剣 KENSAI
← All posts · security · 2026-03-10

Teams-Phishing installiert A0Backdoor, Signal-Hijacking-Kampagne, Salesforce Aura unter Angriff

← Zurück zum Blog

1. Microsoft Teams-Phishing verbreitet A0Backdoor-Malware

🚨 KRITISCH — Aktive Kampagne gegen Finanz- & Gesundheitssektor

Bedrohungsakteure nutzen Microsoft Teams-Nachrichten, um Mitarbeiter im Finanz- und Gesundheitssektor anzugreifen. Nach der Kontaktaufnahme über Teams überzeugen die Angreifer ihre Opfer, Fernzugriff über Quick Assist zu gewähren, ein legitimes Windows-Fernsupport-Tool. Sobald die Verbindung steht, installieren sie eine bisher unbekannte Hintertür namens A0Backdoor.

Besonders bemerkenswert ist die Raffinesse des Social Engineering — die Angreifer geben sich als IT-Support-Personal aus und erzeugen Dringlichkeit rund um angebliche Sicherheitsprobleme. A0Backdoor ermöglicht dauerhaften Zugriff, Diebstahl von Anmeldeinformationen und laterale Bewegung im Netzwerk.

Erforderliche Maßnahmen: Quick Assist über Gruppenrichtlinien einschränken. Mitarbeiter über unaufgeforderte Teams-Supportanfragen aufklären. Ungewöhnliche Fernzugriff-Tool-Aktivitäten überwachen.


2. Google: Cloud-Angriffe verlagern sich von Anmeldedaten auf Schwachstellen-Exploitation

Googles neuester Threat-Intelligence-Bericht zeigt eine signifikante Veränderung der Cloud-Angriffstaktiken. Hacker nutzen zunehmend neu veröffentlichte Schwachstellen in Drittanbieter-Software aus, anstatt sich auf schwache oder gestohlene Anmeldedaten für den initialen Cloud-Zugriff zu verlassen.

Die alarmierendste Erkenntnis: Das Zeitfenster zwischen Schwachstellen-Veröffentlichung und aktiver Ausnutzung hat sich von Wochen auf nur wenige Tage, manchmal Stunden, verkürzt. Dies setzt Sicherheitsteams unter enormen Druck, sofort zu patchen.

KennzahlVorherAktuell
Durchschn. Zeit bis zur Ausnutzung2–4 Wochen1–3 Tage
Häufigster InitialzugriffsvektorGestohlene AnmeldedatenSchwachstellen-Exploitation
Drittanbieter-Software-BeteiligungModeratHauptziel

3. Russische GRU-Hacker kapern Signal- & WhatsApp-Konten

🚨 STAATLICH GESPONSERT — Warnung der niederländischen Regierung

Die niederländische Regierung hat eine offizielle Warnung vor einer laufenden russischen staatlich gesponserten Phishing-Kampagne herausgegeben, die mit dem GRU (russischer Militärgeheimdienst) in Verbindung steht. Die Kampagne richtet sich gegen Regierungsbeamte, Militärpersonal und Journalisten und versucht, deren Signal- und WhatsApp-Konten zu kapern.

Die Angreifer nutzen ausgefeiltes Social Engineering, um ihre Ziele dazu zu bringen, ihre Messaging-Konten mit von Angreifern kontrollierten Geräten zu verknüpfen. Nach der Kompromittierung erhalten die Akteure vollen Zugriff auf verschlüsselte Gespräche, Kontakte und geteilte Medien.

Erforderliche Maßnahmen: Verknüpfte Geräte in den Signal- und WhatsApp-Einstellungen überprüfen. Registrierungssperre bei Signal aktivieren. Hochrangige Mitarbeiter über diese spezifische Bedrohung informieren.


4. Ericsson US-Datenschutzverletzung

Ericssons US-Tochtergesellschaft hat eine Datenschutzverletzung offengelegt, die auf die Kompromittierung eines Drittanbieter-Dienstleisters zurückgeht. Mitarbeiter- und Kundendaten wurden gestohlen, einschließlich personenbezogener Daten.

Dieser Vorfall verdeutlicht das anhaltende Risiko von Lieferkettenangriffen — selbst wenn die eigene Sicherheit robust ist, können Anbieter und Dienstleister zur Schwachstelle werden.


5. ShinyHunters nutzen Salesforce Aura-Schwachstelle aus

⚠️ AKTIVE AUSNUTZUNG — Salesforce Experience Cloud

Die berüchtigte Erpresserbande ShinyHunters nutzt aktiv einen neuen Fehler in Salesforce Experience Cloud (Aura-Framework) aus, um Daten aus falsch konfigurierten Instanzen zu stehlen. Organisationen mit exponierten Salesforce Experience Cloud-Seiten sind unmittelbar gefährdet.

ShinyHunters sind für massive Datenschutzverletzungen bekannt und erpressen ihre Opfer typischerweise mit der Drohung, gestohlene Daten zu veröffentlichen. Die Salesforce Aura-Schwachstelle ermöglicht unbefugten Zugriff auf sensible Datensätze bei fehlerhaft konfigurierten Instanzen.

Erforderliche Maßnahmen: Salesforce Experience Cloud-Konfigurationen sofort überprüfen. Gastbenutzer-Berechtigungen kontrollieren. Auf unerwartete Datenzugriffsmuster prüfen.


6. Bösartiges npm-Paket gibt sich als OpenClaw aus

Ein bösartiges npm-Paket namens @openclaw-ai/openclawai wurde entdeckt, das sich als legitimer Installer tarnt. Das Paket installiert einen Remote-Access-Trojaner (RAT) und stiehlt sensible Daten von macOS-Systemen, darunter:

  • System-Anmeldedaten und Schlüsselbunddaten
  • Browser-Cookies und gespeicherte Passwörter
  • Kryptowährungs-Wallet-Dateien
  • SSH-Schlüssel und Konfiguration
  • iMessage-Verlauf

Das Paket verzeichnete 178 Downloads vor der Erkennung. Dies ist ein klassischer Lieferkettenangriff, der das Vertrauen in Paketmanager ausnutzt.


7. Nordkoreanische UNC4899 kompromittieren Kryptofirma

Googles Mandiant ordnet den Einbruch bei einer Kryptofirma UNC4899 (auch bekannt als TraderTraitor) zu, einer nordkoreanischen Bedrohungsgruppe. Die Angreifer kompromittierten das Ziel über eine trojanisierte AirDrop-Datei und nutzten dann Living-off-the-Cloud-Techniken — den Missbrauch legitimer Cloud-Dienste, um sich in normalem Datenverkehr zu tarnen.

Dies stellt eine Weiterentwicklung nordkoreanischer Cyberoperationen dar und zeigt wachsende Raffinesse bei Cloud-nativen Angriffstechniken.


8. Chrome-Erweiterungen werden nach Eigentümerwechsel bösartig

Zwei Chrome-Erweiterungen wurden dabei erwischt, wie sie nach dem Eigentümerwechsel an neue Entwickler bösartig wurden. Die neuen Besitzer veröffentlichten Updates, die Code-Injection und Datendiebstahl ermöglichten — betroffen waren Nutzer, die die Erweiterungen mit aktivierter Auto-Update-Funktion installiert hatten.

Erforderliche Maßnahmen: Browser-Erweiterungen in Ihrer Organisation überprüfen. Erweiterungs-Allowlisting implementieren. Auf unerwartete Erweiterungs-Updates achten.


9. Cisco Catalyst SD-WAN CVE-2026-20127 unter massenhafter Ausnutzung

🚨 KRITISCHES CVE — Aktive Massenausnutzung

Eine kritische Schwachstelle in Cisco Catalyst SD-WAN (CVE-2026-20127) wird mittlerweile massenhaft von zahlreichen IP-Adressen ausgenutzt. Organisationen mit betroffener Cisco SD-WAN-Infrastruktur sollten sofort patchen oder Gegenmaßnahmen ergreifen.

Erforderliche Maßnahmen: Patches aus Ciscos Sicherheitshinweis sofort anwenden. Falls ein Patch nicht möglich ist, empfohlene Workarounds implementieren und auf Kompromittierungsindikatoren überwachen.


10. ClickFix-Angriff entwickelt sich mit Windows Terminal weiter

Die ClickFix-Social-Engineering-Technik hat sich weiterentwickelt. Angreifer verwenden nun gefälschte CAPTCHA-Seiten, die Opfer anweisen, bösartige Befehle in Windows Terminal einzufügen statt in den traditionellen Ausführen-Dialog. Diese Umgehungstechnik umgeht mehrere Sicherheitskontrollen, die den Ausführen-Dialog überwachen.

Der Wechsel zu Windows Terminal ist bedeutsam, da es eine leistungsfähigere Ausführungsumgebung bietet und von älteren Endpoint-Detection-Tools möglicherweise nicht überwacht wird.


11. Weitere Meldungen

MeldungAuswirkung
FBI untersucht Überwachungssystem-EinbruchFBI ermittelt zu verdächtigen Cyberaktivitäten auf einem System mit sensiblen Überwachungsdaten
CISA nimmt iOS-Schwachstellen in KEV aufCoruna Exploit Kit zielt auf 23 Schwachstellen in iOS 13–17.2.1; staatliches Niveau
US-Cyberstrategie-UpdateNeue Strategie richtet sich gegen Gegner, Schutz kritischer Infrastrukturen sowie KI/Post-Quanten-Kryptographie

Wie KENSAI Sie schützt

Echtzeit-CVE-Überwachung — CVE-2026-20127 und alle kritischen Schwachstellen werden innerhalb von Stunden nach Veröffentlichung erfasst

Lieferkettenanalyse — Erkennung bösartiger Pakete wie dem gefälschten OpenClaw npm-Installer

Cloud-Konfigurationsprüfung — Salesforce-Fehlkonfigurationen identifizieren, bevor ShinyHunters es tun

Kontinuierliches Angriffsflächen-Management — Überwachung Ihrer Exposition über alle Vektoren


Empfohlene Maßnahmen

  1. Sofort: Cisco SD-WAN CVE-2026-20127 patchen. Quick Assist über Gruppenrichtlinien einschränken.
  2. Heute: Salesforce Experience Cloud-Konfigurationen überprüfen. Verknüpfte Geräte in Signal/WhatsApp kontrollieren.
  3. Diese Woche: Browser-Erweiterungen in der gesamten Organisation überprüfen. npm-Abhängigkeiten auf bösartige Pakete prüfen.
  4. Fortlaufend: Kontinuierliches Schwachstellenmanagement implementieren. Mitarbeiter über Teams-Phishing und ClickFix-Techniken schulen.

Schützen Sie Ihre Organisation mit KENSAI

KI-gestütztes Schwachstellen-Scanning und kontinuierliche Sicherheitsüberwachung. Starten Sie noch heute Ihren kostenlosen Scan.

Kostenlosen Scan starten →

Bleiben Sie sicher. Bleiben Sie wachsam.

🗡️ KENSAI Sicherheitsteam

🛡️ Ist Ihre Website sicher?

Entdecken Sie Schwachstellen, bevor es Angreifer tun.

Website kostenlos scannen →

All posts · Permalink