen-Dialog. Diese Umgehungstechnik umgeht mehrere Sicherheitskontrollen, die den Ausführen-Dialog überwachen.
Der Wechsel zu Windows Terminal ist bedeutsam, da es eine leistungsfähigere Ausführungsumgebung bietet und von älteren Endpoint-Detection-Tools möglicherweise nicht überwacht wird.
11. Weitere Meldungen
| Meldung | Auswirkung |
|---|---|
| FBI untersucht Überwachungssystem-Einbruch | FBI ermittelt zu verdächtigen Cyberaktivitäten auf einem System mit sensiblen Überwachungsdaten |
| CISA nimmt iOS-Schwachstellen in KEV auf | Coruna Exploit Kit zielt auf 23 Schwachstellen in iOS 13–17.2.1; staatliches Niveau |
| US-Cyberstrategie-Update | Neue Strategie richtet sich gegen Gegner, Schutz kritischer Infrastrukturen sowie KI/Post-Quanten-Kryptographie |
Wie KENSAI Sie schützt
✅ Echtzeit-CVE-Überwachung — CVE-2026-20127 und alle kritischen Schwachstellen werden innerhalb von Stunden nach Veröffentlichung erfasst
✅ Lieferkettenanalyse — Erkennung bösartiger Pakete wie dem gefälschten OpenClaw npm-Installer
✅ Cloud-Konfigurationsprüfung — Salesforce-Fehlkonfigurationen identifizieren, bevor ShinyHunters es tun
✅ Kontinuierliches Angriffsflächen-Management — Überwachung Ihrer Exposition über alle Vektoren
Empfohlene Maßnahmen
- Sofort: Cisco SD-WAN CVE-2026-20127 patchen. Quick Assist über Gruppenrichtlinien einschränken.
- Heute: Salesforce Experience Cloud-Konfigurationen überprüfen. Verknüpfte Geräte in Signal/WhatsApp kontrollieren.
- Diese Woche: Browser-Erweiterungen in der gesamten Organisation überprüfen. npm-Abhängigkeiten auf bösartige Pakete prüfen.
- Fortlaufend: Kontinuierliches Schwachstellenmanagement implementieren. Mitarbeiter über Teams-Phishing und ClickFix-Techniken schulen.
Schützen Sie Ihre Organisation mit KENSAI
KI-gestütztes Schwachstellen-Scanning und kontinuierliche Sicherheitsüberwachung. Starten Sie noch heute Ihren kostenlosen Scan.
Kostenlosen Scan starten →Bleiben Sie sicher. Bleiben Sie wachsam.
🗡️ KENSAI Sicherheitsteam
🛡️ Ist Ihre Website sicher?
Entdecken Sie Schwachstellen, bevor es Angreifer tun.
Website kostenlos scannen →