剣 KENSAI
← Back to archive

🛡️ KENSAI Sicherheitsintelligenz

Tägliches Bedrohungsbriefing — Montag, 9. März 2026 · Automatisch erstellt um 04:00 MEZ

5
Bedrohungsakteure
3
Kritische CVEs
2
Tool-Veröffentlichungen
4
Sicherheitsvorfälle

⚡ TL;DR — Top-Meldungen

  • FBI untersucht Sicherheitsvorfall bei System mit sensiblen Überwachungsdaten
  • Cognizant TriZetto-Datenleck legt Gesundheitsdaten von 3,4 Mio. Patienten offen
  • Cisco SD-WAN CVE-2026-20127 wird jetzt aktiv in freier Wildbahn ausgenutzt
  • Anthropic fand 22 Firefox-Schwachstellen mit Claude Opus 4.6 in zwei Wochen
  • Irans MuddyWater hat sich in US-Banken und Flughäfen mit neuer Dindoor-Backdoor eingenistet
  • KI-generierte Malware wird zum Mainstream — Transparent Tribe produziert massenhaft „Vibeware"

🔓 Datenschutzverletzungen & Eindringlinge

FBI untersucht Sicherheitsvorfall bei sensiblem Überwachungssystem

Kritisch US-Regierung

Das FBI untersucht „verdächtige" Cyberaktivitäten in einem System, das sensible Überwachungsinformationen enthält. Die Behörde arbeitet daran, Umfang und Auswirkungen zu bestimmen, gemäß einer Mitteilung an den Kongress. Das kompromittierte System enthält Berichten zufolge FISA-bezogene Daten.

Quelle: SecurityWeek

Cognizant TriZetto-Datenleck legt 3,4 Millionen Patientenakten offen

Hoch Gesundheitswesen

Das Healthcare-IT-Unternehmen TriZetto Provider Solutions (eine Cognizant-Tochtergesellschaft) erlitt einen Sicherheitsvorfall, bei dem sensible Gesundheitsinformationen von über 3,4 Millionen Menschen offengelegt wurden. Das Unternehmen entwickelt Software, die von Krankenversicherungen und Gesundheitsdienstleistern in den gesamten USA genutzt wird.

Transport for London — Datenschutzverletzung betrifft 10 Millionen

Hoch UK Verkehr

Transport for London (TfL) bestätigte eine Datenschutzverletzung, die etwa 10 Millionen Personen betrifft. Details werden nach einem früheren Cybervorfall beim britischen Verkehrsbetreiber bekannt.

Quelle: SecurityWeek

Iranische APT MuddyWater in US-Bank, Flughafen und Softwareunternehmen eingenistet

Kritisch Nationalstaat Iran

Broadcoms Symantec entdeckte, dass die iranisch verknüpfte Gruppe MuddyWater (Seedworm) sich in Netzwerke von US-Banken, Flughäfen, einer gemeinnützigen Organisation und der israelischen Niederlassung eines Verteidigungs-/Luftfahrt-Softwareunternehmens eingenistet hat. Die Kampagne nutzt eine neue Backdoor namens „Dindoor" und begann Anfang Februar 2026, wobei die Aktivität nach US-israelischen Angriffen auf den Iran zunahm.

🐛 Kritische CVEs & Exploits

CVE-2026-20127 — Cisco Catalyst SD-WAN (Aktiv ausgenutzt)

Kritisch Netzwerk

WatchTowr berichtet über Ausnutzungsversuche von zahlreichen einzigartigen IPs, die auf diese Cisco Catalyst SD-WAN-Schwachstelle abzielen. Organisationen mit betroffener SD-WAN-Infrastruktur sollten umgehend patchen.

Quelle: SecurityWeek

CISA fügt Hikvision & Rockwell CVSS-9.8-Schwachstellen zum KEV-Katalog hinzu

CVSS 9.8 ICS/OT

CISA hat zwei kritische Schwachstellen in ihren Katalog bekannter ausgenutzter Schwachstellen aufgenommen: CVE-2017-7921 (Hikvision fehlerhafte Authentifizierung) und eine Rockwell Automation-Schwachstelle, die Remote-ICS-Hacking ermöglicht. Bei beiden gibt es Hinweise auf aktive Ausnutzung.

CISA ordnet Behörden an, iOS-Schwachstellen zu patchen — Coruna Exploit Kit

Hoch Mobil Spyware

CISA ordnete US-Bundesbehörden an, drei iOS-Schwachstellen zu patchen, die vom staatlich unterstützten „Coruna" Exploit Kit angegriffen werden. Dieses zielt auf 23 Schwachstellen von iOS 13 bis 17.2.1 ab und wird in Cyberspionage- und Krypto-Diebstahl-Kampagnen eingesetzt.

Anthropic entdeckt 22 Firefox-Schwachstellen mit KI

14 Hochgradig Browser

Anthropics Claude Opus 4.6 fand 22 Schwachstellen in Firefox (14 hochgradig, 7 mittel, 1 niedrig) in nur zwei Wochen — fast ein Fünftel aller hochgradigen Fehler, die 2025 in Firefox behoben wurden. Eine Use-after-free-Schwachstelle wurde in nur 20 Minuten erkannt. Behoben in Firefox 148. Anthropic demonstrierte auch begrenzte Exploit-Generierungsfähigkeiten (4.000 $ an API-Guthaben, 2 erfolgreiche Exploits bei Hunderten von Versuchen).

💀 Ransomware & Malware

Termite-Ransomware mit ClickFix + CastleRAT-Angriffen verknüpft

Hoch Ransomware

Die Bedrohungsgruppe Velvet Tempest setzt Termite-Ransomware über die ClickFix-Social-Engineering-Technik und legitime Windows-Dienstprogramme ein, um DonutLoader und die CastleRAT-Backdoor zu verbreiten. Die ClickFix-Technik entwickelt sich über mehrere Bedrohungsakteure hinweg weiter.

ClickFix-Kampagnen nehmen zu — jetzt mit Windows Terminal

Hoch Social Engineering

Microsoft hat eine neue ClickFix-Variante aufgedeckt, die Windows Terminal (anstelle des Ausführen-Dialogs) nutzt, um Lumma Stealer zu verbreiten. Separat zielt eine neue „InstallFix"-Variante auf Nutzer mit gefälschten Claude Code-Installationsanleitungen ab, um Infostealer zu verbreiten. ClickFix ist jetzt der dominierende Social-Engineering-Vektor über mehrere Bedrohungsgruppen hinweg.

VOID#GEIST: Mehrstufige Kampagne liefert XWorm, AsyncRAT, Xeno RAT

Malware RAT

Securonix deckte eine mehrstufige Malware-Kampagne auf, die verschleierte Batch-Skripte zur Auslieferung verschlüsselter RAT-Payloads verwendet. Nutzt legitime Python-Laufzeitumgebung und Early-Bird-APC-Injection in explorer.exe. Zeigt den Trend zu skriptbasierter Auslieferung, die legitime Benutzeraktivität imitiert.

Über 100 GitHub-Repos verbreiten BoryptGrab Stealer

Hoch Lieferkette

Über 100 GitHub-Repositories wurden gefunden, die den BoryptGrab Stealer verbreiten, der auf Browserdaten, Kryptowährungs-Wallets, Systeminformationen und Benutzerdateien abzielt. Teil des wachsenden Trends, vertrauenswürdige Entwicklerplattformen für die Malware-Verbreitung zu missbrauchen.

Quelle: SecurityWeek

🕵️ Nationalstaatliche & APT-Aktivitäten

Transparent Tribe — KI-generierte „Vibeware"-Massenproduktion

Pakistan KI-Malware Indien

Die Pakistan-nahe Gruppe Transparent Tribe nutzt KI-Coding-Tools zur Massenproduktion von Malware-Implantaten in weniger verbreiteten Sprachen (Nim, Zig, Crystal), gehostet auf Slack, Discord, Supabase und Google Sheets. Bitdefender bezeichnet dies als „KI-gestützte Malware-Industrialisierung" — Überflutung von Zielen mit wegwerfbaren polyglotten Binärdateien. Ein Meilenstein in KI-gestützten offensiven Operationen.

China-verknüpfte UAT-9244 zielt auf südamerikanische Telekommunikation

China Telekom APT

Cisco Talos verfolgt UAT-9244 (verknüpft mit FamousSparrow / potenzielle Überschneidung mit Salt Typhoon), die seit 2024 auf kritische Telekommunikationsinfrastruktur in Südamerika abzielt. Nutzt drei Implantate: TernDoor, PeerTime und BruteEntry auf Windows, Linux und Edge-Geräten.

Hacker missbrauchen .arpa-DNS & IPv6 zur Umgehung von Phishing-Abwehr

Umgehung Phishing

Bedrohungsakteure nutzen die Spezialnutzungs-Domain .arpa und IPv6-Reverse-DNS in Phishing-Kampagnen, um Domain-Reputationsprüfungen und E-Mail-Sicherheitsgateways zu umgehen. Eine neuartige Umgehungstechnik, die traditionelle URL-Filterung aushebelt.

🔧 Sicherheitstools & Veröffentlichungen

OpenAI Codex Security — KI-Schwachstellenscanner

Tool-Veröffentlichung KI-Sicherheit

OpenAI hat Codex Security in der Forschungsvorschau gestartet — ein KI-gestützter Agent, der Schwachstellen findet, validiert und Korrekturen vorschlägt. In der Beta 1,2 Mio. Commits gescannt, 10.561 hochgradige Probleme gefunden. Verfügbar für ChatGPT Pro/Enterprise/Business/Edu. Im ersten Monat kostenlos. Wettbewerbshinweis: Direkter Konkurrent von KENSAIs automatisierten Scan-Fähigkeiten.

ArmorCode sammelt 16 Mio. $ für Exposure-Management-Plattform

Finanzierung AppSec

ArmorCode hat 16 Mio. $ eingesammelt, um die Entwicklung seiner Exposure-Management-Plattform zu beschleunigen. Das Unternehmen konzentriert sich auf Application Security Posture Management (ASPM) und die Konsolidierung des Schwachstellenmanagements.

Quelle: SecurityWeek

Evervault sammelt 25 Mio. $ in Series B für Entwickler-Verschlüsselungsplattform

Finanzierung Datensicherheit

Das Datensicherheitsunternehmen Evervault hat 25 Mio. $ (Series B, insgesamt 46 Mio. $) für seine entwicklerfokussierte Verschlüsselungs- und Orchestrierungsplattform eingesammelt. Wachsende Marktnachfrage nach Privacy-by-Design-Lösungen.

Quelle: SecurityWeek

📊 Aufkommende Trends & Analysen

Microsoft: Hacker nutzen KI in jeder Phase von Cyberangriffen

Trend KI-Bedrohungen

Microsoft warnt, dass Bedrohungsakteure zunehmend KI in allen Phasen einsetzen — Aufklärung, Social Engineering, Malware-Entwicklung, laterale Bewegung und Datenexfiltration. KI senkt technische Hürden und beschleunigt Angriffszeitpläne. Zusammen mit Transparent Tribes Vibeware und Anthropics Firefox-Funden markiert der März 2026 einen klaren Wendepunkt für KI in Angriff und Verteidigung.

Google: Die Hälfte der 90 Zero-Days von 2025 zielte auf Unternehmen

Trend Zero-Day

Googles jährliche Zero-Day-Analyse zeigt 90 ausgenutzte Zero-Days im Jahr 2025, wobei fast die Hälfte auf Unternehmensprodukte abzielte. Spyware-Anbieter und China-verknüpfte Gruppen führten die Zuordnung an. Die Verschiebung hin zu Unternehmenszielen unterstreicht die Notwendigkeit proaktiven Schwachstellenmanagements.

Quelle: SecurityWeek

ClickFix Social Engineering — Der dominierende Vektor 2026

Trend Social Engineering

ClickFix und seine Varianten (InstallFix, CastleRAT-Auslieferung) werden jetzt von mindestens 3 verschiedenen Bedrohungsgruppen verwendet (Velvet Tempest, generische Lumma-Kampagnen, gefälschte CLI-Tool-Installer). Die Technik verleitet Nutzer dazu, schädliche Befehle auszuführen, indem sie sich als Installations- oder Reparaturverfahren tarnt. Sie ist zur Social-Engineering-Technik der Wahl für 2026 geworden.

Aktualisierung der US-Cyberstrategie & Führungswechsel im Pentagon

Politik US-Regierung

Trumps neue Cyberstrategie betont stärkere Abschreckung, Modernisierung der Bundesnetzwerke, Schutz kritischer Infrastruktur und Investitionen in KI + Post-Quanten-Kryptographie. James „Aaron" Bishop wird neuer Pentagon-CISO und löst David McKeown nach 40 Jahren Staatsdienst ab.

Quelle: SecurityWeek

🎯 KENSAI-Relevanz

Wettbewerbsintelligenz

OpenAI Codex Security wurde als direkter Konkurrent im Bereich KI-gestützter Schwachstellenscanner gestartet. Wesentliches Unterscheidungsmerkmal für KENSAI: Codex konzentriert sich auf Code-/Commit-Scanning, während KENSAI Full-Stack-Pentesting (DAST + Infrastruktur) bietet. KENSAI als „umfassende Sicherheitsbewertung" vs. Codex' „reiner Code-Ansatz" positionieren.

Content-Möglichkeiten

Blogpost „KI vs. KI" — Wie KI Schwachstellen findet (Anthropic/Firefox) und wie KI Malware erstellt (Transparent Tribe). KENSAI als Verteidigungsseite dieses Wettrüstens.
ClickFix-Awareness-Leitfaden — Mehrere Varianten sind jetzt aktiv; einen Erkennungs-/Präventionsleitfaden schreiben.
CVE-Abdeckung — CVE-2026-20127 (Cisco SD-WAN) wird aktiv ausgenutzt; zur KENSAI CVE-Datenbank hinzufügen, falls noch nicht vorhanden.

Zusammengestellt von KENSAI Security Intelligence · kensai.app
Quellen: BleepingComputer · The Hacker News · SecurityWeek · CISA
Nächster Bericht: 10. März 2026 · 04:00 MEZ