剣 KENSAI
← Back to archive
KENSAI Intelligence

🛡️ Tägliches Sicherheitsbriefing

Samstag, 7. März 2026 · Zusammengestellt aus BleepingComputer, The Hacker News, SecurityWeek

Zusammenfassung: Das FBI untersucht einen Einbruch in seine Überwachungs-/Abhörsysteme. CISA hat iOS-Zero-Days aus dem Coruna-Exploit-Kit in den KEV-Katalog aufgenommen. Der chinesische APT UAT-9244 griff südamerikanische Telekommunikationsunternehmen mit drei neuen Implantaten an. Der iranische APT MuddyWater hat sich in US-amerikanische kritische Infrastruktur eingenistet. Ein massiver Datenschutzvorfall im Gesundheitswesen legte 3,4 Mio. Patientendaten offen. KI-generierte Malware industrialisiert die Operationen von Bedrohungsakteuren.

3
Staatliche Kampagnen
3,4 Mio.
Offengelegte Datensätze
23
iOS-Schwachstellen (Coruna Kit)
90
Zero-Days 2025 (Google)

🔓 Datenlecks & Einbrüche

FBI untersucht Einbruch in Überwachungs- und Abhörsysteme

Das FBI hat bestätigt, dass es „verdächtige Cyberaktivitäten" auf Systemen untersucht, die zur Verwaltung von Überwachungs- und Abhöraufträgen verwendet werden. Der Einbruch — zuerst von CNN gemeldet — betraf Netzwerke, die gerichtlich genehmigte Abhörmaßnahmen und Auslandsgeheimdienst-Überwachung verarbeiten. Das FBI gibt an, der Vorfall sei „behoben" worden, doch das Ausmaß bleibt unklar. Mögliche Verbindungen zur Salt-Typhoon-Kampagne, die 2024 US-Telekommunikationsanbieter kompromittierte, werden untersucht.

Kritisch US-Regierung

Cognizant-TriZetto-Datenleck legt 3,4 Millionen Patientendaten offen

TriZetto Provider Solutions, ein zu Cognizant gehörendes Gesundheits-IT-Unternehmen, das Krankenversicherungen und Gesundheitsdienstleister bedient, hat ein Datenleck offengelegt, bei dem sensible Gesundheitsdaten von über 3,4 Millionen Patienten betroffen sind. Die kompromittierten Daten umfassen personenbezogene Daten (PII) und geschützte Gesundheitsinformationen (PHI). Dies ist einer der größten Datenschutzvorfälle im Gesundheitswesen im Jahr 2026.

Kritisch Gesundheitswesen

Iranischer APT MuddyWater in US-Flughafen, Bank und Softwareunternehmen eingedrungen

Forscher von Symantec und Carbon Black haben entdeckt, dass MuddyWater (Seedworm), ein mit dem iranischen MOIS verbündeter APT, dauerhaften Zugang zu mehreren US-Organisationen aufgebaut hat — darunter Banken, Flughäfen und eine gemeinnützige Organisation — unter Verwendung einer neuen „Dindoor"-Hintertür. Die Aktivitäten begannen im Februar 2026 und eskalierten nach US-/israelischen Angriffen auf den Iran. Ein Softwareunternehmen im Verteidigungs- und Luft­fahrtbereich wurde ebenfalls über seine israelischen Niederlassungen angegriffen.

Hoch Iran / APT

Cybercrime-Forum LeakBase abgeschaltet, Verdächtige festgenommen

Der seit 2021 aktive Marktplatz für gestohlene Zugangsdaten LeakBase mit 142.000 Nutzern wurde von Strafverfolgungsbehörden beschlagnahmt und Verdächtige festgenommen. Das Forum war auf den Handel mit geleakten Zugangsdaten und persönlichen Daten spezialisiert.

Strafverfolgung
Quelle: SecurityWeek

🐛 Kritische CVEs & ausgenutzte Schwachstellen

CISA nimmt 23 iOS-Schwachstellen aus dem Coruna-Exploit-Kit in KEV auf

CISA hat Bundesbehörden angewiesen, iOS-Schwachstellen zu patchen, die vom Coruna-Exploit-Kit ausgenutzt werden — einem Toolkit auf staatlichem Niveau, das 23 Schwachstellen über iOS 13 bis 17.2.1 angreift. Die Schwachstellen wurden bei Cyberspionage und Kryptowährungsdiebstahl eingesetzt. Dies ist eine signifikante Eskalation mobilfokussierter Angriffe.

Kritisch iOS / Mobilgeräte KEV

Cisco Catalyst SD-WAN-Schwachstellen aktiv ausgenutzt (CVE-2026-20128 & CVE-2026-20122)

Cisco hat zwei kürzlich gepatchte Catalyst-SD-WAN-Schwachstellen auf die Liste der aktiv ausgenutzten Schwachstellen gesetzt. CVE-2026-20128 und CVE-2026-20122 werden aktiv angegriffen. Organisationen, die Catalyst SD-WAN einsetzen, sollten umgehend patchen.

Kritisch Netzwerkinfrastruktur
Quelle: SecurityWeek

Rockwell-ICS-Schwachstelle wird jetzt aktiv ausgenutzt

Eine 2021 erstmals offengelegte und behobene Schwachstelle in Rockwell Automation wird nun aktiv bei Angriffen auf industrielle Steuerungssysteme (ICS) ausgenutzt. Die Schwachstelle ermöglicht die Fernübernahme von ICS-Umgebungen und stellt ein Risiko für kritische Infrastruktur dar.

Kritisch ICS / OT
Quelle: SecurityWeek

Google: Die Hälfte der 90 Zero-Days von 2025 zielte auf Unternehmen

Googles jährliche Zero-Day-Analyse zeigt, dass 2025 insgesamt 90 Zero-Day-Schwachstellen in freier Wildbahn ausgenutzt wurden — fast die Hälfte davon gegen Unternehmensprodukte. Spyware-Anbieter und chinesische Staatsakteure waren die am häufigsten zugeordneten Bedrohungsgruppen. Die Verlagerung hin zu unternehmensorientierten Zero-Days signalisiert zunehmende Investitionen der Angreifer in hochwertige Ziele.

Hoch Forschung / Trend
Quelle: SecurityWeek

🌐 Staatliche Akteure & Spionagekampagnen

Chinesischer APT UAT-9244 greift südamerikanische Telcos mit 3 neuen Implantaten an

Cisco Talos hat einen China-verbundenen APT (UAT-9244, assoziiert mit FamousSparrow) identifiziert, der seit 2024 südamerikanische Telekommunikationsinfrastruktur angreift. Drei zuvor nicht dokumentierte Implantate wurden eingesetzt: TernDoor (Windows), PeerTime/angrypeer (Linux) und BruteEntry (Edge-Geräte). Das Cluster zeigt taktische Überschneidungen mit Salt Typhoon, jedoch wurde keine eindeutige Verbindung hergestellt.

China / APT Telekommunikation

Transparent Tribe setzt KI zur Massenproduktion polyglotter Malware ein

Der Pakistan-nahe APT Transparent Tribe hat KI-gestützte Programmiertools übernommen, um hohe Mengen „disposibler, polyglotter Binärdateien" in Nim, Zig und Crystal zu generieren. Die Implantate nutzen vertrauenswürdige Dienste (Slack, Discord, Supabase, Google Sheets) als C2-Kanäle. Bitdefender-Forscher beschreiben dies als „KI-gestützte Malware-Industrialisierung" — eine Verlagerung von Raffinesse zu Volumen. Ziele: Indien.

Pakistan / APT Hoch

💀 Malware & Ransomware

Russischer Ransomware-Betreiber bekennt sich in den USA schuldig

Evgenii Ptitsyn, ein aus Südkorea im November 2024 ausgelieferter russischer Staatsbürger, hat sich in einem US-Gericht der Ransomware-bezogenen Anklage schuldig bekannt. Details zur spezifischen Ransomware-Variante und zur Anzahl der Opfer wurden nicht vollständig offengelegt, doch der Fall unterstreicht die fortgesetzte internationale Zusammenarbeit gegen Ransomware-Betreiber.

Ransomware Strafverfolgung
Quelle: SecurityWeek

VOID#GEIST: Mehrstufige Kampagne liefert XWorm, AsyncRAT und Xeno RAT

Securonix-Forscher dokumentierten eine mehrstufige, verdeckte Kampagne, die verschleierte Batch-Skripte nutzt, um verschlüsselte RAT-Payloads (XWorm, AsyncRAT, Xeno RAT) über legitime Python-Laufzeitumgebungen und Early-Bird-APC-Injection in explorer.exe bereitzustellen. Die Technik ahmt legitime Benutzeraktivität täuschend echt nach, um Erkennung zu umgehen.

Hoch RAT / Malware

Gefälschte Claude-Code-Installationsanleitungen verbreiten Infostealer („InstallFix")

Eine neue Social-Engineering-Variante namens „InstallFix" verleitet Benutzer dazu, schädliche Befehle auszuführen, während sie vermeintlich legitime CLI-Tools wie Claude Code installieren. Diese ClickFix-Derivat-Technik nutzt die Popularität von KI-Entwicklungstools, um informationsstehlende Malware zu verbreiten.

Hoch Social Engineering

Wikipedia von selbstverbreitendem JavaScript-Wurm befallen

Die Wikimedia Foundation wurde Opfer eines Sicherheitsvorfalls mit einem selbstverbreitenden JavaScript-Wurm, der Seiten vandalisierte und sich über die Plattform ausbreitete. Obwohl es sich nicht um einen traditionellen Malware-Angriff handelt, zeigt der Vorfall, dass auch vertrauenswürdige Plattformen für kreative Angriffsvektoren anfällig bleiben.

Web-Sicherheit

🏢 Sicherheitsbranche & Finanzierung

ArmorCode erhält 16 Mio. USD für Exposure-Management-Plattform

ArmorCode sicherte sich 16 Millionen US-Dollar, um seine Plattform für Application Security Posture Management (ASPM) und Exposure Management voranzutreiben. Die Investition fließt in Produktinnovation und Markterweiterung.

Finanzierung
Quelle: SecurityWeek

Evervault erhält 25 Mio. USD in Serie B für Entwickler-Verschlüsselungsplattform

Das Datensicherheitsunternehmen Evervault hat 25 Millionen US-Dollar in einer Serie-B-Finanzierungsrunde eingeworben, womit die Gesamtfinanzierung auf 46 Millionen US-Dollar steigt. Die entwicklerorientierte Plattform bietet Verschlüsselungs- und Datenorchestrierungsfunktionen.

Finanzierung
Quelle: SecurityWeek

Reclaim Security erhält 20 Mio. USD für beschleunigte Behebung

Reclaim Security hat 20 Millionen US-Dollar eingeworben, um sein Engineering-Team zu erweitern, Integrationen zu vertiefen und den Markteintritt seiner auf Behebung fokussierten Sicherheitsplattform zu beschleunigen.

Finanzierung
Quelle: SecurityWeek

📊 Aufkommende Bedrohungsmuster

KI-gestützte Malware-Industrialisierung

Mehrere Berichte dieser Woche bestätigen, dass Bedrohungsakteure KI-Programmiertools als Waffe einsetzen — nicht für Raffinesse, sondern für Volumen. Der „Vibeware"-Ansatz von Transparent Tribe überflutet Ziele mit disposiblen polyglotten Binärdateien. Die InstallFix-Kampagne nutzt die Popularität von KI-Tools für Social Engineering. Bing AI wurde dabei ertappt, gefälschte OpenClaw-Repositories mit Infostealern zu bewerben. Der Trend ist klar: KI senkt die Hürde zur Massenproduktion von Malware und Ködern.

Hoch Trend

Telekommunikationsinfrastruktur unter anhaltendem APT-Druck

Chinesische APTs greifen weiterhin aggressiv die globale Telekommunikationsinfrastruktur an. Das neue Toolset von UAT-9244 (TernDoor, PeerTime, BruteEntry) ergänzt die früheren Salt-Typhoon-Kampagnen. Da das FBI nun Einbrüche in seine eigenen Abhörsysteme untersucht, erzeugt die Konvergenz von Telekommunikations- und Überwachungsinfrastruktur ein kumulatives Risiko für die nationale Sicherheit.

Kritisch Trend

Enterprise-Zero-Days überholen Verbraucherziele

Googles Zero-Day-Bericht 2025 bestätigt einen strukturellen Wandel: Die Hälfte der 90 ausgenutzten Zero-Days zielte auf Unternehmensprodukte (nicht Browser/Mobilgeräte). Spyware-Anbieter und staatliche Akteure investieren verstärkt in Unternehmens-Angriffsflächen — VPNs, SD-WAN-Appliances, ICS-Systeme — wo Erkennung schwächer und die Auswirkungen größer sind.

Hoch Trend