剣 KENSAI
← All posts · security · 2026-03-29 · 6 min

SentinelOne kartiert 8-Phasen-Angriffskette, SANS meldet KI-Umgestaltung der Cyber-Arbeitskräfte, Kaspersky verbindet Coruna mit Triangulation-Framework

SentinelOnes Jahresbedrohungsbericht 2026 dokumentiert eine neue 8-Phasen-Angriffskette, bei der Angreifer MFA umgehen, Cloud-Automatisierung als Waffe einsetzen und vollständige Kampagnen in unter 4 Stunden abschließen. Der SANS-Bericht zur Cyber-Arbeitswelt 2026 zeigt, dass KI die erforderlichen Fähigkeiten grundlegend verändert und die Talentlücke vergrößert. Kaspersky-Forscher bestätigen, dass Coruna-iOS-Exploits Code-Abstammung mit dem berüchtigten Operation-Triangulation-Framework teilen. Sansec entdeckt einen neuartigen WebRTC-basierten Zahlungs-Skimmer, der herkömmliche Sicherheitskontrollen umgeht.


1. SentinelOne Jahresbedrohungsbericht 2026 — Die 8-Phasen-Angriffskette

SentinelOne hat seinen Jahresbedrohungsbericht 2026 veröffentlicht, untertitelt „A Defender's Playbook From the Front Lines", und die Haupterkenntnis ist ein neu dokumentiertes Angriffsmodell: Moderne Bedrohungsakteure führen Angriffe über eine 8-Phasen-Angriffskette durch, die früher wochenlange Aktivitäten in eine einzige koordinierte Kampagne von unter 4 Stunden komprimiert.

Die traditionelle Lockheed-Martin-Kill-Chain (Aufklärung → Waffenentwicklung → Zustellung → Ausnutzung → Installation → Command & Control → Zielerreichung) ist seit 2011 das Standardmodell. SentinelOnes Forschung zeigt, dass reale Angriffe weit über diesen linearen Rahmen hinaus evolviert sind.

Die 8 Phasen

Basierend auf der Analyse tausender Vorfälle in Unternehmens-, Cloud- und Hybrid-Umgebungen im Jahr 2025 identifiziert SentinelOne:

  1. Aufklärung & Zielauswahl: Automatisiertes Scannen kombiniert mit Dark-Web-Intelligence zur Identifizierung hochwertiger Ziele mit bekannten verwundbaren Diensten
  2. Erstzugang: Hauptsächlich über gestohlene Anmeldedaten, MFA-Umgehungstechniken (Adversary-in-the-Middle-Proxys, SIM-Swaps und Push-Fatigue) sowie Supply-Chain-Kompromittierungen
  3. MFA-Umgehung & Session-Hijacking: Eine eigenständige Phase — nicht bloß Teil des Erstzugangs — in der Angreifer gezielt Multi-Faktor-Authentifizierung überwinden
  4. Cloud-Pivot: Sofortige laterale Bewegung von kompromittierter Identität in Cloud-Dienste (Azure AD, AWS IAM, Google Workspace), unter Ausnutzung von SSO-Vertrauensbeziehungen
  5. Automatisierungs-Weaponisierung: Nutzung der eigenen Automatisierungswerkzeuge des Opfers — CI/CD-Pipelines, Infrastructure-as-Code, Orchestrierungsplattformen — zur Bereitstellung bösartiger Payloads
  6. Daten-Staging & Exfiltration: Selektive Datensammlung, optimiert für Erpressungswert, exfiltriert über legitime Cloud-Speicherdienste
  7. Persistenz & Absicherung: Etablierung mehrerer Persistenzmechanismen über Identitäts-, Cloud- und Endpunkt-Ebenen, um partielle Bereinigung zu überleben
  8. Monetarisierung: Gleichzeitige Ausführung von Ransomware-Bereitstellung und Erpressungsforderungen, oft kombiniert mit Drohungen zur Datenveröffentlichung

Wichtige Statistiken aus dem Bericht

KENSAI-Perspektive

Das 8-Phasen-Modell bestätigt, was Verteidiger vermutet haben: Angriffe folgen keinem linearen Pfad mehr. Sie sind parallel, automatisiert und darauf ausgelegt, menschliche Reaktionen zu übertreffen. KENSAIs kontinuierliches Penetration Testing zielt speziell auf die Schwachstellen ab, die Angreifer in den Phasen 1-4 ausnutzen.


2. SANS Institut Cyber-Arbeitskräftebericht 2026 — KI verändert den Sicherheitsberuf

Das SANS Institut hat seinen Bericht 2026 Cyber Workforce: Skills, Shortages, and Shifts in the Age of AI veröffentlicht — die bislang umfassendste Analyse darüber, wie künstliche Intelligenz den Cybersicherheits-Arbeitsmarkt transformiert.

Die Qualifikationslücke wächst

SANS schätzt weltweit 4,7 Millionen unbesetzte Cybersicherheitsstellen — gegenüber 3,9 Millionen im Jahr 2024. Aber die Art der Lücke hat sich grundlegend verändert:

Die neue Rolle: KI-Sicherheitsoperator

SANS identifiziert eine neue Rolle: den KI-Sicherheitsoperator — jemand, der nicht nur Sicherheitstools nutzt, sondern die KI-Systeme verwaltet, abstimmt und validiert, die zunehmend Sicherheitsentscheidungen treffen.


3. Kaspersky verbindet Coruna-iOS-Exploits mit Operation Triangulation

🔬 FORSCHUNG — Coruna-Exploit-Kit teilt Code-Abstammung mit Triangulation

Kaspersky-Forscher haben bestätigt, dass das Coruna-iOS-Exploit-Kit — kürzlich in CISAs KEV-Katalog aufgenommen — aktualisierte Code-Komponenten enthält, die direkt vom 2023 entdeckten Operation-Triangulation-Angriffsframework abstammen.

2023 entdeckte Kaspersky Operation Triangulation — eine der ausgeklügeltsten iOS-Angriffsketten aller Zeiten. Die neueste Forschung zeigt, dass das Coruna-iOS-Exploit-Kit signifikanten Code mit Triangulation teilt:


4. Sansec entdeckt WebRTC-basierten Zahlungs-Skimmer

🔬 FORSCHUNG — WebRTC-Datenkanäle zur Exfiltration von Zahlungsdaten

Sansec-Forscher haben einen neuartigen Zahlungskarten-Skimmer entdeckt, der WebRTC-Datenkanäle verwendet, um gestohlene Zahlungsinformationen zu exfiltrieren und dabei Content-Security-Policy-Beschränkungen und traditionelle Netzwerküberwachung vollständig umgeht.

Funktionsweise

  1. Erstinjektion: Der Skimmer wird über eine kompromittierte Drittanbieter-JavaScript-Bibliothek in die Checkout-Seite injiziert
  2. Datenerfassung: Standard-Tastaturprotokollierung erfasst Kartennummern, CVVs und Rechnungsinformationen
  3. WebRTC-Kanalaufbau: Statt HTTP-Anfragen stellt der Skimmer eine WebRTC-Peer-Verbindung über einen STUN/TURN-Server her
  4. Datenexfiltration: Erfasste Zahlungsdaten werden über den WebRTC-Datenkanal übertragen — eine binäre, verschlüsselte Peer-to-Peer-Verbindung

Bedeutung


5. Push Security — Status der Browser-basierten Angriffe 2026

Push Security hat eine Forschungsreihe zum Status der Browser-Sicherheit gestartet. Wichtige Erkenntnisse:


6. Agentic GRC — Wachstumsschmerzen der Branche bei der Governance

Anecdotes' Analyse der Agentic GRC-Einführung zeigt: Die Hauptherausforderung ist nicht Technologie — sie ist organisatorisches Umdenken. GRC-Teams müssen sich von der Ausführung zur Risikoführung entwickeln.


Forschungs- und Branchenübersicht

ForschungAuswirkungTypKernaussage
SentinelOne Jahresbericht 2026KRITISCHThreat Intelligence8-Phasen-Angriffe in <4 Stunden
SANS Cyber-Arbeitskräftebericht 2026HOCHBranchenforschung4,7M unbesetzte Stellen; KI verändert Fähigkeiten
Kaspersky: Coruna ↔ TriangulationHOCHBedrohungsforschungStaatliche iOS-Exploit-Evolution bestätigt
Sansec: WebRTC-Zahlungs-SkimmerHOCHBedrohungsentdeckungNeue Umgehungstechnik umgeht CSP & WAFs
Push Security: Browser-AngriffsstatusSTRATEGISCHSicherheitsforschungBrowser ist primäre Angriffsfläche
Anecdotes: Agentic GRCINFOBranchenanalyseUmdenken wichtiger als Technologie