FortiGate-Zugangsdatendiebstahl, KadNap-Botnet trifft 14.000 Router, Microsoft patcht 2 Zero-Days
1. FortiGate-Firewalls zur Entwendung von AD-Zugangsdaten ausgenutzt
🚨 KRITISCH — Aktive Kampagne zielt auf Gesundheitswesen & Behörden
Bedrohungsakteure missbrauchen FortiGate Next-Generation Firewall (NGFW)-Appliances als Einstiegspunkte, um Opfernetzwerke zu kompromittieren. Die Kampagne zielt auf Umgebungen des Gesundheitswesens, der Regierung und von Managed-Service-Providern ab und extrahiert Konfigurationsdateien, die Dienstkonto-Zugangsdaten und Netzwerktopologie-Daten enthalten.
Laut SentinelOne nutzen Angreifer kürzlich offengelegte Schwachstellen — CVE-2025-59718, CVE-2025-59719 und CVE-2026-24858 — oder schwache Zugangsdaten, um FortiGate-Appliances zu kompromittieren. Da diese Geräte oft mit Active Directory und LDAP für rollenbasierte Richtliniendurchsetzung verbunden sind, übergibt eine kompromittierte Appliance den Angreifern die Schlüssel zur gesamten Authentifizierungsinfrastruktur.
In einem dokumentierten Vorfall erstellten Angreifer ein betrügerisches lokales Administratorkonto namens „support", konfigurierten vier permissive Firewall-Richtlinien und entschlüsselten später die Konfigurationsdatei, um Klartext-LDAP-Dienstkonto-Zugangsdaten zu extrahieren. Anschließend registrierten sie betrügerische Arbeitsstationen im Active Directory, bevor sie entdeckt wurden.
Erforderliche Maßnahmen: FortiGate-Appliances sofort auf die neueste Firmware aktualisieren. Alle mit FortiGate verbundenen Dienstkonto-Zugangsdaten rotieren. MFA auf allen Administrationsschnittstellen aktivieren. Auf unautorisierte Kontoerstellung und Änderungen der Firewall-Richtlinien überwachen.
2. KadNap-Botnet kapert über 14.000 ASUS-Router
🚨 KRITISCH — Über 14.000 Geräte kompromittiert, 60 % in den USA
Eine neue Malware namens KadNap hat über 14.000 Edge-Netzwerkgeräte — hauptsächlich ASUS-Router — infiziert, um ein Stealth-Proxy-Botnet zu betreiben. Über 60 % der Opfer befinden sich in den Vereinigten Staaten.
Entdeckt von Black Lotus Labs bei Lumen, verwendet KadNap eine angepasste Version des Kademlia Distributed Hash Table (DHT)-Protokolls, um seine Command-and-Control-Infrastruktur innerhalb eines Peer-to-Peer-Netzwerks zu verbergen, was es sehr widerstandsfähig gegen Takedown-Versuche macht.
Kompromittierte Geräte werden in einen Proxy-Dienst namens Doppelgänger (ein Rebranding des Faceless-Proxy-Netzwerks) eingespeist, der „100 % anonyme" Residential-Proxys in über 50 Ländern verkauft. Die Malware zielt auf ARM- und MIPS-Prozessoren ab, etabliert Persistenz über Cron-Jobs und schließt aktiv den SSH-Zugang auf Port 22, um eine Behebung zu verhindern.
| Detail | Information |
|---|---|
| Infizierte Geräte | Über 14.000 |
| Hauptziel | ASUS-Router |
| US-Opfer | 60 %+ |
| C2-Protokoll | Benutzerdefiniertes Kademlia DHT (P2P) |
| Proxy-Dienst | Doppelgänger (Faceless-Rebranding) |
| Aktiv seit | August 2025 |
Erforderliche Maßnahmen: ASUS-Router-Firmware sofort aktualisieren. Auf unautorisierte Cron-Jobs und unbekannte Prozesse prüfen. Bei Kompromittierung das Gerät auf Werkseinstellungen zurücksetzen. Bekannte C2-IP 212.104.141.140 blockieren.
3. Microsoft March 2026 Patch Tuesday: 2 Zero-Days, 79 Schwachstellen
⚠️ JETZT PATCHEN — 2 öffentlich bekannte Zero-Days
Microsofts March 2026 Patch Tuesday adressiert 79 Sicherheitslücken, darunter 2 öffentlich bekannte Zero-Day-Schwachstellen und 3 als kritisch eingestufte Probleme. Zwei kritische Remote-Code-Execution-Bugs betreffen Microsoft Office und können über den Vorschaubereich ausgelöst werden.
Wichtige Highlights aus dem diesmonatigen Patch-Zyklus:
- SQL Server EoP Zero-Day: Unsachgemäße Zugangskontrolle gewährt SQLAdmin-Privilegien über das Netzwerk
- .NET DoS Zero-Day: Out-of-bounds-Lesevorgang ermöglicht unbefugte Dienstverweigerung über das Netzwerk
- CVE-2026-26110 & CVE-2026-26113: Kritische Office-RCE-Bugs, die über den Vorschaubereich ausnutzbar sind
- CVE-2026-26144: Excel-Informationsoffenlegungs-Schwachstelle, die Daten über Microsoft Copilot exfiltrieren könnte — ermöglicht Zero-Click-Datendiebstahl durch KI-Agentenmodus
Die Copilot-bezogene Schwachstelle (CVE-2026-26144) ist besonders bemerkenswert — sie stellt einen neuen Angriffsvektor dar, bei dem KI-Assistenten als Waffe zur Datenexfiltration ohne Benutzerinteraktion eingesetzt werden können. Dies ist ein Vorbote der KI-gestützten Angriffsfläche, der sich Organisationen nun gegenübersehen.
Erforderliche Maßnahmen: Alle March-2026-Patches sofort bereitstellen. Office-Updates aufgrund der Vorschaubereich-Ausnutzung priorisieren. Copilot-Agent-Berechtigungen überprüfen und Netzwerk-Egress-Fähigkeiten einschränken.
4. BlackSanta EDR-Killer zielt auf Personalabteilungen
⚠️ AKTIVE KAMPAGNE — Russischsprachiger Bedrohungsakteur
Eine ausgeklügelte Kampagne, die seit über einem Jahr läuft, liefert einen neuen EDR-Killer namens BlackSanta an Personalabteilungen über Spear-Phishing-E-Mails mit bösartigen ISO-Dateien, die als Lebensläufe getarnt sind.
Die Angriffskette ist hochgradig evasiv: ISO-Dateien enthalten eine als PDF getarnte Windows-Verknüpfung, ein PowerShell-Skript und ein Bild, das bösartigen Code über Steganographie verbirgt. Der extrahierte Code verwendet DLL-Sideloading über eine legitime SumatraPDF-Ausführungsdatei, führt umfangreiche Sandbox- und VM-Erkennung durch und setzt dann BlackSanta ein.
BlackSanta deaktiviert systematisch die Endpunkterkennung durch:
- Hinzufügen von Microsoft Defender-Ausnahmen für
.dls- und.sys-Dateien - Reduzierung der Telemetrie und automatischen Probenübermittlung an die Microsoft-Cloud
- Unterdrückung von Windows-Benachrichtigungen, um den Benutzer nicht zu alarmieren
- Verwendung von Process Hollowing zur Ausführung von Payloads in legitimen Prozessen
Erforderliche Maßnahmen: Personalabteilungen über Lebenslauf-Phishing-Angriffe warnen. ISO-Dateianhänge am E-Mail-Gateway blockieren. Auf unautorisierte Defender-Ausnahmeänderungen überwachen. Anwendungs-Allowlisting implementieren.
5. HPE kritischer AOS-CX-Authentifizierungsbypass
🚨 KRITISCH — Admin-Passwort-Reset ohne Authentifizierung
HPE hat CVE-2026-23813 gepatcht, einen kritischen Authentifizierungsbypass im Aruba Networking AOS-CX-Betriebssystem, der nicht authentifizierten Remote-Angreifern ermöglicht, Administratorpasswörter zurückzusetzen auf CX-Serie Campus- und Rechenzentrum-Switches.
Die Schwachstelle besteht in der webbasierten Verwaltungsschnittstelle und erfordert nur Angriffe mit geringer Komplexität zur Ausnutzung. Jede Organisation, die HPE AOS-CX-Switches mit exponierten Verwaltungsschnittstellen betreibt, ist unmittelbar gefährdet.
Gegenmaßnahmen bei verzögertem Patching:
- Verwaltungsschnittstellen in ein dediziertes VLAN isolieren
- Strikte Layer-3+-Zugriffskontrollen für Verwaltungsverkehr implementieren
- HTTP(S)-Schnittstellen auf SVIs und gerouteten Ports deaktivieren, wo nicht benötigt
- Control-Plane-ACLs auf REST/HTTP-Verwaltungsendpunkten durchsetzen
6. APT28 setzt BEARDSHELL & COVENANT gegen ukrainisches Militär ein
Russlands APT28 (Fancy Bear / GRU-Einheit 26165) setzt seine Cyberspionage-Kampagne gegen die Ukraine fort und setzt zwei Implantate ein — BEARDSHELL und COVENANT — zur Langzeitüberwachung ukrainischer Militärangehöriger seit April 2024.
ESET berichtet, dass das Arsenal auch SLIMAGENT umfasst, das Keylogging, Screenshot-Erfassung und Zwischenablagedaten-Sammlung kann. Die Kampagne unterstreicht die anhaltende Cyberdimension des russisch-ukrainischen Konflikts und die persistente Ausrichtung auf militärische Kommunikation.
7. Zombie-ZIP-Technik umgeht Sicherheitstools
Eine neue Technik namens „Zombie ZIP" ermöglicht es Angreifern, bösartige Payloads in speziell erstellten komprimierten Dateien zu verbergen, die Antivirus- und EDR-Erkennung umgehen. Die Technik nutzt Unterschiede in der Art und Weise aus, wie Sicherheitstools und legitime Archivsoftware ZIP-Dateien parsen, und schafft blinde Flecken, durch die Malware hindurchschlüpfen kann.
Erforderliche Maßnahmen: Sicherstellen, dass Sicherheitstools verschachtelte und fehlerhaft formatierte Archivformate inspizieren können. In Erwägung ziehen, alle komprimierten Dateianhänge vor der Zustellung an Endbenutzer zu sandboxen.
8. CISA: Ivanti EPM-Schwachstelle wird aktiv ausgenutzt
CISA hat eine kürzlich gepatchte Schwachstelle im Ivanti Endpoint Manager (EPM) in ihren Katalog bekannter ausgenutzter Schwachstellen (KEV) aufgenommen, nachdem eine aktive Ausnutzung in freier Wildbahn bestätigt wurde. Organisationen, die Ivanti EPM einsetzen, müssen das Patching sofort priorisieren.
Das Muster, dass Ivanti-Schwachstellen schnell bewaffnet werden, setzt sich fort — dies ist die neueste in einer langen Reihe kritischer Ivanti-Schwachstellen, die innerhalb von Tagen von der Offenlegung zur Ausnutzung übergehen.
9. BeatBanker Android-Malware tarnt sich als Starlink-App
Ein neuer Android-Banking-Trojaner namens BeatBanker wird über gefälschte Google Play Store-Websites verbreitet und tarnt sich als Starlink-Anwendung. Nach der Installation kapert die Malware Geräte, um Banking-Zugangsdaten und Finanztransaktionen abzufangen.
Erforderliche Maßnahmen: Apps nur aus dem offiziellen Google Play Store installieren. Google Play Protect aktivieren. Benutzer über gefälschte App-Stores aufklären.
10. Microsoft Entra Passkey-Unterstützung für Windows
Positiv zu vermerken ist, dass Microsoft die Passkey-Unterstützung für Microsoft Entra auf Windows-Geräten einführt und phishing-resistente passwortlose Authentifizierung über Windows Hello ermöglicht. Dies ist ein bedeutender Schritt zur Eliminierung passwortbasierter Angriffe — Organisationen sollten mit der Planung der Entra-Passkey-Bereitstellung beginnen.
Weitere Schlagzeilen
| Meldung | Auswirkung |
|---|---|
| Nordkoreanische UNC4899 kompromittiert Kryptofirma | Trojanisierte AirDrop-Datei + Living-off-the-Cloud-Techniken stehlen Millionen in Kryptowährung |
| Windows 10 KB5078885 ESU veröffentlicht | Erweitertes Sicherheitsupdate für Windows 10 adressiert March Patch Tuesday-Schwachstellen einschließlich 2 Zero-Days |
| Bösartiges npm-Paket imitiert OpenClaw | Paket installiert RAT und stiehlt macOS-Zugangsdaten, SSH-Schlüssel, Krypto-Wallets und iMessage-Verlauf |
Wie KENSAI Sie schützt
✅ Edge-Geräte-Überwachung — Erkennung kompromittierter FortiGate-, ASUS- und HPE-Geräte, bevor Angreifer tiefer eindringen
✅ Patch-Intelligence — Priorisierte CVE-Verfolgung für Microsoft, Ivanti und Netzwerkinfrastruktur innerhalb von Stunden nach Offenlegung
✅ EDR-Integritätsprüfungen — Identifizierung von BlackSanta-artiger Manipulation an Endpunkt-Sicherheitskonfigurationen
✅ KI-Sicherheitslage — Überwachung von Copilot- und KI-Agent-Berechtigungen zur Verhinderung von Datenexfiltrationsvektoren wie CVE-2026-26144
Empfohlene Maßnahmen
- Sofort: FortiGate auf neueste Firmware patchen. Microsoft March 2026-Patches bereitstellen. HPE AOS-CX-Switches aktualisieren.
- Heute: ASUS-Router auf KadNap-Indikatoren prüfen. Alle mit FortiGate verbundenen Dienstkonto-Zugangsdaten rotieren. Copilot-Agent-Netzwerk-Egress-Einstellungen überprüfen.
- Diese Woche: ISO-Anhänge an E-Mail-Gateways blockieren. Ivanti EPM-Bereitstellungen auditieren. Entra-Passkey-Rollout planen.
- Fortlaufend: Auf EDR-Manipulationsmuster überwachen. Personalabteilungen über Lebenslauf-Phishing informieren. Zero-Trust für Netzwerk-Appliance-Management implementieren.
Schützen Sie Ihre Organisation mit KENSAI
KI-gestütztes Schwachstellen-Scanning und kontinuierliche Sicherheitsüberwachung. Starten Sie noch heute Ihren kostenlosen Scan.
Kostenlosen Scan starten →Bleiben Sie sicher. Bleiben Sie wachsam.
🗡️ KENSAI Sicherheitsteam
🛡️ Ist Ihre Website sicher?
Entdecken Sie Schwachstellen, bevor es Angreifer tun.
Website kostenlos scannen →