← Zurück zum Blog
Security Briefing4 Min. Lesezeit2026-04-27

Security Briefing, 27. April 2026: Snow-Malware über Teams, Itrons Versorger-Netzwerkvorfall, FakeWallet im App Store und die 13-Stunden-Warnung von LMDeploy

Das Muster heute Morgen ist hässlich und konstant: vertrauenswürdige Support-Kanäle, Infrastruktur, App Stores und AI-Tools werden in Hochgeschwindigkeits-Angriffspfade verwandelt.


Kurzfassung: Vier Themen sind kritisch, bevor viele Teams überhaupt ihr Standup beendet haben: chatbasierte Social Engineering mit Domänen-Folgen, ein interner Netzvorfall im Versorgersektor, Wallet-Diebstahl über den App Store und eine AI-Serving-Lücke, die in weniger als einem halben Tag ausgenutzt wurde.


1. Snow-Malware verwandelt Microsoft-Teams-Helpdesk-Vertrauen in einen Pfad zur Domänenkompromittierung

Google Mandiant sagt, dass UNC6692 E-Mail-Bombing mit gefälschter Microsoft-Teams-Helpdesk-Kommunikation kombiniert, um Opfer zur Installation eines angeblichen Anti-Spam-Patches zu drängen. Dieser Patch installiert das Snow-Toolset: SnowBelt für Browser-Persistenz, SnowGlaze für Tunneling und SnowBasin für Befehlsausführung. Danach dumpen die Angreifer LSASS, bewegen sich lateral und exfiltrieren Active-Directory-Material. Das ist kein normales Phishing mehr, sondern missbrauchtes Support-Vertrauen für tiefen Netzwerkzugriff.


2. Itrons interner IT-Verstoß ist eine Warnung für kritische Infrastruktur – auch ohne bestätigte Kundenauswirkungen

Itron meldete unbefugten Zugriff auf bestimmte interne Systeme und erklärt, die Aktivität blockiert, eine Untersuchung gestartet und derzeit keine wesentliche Betriebsstörung festgestellt zu haben. Das ist gut, aber kein Grund zur Entwarnung. Itron sitzt tief in Versorgertechnologie für Energie- und Wasserumgebungen. Wenn ein so eingebetteter Anbieter eine interne Kompromittierung meldet, sollten Versorger und Betreiber das als Warnsignal für Segmentierung, Lieferantenzugänge und Reaktionsbereitschaft lesen.


3. FakeWallet im Apple App Store zeigt, dass vertrauenswürdige mobile Distribution weiter ein Diebstahlskanal ist

Forscher fanden 26 FakeWallet-Apps im Apple App Store, die auf Recovery-Phrases und private Schlüssel zielen, darunter Nachahmungen bekannter Wallets. Teilweise lenkten die Apps Nutzer in trojanisierte Wallet-Installationsflüsse, wobei in der Berichterstattung die Verfügbarkeit im China-App-Store hervorgehoben wurde. Die Lehre geht über Krypto hinaus: Selbst vertrauenswürdige App Stores können zu Lieferkanälen für Credential- und Vermögensdiebstahl werden, wenn Marken-Imitation und mobiles Vertrauen stark genug wirken.


4. Watchlist: LMDeploy beweist, dass AI-Exploit-Fenster kollabieren

LMDeploy CVE-2026-33626, eine SSRF-Lücke in einem Open-Source-LLM-Serving-Stack, wurde Berichten zufolge innerhalb von 12 Stunden und 31 Minuten nach Veröffentlichung ausgenutzt. Das sollte jeden beunruhigen, der AI-Infrastruktur wie gewöhnliche interne Software behandelt. Advisorys liegen heute so nah an Exploit-Prompts, dass Patch-Latenz selbst zum Risiko wird.


Was Sicherheitsteams heute tun sollten

  1. Verifizieren Sie alle Teams-basierten Support-Workflows erneut und erzwingen Sie bei dringenden Helpdesk-Anfragen eine Bestätigung außerhalb des Kanals.
  2. Prüfen Sie Segmentierungsannahmen für kritische Infrastruktur und interne Netze – besonders bei Lieferanten und Remote-Administration.
  3. Verteilen Sie jetzt klare Mobile-Wallet-Hygiene-Hinweise und blockieren Sie riskante Installationsmuster, wo das Gerätemanagement es erlaubt.
  4. Patchen Sie AI-Serving-Komponenten schnell und blockieren Sie standardmäßig Metadaten-, Loopback- und unnötigen Egress-Zugriff aus Model-Infrastruktur.

Quellen


Fazit: Das Muster heute Morgen ist hässlich und konstant: vertrauenswürdige Support-Kanäle, Infrastruktur, App Stores und AI-Tools werden in Hochgeschwindigkeits-Angriffspfade verwandelt.

Finde die Vertrauensbrüche, bevor daraus Incidents werden

KENSAI hilft Teams, exponierte Angriffspfade über Identitätsabläufe, interne Infrastruktur, mobile Software-Lieferketten und AI-Serving-Stacks sichtbar zu machen, bevor Angreifer Vertrauen in Zugriff verwandeln.

Kostenloser Scan →

Bleib wachsam.

🗡️ KENSAI Security Team