剣 KENSAI
← Back to archive

Tägliches Bedrohungsbriefing

17.03.2026 · Dienstag · 04:00 MEZ
Automatisierte 24-Stunden-Analyse der Sicherheitslage
4
Sicherheitsvorfälle
3
Kritische CVEs
2
APT-Kampagnen
3
Neue Tools

⚡ Zusammenfassung — Das Wichtigste heute

  • Stryker-Wiper-Angriff: Die irannahe Gruppe Handala nutzte die Intune-Fernlöschung auf ~80.000 Geräten — keine Malware nötig, nur ein gestohlenes Global-Admin-Konto
  • GlassWorm-Lieferketten-Eskalation: Gestohlene GitHub-Tokens wurden genutzt, um Malware per Force-Push in Hunderte Python-Repositories einzuschleusen (Django, ML, PyPI-Pakete)
  • Chrome-0-Days gepatcht: CVE-2026-3909 (Skia) und CVE-2026-3910 (V8) werden aktiv ausgenutzt — sofort aktualisieren
  • Oracle EBS-Breach: Nur noch 4 Großunternehmen (Broadcom, Bechtel, Estée Lauder, Abbott) haben sich nicht zu den Auswirkungen geäußert
  • DRILLAPP-Backdoor: Russlandnahe Akteure greifen die Ukraine über Edge-Browser-Debugging an — Mikrofon- und Webcam-Zugriff
  • Betterleaks veröffentlicht: Neuer Open-Source-Secrets-Scanner vom Gitleaks-Entwickler — schneller, intelligenter, MIT-lizenziert

🔓 Sicherheitsvorfälle & Datenlecks

Stryker: Irannaher Wiper-Angriff trifft ~80.000 Geräte

📅 16. März 🏢 Stryker (MedTech) 🌍 Weltweit

Die hacktivistische Gruppe Handala (irannahe Verbindungen) kompromittierte ein Stryker-Administratorkonto, erstellte einen neuen Global Administrator in Microsoft Entra ID und nutzte den Intune-Fernlöschbefehl, um zwischen 05:00 und 08:00 UTC am 11. März ~80.000 Geräte zu löschen. Es wurde keine Malware eingesetzt — die Angreifer missbrauchten legitime MDM-Funktionen. Einige Mitarbeiter verloren persönliche Daten von BYOD-Geräten, die im Unternehmensnetzwerk registriert waren. Elektronische Bestellsysteme sind weiterhin offline; Medizinprodukte sind bestätigt nicht betroffen. Microsoft DART und Palo Alto Unit 42 untersuchen den Vorfall.

KENSAI-Einschätzung: Dieser Angriff offenbart einen kritischen blinden Fleck — MDM-Plattformen wie Intune können ohne Malware als Zerstörungswaffe missbraucht werden. NIS2 Artikel 21 fordert Lieferketten- und Zugangskontrollen für Administratoren. Organisationen sollten Phishing-resistente MFA für alle Global-Admin-Konten erzwingen und Break-Glass-Konten überwachen.
Kritisch Wiper MDM-Missbrauch Iran

Oracle EBS-Breach: 4 Großkonzerne schweigen weiterhin

📅 16. März 🏢 Broadcom, Bechtel, Estée Lauder, Abbott

Die Aufarbeitung des Oracle E-Business Suite-Vorfalls läuft weiter — Broadcom, Bechtel, Estée Lauder und Abbott Technologies sind die einzigen großen Unternehmen, die noch keine öffentliche Stellungnahme zu möglichen Auswirkungen abgegeben haben. Details zum initialen Angriffsvektor und zum Ausmaß bleiben unter Verschluss, während die Ermittlungen fortgesetzt werden.

Hoch ERP Datenleck

Starbucks: Mitarbeiterdaten durch Phishing kompromittiert

📅 16. März 🏢 Starbucks

Starbucks bestätigte einen Datenvorfall, bei dem Hunderte Mitarbeiter betroffen sind, nachdem Phishing-Angriffe auf ein Mitarbeiterportal abzielten. Persönliche Mitarbeiterdaten wurden kompromittiert. Der Vorfall unterstreicht die anhaltenden Risiken durch Credential-basierte Angriffe auf interne HR-Systeme.

Hoch Phishing Mitarbeiterdaten

Loblaw: Kundendaten gestohlen

📅 16. März 🏢 Loblaw Companies 🌍 Kanada

Der kanadische Einzelhandelskonzern Loblaw gab bekannt, dass Hacker auf personenbezogene Kundendaten zugegriffen haben — darunter Namen, E-Mail-Adressen und Telefonnummern. Umfang des Vorfalls und Angriffsvektor wurden nicht vollständig offengelegt.

Mittel Einzelhandel Personenbezogene Daten

UK Companies House: Sicherheitslücke legte Unternehmensdaten seit Oktober 2025 offen

📅 16. März 🏢 UK Companies House 🌍 Vereinigtes Königreich

Der WebFiling-Dienst der britischen Behörde wurde am Freitag offline genommen, nachdem eine Sicherheitslücke entdeckt wurde, die seit Oktober 2025 Unternehmensinformationen offengelegt hatte — fast 5 Monate lang unbemerkt. Der Dienst ist inzwischen mit der Korrektur wieder online.

Hoch Behörde Datenexposition

🛡️ Kritische Schwachstellen

Chrome-0-Days: CVE-2026-3909 & CVE-2026-3910 (aktiv ausgenutzt)

📅 16. März ⚠️ CVSS: Hoch 🔴 In freier Wildbahn ausgenutzt

CVE-2026-3909: Out-of-bounds-Schreibzugriff in der Skia-2D-Grafikbibliothek. CVE-2026-3910: Fehlerhafte Implementierung in der V8-JavaScript/WebAssembly-Engine, die zu OOB-Zugriff führt. Beide werden aktiv ausgenutzt. Google hat Patches veröffentlicht — Chrome sofort aktualisieren.

KENSAI-Einschätzung: Browser-Schwachstellen bleiben der häufigste clientseitige Angriffsvektor. KENSAIs DAST-Scanning kann überprüfen, ob Organisationen Browser-Update-Richtlinien durch Header-Analyse und Versionserkennung durchsetzen.
Kritisch 0-Day Chrome Aktiv ausgenutzt

Wing FTP Server — CISA warnt vor aktiver Ausnutzung

📅 16. März ⚠️ KEV-gelistet 🔴 In freier Wildbahn ausgenutzt

CISA hat eine Wing FTP Server-Schwachstelle in den KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen und warnt, dass sie aktiv mit anderen Schwachstellen für Remote Code Execution verkettet wird. Bundesbehörden müssen gemäß BOD 22-01 fristgerecht patchen.

Kritisch RCE CISA KEV

HPE AOS-CX: Unauthentifiziertes Zurücksetzen von Admin-Passwörtern

📅 16. März ⚠️ CVSS: Kritisch

Eine kritische Schwachstelle in HPE Aruba AOS-CX-Netzwerk-Switches ermöglicht es entfernten, nicht authentifizierten Angreifern, Administratorpasswörter zurückzusetzen und bestehende Authentifizierungskontrollen vollständig zu umgehen. Sofort patchen — dies betrifft zentrale Netzwerkinfrastruktur.

Kritisch Netzwerkinfrastruktur Auth-Bypass

n8n-Workflow-Automatisierung: Schwachstelle wird ausgenutzt

📅 16. März 🔴 In freier Wildbahn ausgenutzt

Eine Schwachstelle in der beliebten n8n-Workflow-Automatisierungsplattform wird aktiv ausgenutzt. Details wurden in der wöchentlichen SecurityWeek-Zusammenfassung veröffentlicht. Organisationen, die selbst gehostete n8n-Instanzen betreiben, sollten umgehend auf Updates prüfen und Zugriffskontrollen überprüfen.

Hoch Automatisierung Ausgenutzt

🐛 Lieferkette & Malware

GlassWorm ForceMemo: Gestohlene GitHub-Tokens → Malware in Python-Repositories

📅 17. März ⚠️ Aktive Kampagne 🌍 Weltweit

Die GlassWorm-Kampagne hat sich dramatisch eskaliert. Angreifer nutzen GitHub-Tokens, die beim früheren VS-Code-Erweiterungs-Angriff gestohlen wurden, um obfuskierte Malware in Hunderte Python-Repositories einzuschleusen — Django-Apps, ML-Forschungscode, Streamlit-Dashboards und PyPI-Pakete. Die Technik (genannt „ForceMemo") rebasiert bösartige Commits auf legitime, wobei die ursprünglichen Autorinformationen und Commit-Nachrichten erhalten bleiben, um eine Erkennung zu vermeiden. Wer pip install aus einem kompromittierten Repository ausführt, löst die Malware aus. Injektionen reichen bis zum 8. März zurück.

KENSAI-Einschätzung: Dies ist ein Musterbeispiel für einen Lieferketten-Angriff — genau die Art von Bedrohung, für die NIS2 Artikel 21(2)(d) geschrieben wurde. Organisationen sollten ihre Python-Abhängigkeiten auditieren, Commit-Signaturen verifizieren und nach Kompromittierungsindikatoren scannen. KENSAIs SBOM- und Abhängigkeitsanalysefunktionen können kompromittierte Pakete identifizieren.
Kritisch Lieferkette Python GitHub

ClickFix-Kampagnen verbreiten MacSync-macOS-Infostealer

📅 16. März 🍎 macOS

Drei separate ClickFix-Kampagnen verbreiten den MacSync-Infostealer über gefälschte KI-Tool-Installer (darunter ein gefälschter „OpenAI Atlas"-Browser). Der Angriff basiert vollständig auf Benutzerinteraktion — Opfer kopieren und führen obfuskierte Terminal-Befehle aus. Die Verbreitung erfolgt über gesponserte Google-Suchergebnisse, die zu gefälschten Google-Sites-Seiten führen. Sophos-Forscher dokumentierten die vollständige Angriffskette ab November 2025.

Hoch macOS Infostealer Social Engineering

Storm-2561: Gefälschte VPN-Clients stehlen Zugangsdaten

📅 16. März ⚠️ Aktive Kampagne

Der Bedrohungsakteur Storm-2561 verbreitet trojanisierte VPN-Clients über SEO-Poisoning, setzt Trojaner ein und erbeutet Login-Daten von ahnungslosen Nutzern, die nach legitimer VPN-Software suchen.

Hoch VPN SEO-Poisoning Credential-Diebstahl

Neue Malware-Familie Slopoly aufgetaucht

📅 16. März

Eine neue Malware-Familie namens „Slopoly" wurde in der wöchentlichen SecurityWeek-Zusammenfassung gemeldet. Details sind noch spärlich, aber sie wurde neben anderen bemerkenswerten Bedrohungen der Woche aufgeführt.

Mittel Neu Malware

🎯 APT & Staatliche Akteure

DRILLAPP: Russlandnahe Backdoor zielt über Edge-Debugging auf die Ukraine

📅 16. März 🏴 Laundry Bear / UAC-0190 🎯 Ukraine

Eine neue JavaScript-basierte Backdoor namens DRILLAPP missbraucht die Remote-Debugging-Funktion von Microsoft Edge für verdeckte Spionage gegen ukrainische Einrichtungen. Die Malware kann Dateien hoch- und herunterladen, auf das Mikrofon zugreifen und Webcam-Bilder aufnehmen — alles über native Browser-Funktionalitäten. Verbreitet über Justiz- und Wohltätigkeits-Köder mit LNK-Dateien. Zugeschrieben an Laundry Bear (Void Blizzard), eine russlandnahe Bedrohungsgruppe. Kampagne seit Februar 2026 beobachtet.

Kritisch APT Russland Spionage

CL-STA-1087: China zielt auf südostasiatische Streitkräfte

📅 13. März 🏴 CL-STA-1087 🎯 Südostasien Militär

Palo Alto Unit 42 hat eine geduldige, chinanahe Spionageoperation aufgedeckt (aktiv seit 2020), die südostasiatische Militärorganisationen mit maßgeschneiderter AppleChris- und MemFun-Malware ins Visier nimmt. Die Angreifer zeigten „strategische operative Geduld" und konzentrierten sich auf hochspezifische militärische Fähigkeitsdokumente statt auf Massenabzug von Daten.

Hoch APT China Militär

Irannahe Hacker weiten Angriffe auf US-Infrastruktur aus

📅 16. März 🏴 Pro-iranische Gruppen 🎯 USA, Naher Osten

Pro-iranische Hacker weiten ihre Aktivitäten über den Nahen Osten hinaus auf die Vereinigten Staaten aus, was die Risiken für Rüstungsunternehmen, Kraftwerke und Wasseraufbereitungsanlagen während der anhaltenden regionalen Konflikte erhöht.

Hoch Iran Kritische Infrastruktur ICS/OT

Polens Kernforschungszentrum: Angriffsversuch (möglicherweise Iran)

📅 16. März 🎯 Polen

Ein Angriffsversuch auf das polnische Kernforschungszentrum wurde gemeldet. Erste Hinweise deuten auf Iran hin, obwohl Behörden einräumten, dass es sich um eine False-Flag-Operation handeln könnte. Die Ermittlungen laufen.

Hoch Nuklear Kritische Infrastruktur

🔧 Sicherheitstools & Releases

Betterleaks: Open-Source-Secrets-Scanner (Gitleaks-Nachfolger)

📅 15. März 📦 MIT-Lizenz 🔗 GitHub

Entwickelt von Zach Rice (ursprünglicher Gitleaks-Autor, jetzt Head of Secrets Scanning bei Aikido Security), ist Betterleaks eine Neuentwicklung von Grund auf mit wesentlichen Verbesserungen: CEL-basierte Regelvalidierung, BPE-Tokenisierung für 98,6 % Recall (vs. 70,4 % mit Entropie), reine Go-Implementierung, automatische Verarbeitung mehrfach kodierter Secrets, parallelisiertes Git-Scanning und ein erweitertes Provider-Regelset. Geplante Features umfassen LLM-gestützte Klassifizierung und automatischen Secret-Widerruf.

Neues Release Secrets-Scanning Open Source

Bold Security: $40M Stealth-Launch — KI-gestützte Geräte-Agenten

📅 16. März 💰 $40M Finanzierung

Bold Security ist mit $40M Finanzierung aus dem Stealth-Modus gestartet. Ihr Ansatz: Geräte in aktive KI-Agenten verwandeln, die Benutzeraktionen verstehen und Echtzeitschutz bieten. Beobachtenswert als potenzieller Wettbewerber/Partner im KI-Sicherheitsbereich.

Neu KI-Sicherheit Startup

Android 17: Accessibility-API-Sperrung zur Malware-Prävention

📅 16. März 📱 Android

Google testet in der Android 17 Beta 2 eine Sicherheitsfunktion, die Nicht-Barrierefreiheits-Apps die Nutzung der Accessibility Services API im erweiterten Schutzmodus blockiert. Dies zielt direkt auf einen primären Angriffsvektor für Android-Banking-Trojaner und Spyware ab.

Neu Android Mobile Sicherheit

📊 Aufkommende Muster

Zentrale Trends dieser Woche

Mehrere konvergierende Muster, die es zu beobachten gilt:

1. MDM als Waffe: Der Stryker-Angriff beweist, dass legitime Verwaltungstools (Intune, SCCM, Jamf) jetzt vollwertige Angriffsflächen sind. Keine Malware nötig — nur Admin-Zugangsdaten und ein Löschbefehl. Nachahmer sind zu erwarten.

2. Lieferketten-Kaskade (GlassWorm → ForceMemo): Eine einzige Lieferketten-Kompromittierung (VS-Code-Erweiterungen) kaskadiert jetzt in einen Angriff zweiter Ordnung auf Python-Repositories. Dieses Kettenreaktionsmuster — bei dem gestohlene Zugangsdaten eines Angriffs den nächsten befeuern — beschleunigt sich.

3. ClickFix wird plattformübergreifend: Die ClickFix-Social-Engineering-Technik (Benutzer dazu bringen, Terminal-Befehle auszuführen) ist nun von Windows auf macOS übergesprungen, verbreitet über gefälschte KI-Tool-Installer. Der KI-Hype ist der neue Phishing-Köder.

4. Browser als C2: Sowohl DRILLAPP (Edge-Debugging) als auch die Chrome-0-Days zeigen, dass Browser die wertvollste Angriffsfläche bleiben. Die Grenze zwischen „Surfen" und „kompromittiert" wird immer dünner.

5. Iran-Eskalation: Drei iranverbundene Meldungen innerhalb von 24 Stunden — Stryker-Wiper, US-Infrastruktur-Targeting, Polens Kernforschungszentrum. Geopolitische Spannungen übersetzen sich direkt in Cyberoperationen.

KENSAI-Einschätzung: Mehrere Meldungen dieser Woche korrespondieren direkt mit NIS2-Compliance-Anforderungen: Lieferkettensicherheit (Art. 21.2d), Vorfallbehandlung (Art. 21.2b), Zugangskontrolle (Art. 21.2i). Dies ist die Bedrohungslandschaft, für die KENSAI entwickelt wurde.

📌 Weitere Meldungen

Kurzmeldungen

Microsoft Exchange Online-Ausfall — Anhaltendes Problem blockiert Postfach-/Kalenderzugriff (16. März)
Google zahlte 2025 $17M an Bug-Bounties — $3,7M allein für Chrome, $3,5M für Cloud-Sicherheit
Shadow-AI-Governance — Nudge Security berichtet über wachsende unkontrollierte KI-Tool-Nutzung in Unternehmen
Sicherheitsfirma-Manager gezielt angegriffen — Ausgefeiltes Phishing mit DKIM-signierten E-Mails, vertrauenswürdigen Weiterleitungen und Cloudflare-geschützten Phishing-Seiten
Interpol-Cybercrime-Aktion — Multinationale Operation in wöchentlichen Zusammenfassungen gemeldet
Telus Digital-Datenleck — Kanadische Telekommunikationstochter betroffen
Linux AppArmor-Schwachstellen — Lücken ermöglichen Root-Rechteeskalation