Tägliches Bedrohungsbriefing
⚡ Zusammenfassung — Das Wichtigste heute
- Stryker-Wiper-Angriff: Die irannahe Gruppe Handala nutzte die Intune-Fernlöschung auf ~80.000 Geräten — keine Malware nötig, nur ein gestohlenes Global-Admin-Konto
- GlassWorm-Lieferketten-Eskalation: Gestohlene GitHub-Tokens wurden genutzt, um Malware per Force-Push in Hunderte Python-Repositories einzuschleusen (Django, ML, PyPI-Pakete)
- Chrome-0-Days gepatcht: CVE-2026-3909 (Skia) und CVE-2026-3910 (V8) werden aktiv ausgenutzt — sofort aktualisieren
- Oracle EBS-Breach: Nur noch 4 Großunternehmen (Broadcom, Bechtel, Estée Lauder, Abbott) haben sich nicht zu den Auswirkungen geäußert
- DRILLAPP-Backdoor: Russlandnahe Akteure greifen die Ukraine über Edge-Browser-Debugging an — Mikrofon- und Webcam-Zugriff
- Betterleaks veröffentlicht: Neuer Open-Source-Secrets-Scanner vom Gitleaks-Entwickler — schneller, intelligenter, MIT-lizenziert
🔓 Sicherheitsvorfälle & Datenlecks
Stryker: Irannaher Wiper-Angriff trifft ~80.000 Geräte
Die hacktivistische Gruppe Handala (irannahe Verbindungen) kompromittierte ein Stryker-Administratorkonto, erstellte einen neuen Global Administrator in Microsoft Entra ID und nutzte den Intune-Fernlöschbefehl, um zwischen 05:00 und 08:00 UTC am 11. März ~80.000 Geräte zu löschen. Es wurde keine Malware eingesetzt — die Angreifer missbrauchten legitime MDM-Funktionen. Einige Mitarbeiter verloren persönliche Daten von BYOD-Geräten, die im Unternehmensnetzwerk registriert waren. Elektronische Bestellsysteme sind weiterhin offline; Medizinprodukte sind bestätigt nicht betroffen. Microsoft DART und Palo Alto Unit 42 untersuchen den Vorfall.
Oracle EBS-Breach: 4 Großkonzerne schweigen weiterhin
Die Aufarbeitung des Oracle E-Business Suite-Vorfalls läuft weiter — Broadcom, Bechtel, Estée Lauder und Abbott Technologies sind die einzigen großen Unternehmen, die noch keine öffentliche Stellungnahme zu möglichen Auswirkungen abgegeben haben. Details zum initialen Angriffsvektor und zum Ausmaß bleiben unter Verschluss, während die Ermittlungen fortgesetzt werden.
Hoch ERP DatenleckStarbucks: Mitarbeiterdaten durch Phishing kompromittiert
Starbucks bestätigte einen Datenvorfall, bei dem Hunderte Mitarbeiter betroffen sind, nachdem Phishing-Angriffe auf ein Mitarbeiterportal abzielten. Persönliche Mitarbeiterdaten wurden kompromittiert. Der Vorfall unterstreicht die anhaltenden Risiken durch Credential-basierte Angriffe auf interne HR-Systeme.
Hoch Phishing MitarbeiterdatenLoblaw: Kundendaten gestohlen
Der kanadische Einzelhandelskonzern Loblaw gab bekannt, dass Hacker auf personenbezogene Kundendaten zugegriffen haben — darunter Namen, E-Mail-Adressen und Telefonnummern. Umfang des Vorfalls und Angriffsvektor wurden nicht vollständig offengelegt.
Mittel Einzelhandel Personenbezogene DatenUK Companies House: Sicherheitslücke legte Unternehmensdaten seit Oktober 2025 offen
Der WebFiling-Dienst der britischen Behörde wurde am Freitag offline genommen, nachdem eine Sicherheitslücke entdeckt wurde, die seit Oktober 2025 Unternehmensinformationen offengelegt hatte — fast 5 Monate lang unbemerkt. Der Dienst ist inzwischen mit der Korrektur wieder online.
Hoch Behörde Datenexposition🛡️ Kritische Schwachstellen
Chrome-0-Days: CVE-2026-3909 & CVE-2026-3910 (aktiv ausgenutzt)
CVE-2026-3909: Out-of-bounds-Schreibzugriff in der Skia-2D-Grafikbibliothek. CVE-2026-3910: Fehlerhafte Implementierung in der V8-JavaScript/WebAssembly-Engine, die zu OOB-Zugriff führt. Beide werden aktiv ausgenutzt. Google hat Patches veröffentlicht — Chrome sofort aktualisieren.
Wing FTP Server — CISA warnt vor aktiver Ausnutzung
CISA hat eine Wing FTP Server-Schwachstelle in den KEV-Katalog (Known Exploited Vulnerabilities) aufgenommen und warnt, dass sie aktiv mit anderen Schwachstellen für Remote Code Execution verkettet wird. Bundesbehörden müssen gemäß BOD 22-01 fristgerecht patchen.
Kritisch RCE CISA KEVHPE AOS-CX: Unauthentifiziertes Zurücksetzen von Admin-Passwörtern
Eine kritische Schwachstelle in HPE Aruba AOS-CX-Netzwerk-Switches ermöglicht es entfernten, nicht authentifizierten Angreifern, Administratorpasswörter zurückzusetzen und bestehende Authentifizierungskontrollen vollständig zu umgehen. Sofort patchen — dies betrifft zentrale Netzwerkinfrastruktur.
Kritisch Netzwerkinfrastruktur Auth-Bypassn8n-Workflow-Automatisierung: Schwachstelle wird ausgenutzt
Eine Schwachstelle in der beliebten n8n-Workflow-Automatisierungsplattform wird aktiv ausgenutzt. Details wurden in der wöchentlichen SecurityWeek-Zusammenfassung veröffentlicht. Organisationen, die selbst gehostete n8n-Instanzen betreiben, sollten umgehend auf Updates prüfen und Zugriffskontrollen überprüfen.
Hoch Automatisierung Ausgenutzt🐛 Lieferkette & Malware
GlassWorm ForceMemo: Gestohlene GitHub-Tokens → Malware in Python-Repositories
Die GlassWorm-Kampagne hat sich dramatisch eskaliert. Angreifer nutzen GitHub-Tokens, die beim früheren VS-Code-Erweiterungs-Angriff gestohlen wurden, um obfuskierte Malware in Hunderte Python-Repositories einzuschleusen — Django-Apps, ML-Forschungscode, Streamlit-Dashboards und PyPI-Pakete. Die Technik (genannt „ForceMemo") rebasiert bösartige Commits auf legitime, wobei die ursprünglichen Autorinformationen und Commit-Nachrichten erhalten bleiben, um eine Erkennung zu vermeiden. Wer pip install aus einem kompromittierten Repository ausführt, löst die Malware aus. Injektionen reichen bis zum 8. März zurück.
ClickFix-Kampagnen verbreiten MacSync-macOS-Infostealer
Drei separate ClickFix-Kampagnen verbreiten den MacSync-Infostealer über gefälschte KI-Tool-Installer (darunter ein gefälschter „OpenAI Atlas"-Browser). Der Angriff basiert vollständig auf Benutzerinteraktion — Opfer kopieren und führen obfuskierte Terminal-Befehle aus. Die Verbreitung erfolgt über gesponserte Google-Suchergebnisse, die zu gefälschten Google-Sites-Seiten führen. Sophos-Forscher dokumentierten die vollständige Angriffskette ab November 2025.
Hoch macOS Infostealer Social EngineeringStorm-2561: Gefälschte VPN-Clients stehlen Zugangsdaten
Der Bedrohungsakteur Storm-2561 verbreitet trojanisierte VPN-Clients über SEO-Poisoning, setzt Trojaner ein und erbeutet Login-Daten von ahnungslosen Nutzern, die nach legitimer VPN-Software suchen.
Hoch VPN SEO-Poisoning Credential-DiebstahlNeue Malware-Familie Slopoly aufgetaucht
Eine neue Malware-Familie namens „Slopoly" wurde in der wöchentlichen SecurityWeek-Zusammenfassung gemeldet. Details sind noch spärlich, aber sie wurde neben anderen bemerkenswerten Bedrohungen der Woche aufgeführt.
Mittel Neu Malware🎯 APT & Staatliche Akteure
DRILLAPP: Russlandnahe Backdoor zielt über Edge-Debugging auf die Ukraine
Eine neue JavaScript-basierte Backdoor namens DRILLAPP missbraucht die Remote-Debugging-Funktion von Microsoft Edge für verdeckte Spionage gegen ukrainische Einrichtungen. Die Malware kann Dateien hoch- und herunterladen, auf das Mikrofon zugreifen und Webcam-Bilder aufnehmen — alles über native Browser-Funktionalitäten. Verbreitet über Justiz- und Wohltätigkeits-Köder mit LNK-Dateien. Zugeschrieben an Laundry Bear (Void Blizzard), eine russlandnahe Bedrohungsgruppe. Kampagne seit Februar 2026 beobachtet.
Kritisch APT Russland SpionageCL-STA-1087: China zielt auf südostasiatische Streitkräfte
Palo Alto Unit 42 hat eine geduldige, chinanahe Spionageoperation aufgedeckt (aktiv seit 2020), die südostasiatische Militärorganisationen mit maßgeschneiderter AppleChris- und MemFun-Malware ins Visier nimmt. Die Angreifer zeigten „strategische operative Geduld" und konzentrierten sich auf hochspezifische militärische Fähigkeitsdokumente statt auf Massenabzug von Daten.
Hoch APT China MilitärIrannahe Hacker weiten Angriffe auf US-Infrastruktur aus
Pro-iranische Hacker weiten ihre Aktivitäten über den Nahen Osten hinaus auf die Vereinigten Staaten aus, was die Risiken für Rüstungsunternehmen, Kraftwerke und Wasseraufbereitungsanlagen während der anhaltenden regionalen Konflikte erhöht.
Hoch Iran Kritische Infrastruktur ICS/OTPolens Kernforschungszentrum: Angriffsversuch (möglicherweise Iran)
Ein Angriffsversuch auf das polnische Kernforschungszentrum wurde gemeldet. Erste Hinweise deuten auf Iran hin, obwohl Behörden einräumten, dass es sich um eine False-Flag-Operation handeln könnte. Die Ermittlungen laufen.
Hoch Nuklear Kritische Infrastruktur🔧 Sicherheitstools & Releases
Betterleaks: Open-Source-Secrets-Scanner (Gitleaks-Nachfolger)
Entwickelt von Zach Rice (ursprünglicher Gitleaks-Autor, jetzt Head of Secrets Scanning bei Aikido Security), ist Betterleaks eine Neuentwicklung von Grund auf mit wesentlichen Verbesserungen: CEL-basierte Regelvalidierung, BPE-Tokenisierung für 98,6 % Recall (vs. 70,4 % mit Entropie), reine Go-Implementierung, automatische Verarbeitung mehrfach kodierter Secrets, parallelisiertes Git-Scanning und ein erweitertes Provider-Regelset. Geplante Features umfassen LLM-gestützte Klassifizierung und automatischen Secret-Widerruf.
Neues Release Secrets-Scanning Open SourceBold Security: $40M Stealth-Launch — KI-gestützte Geräte-Agenten
Bold Security ist mit $40M Finanzierung aus dem Stealth-Modus gestartet. Ihr Ansatz: Geräte in aktive KI-Agenten verwandeln, die Benutzeraktionen verstehen und Echtzeitschutz bieten. Beobachtenswert als potenzieller Wettbewerber/Partner im KI-Sicherheitsbereich.
Neu KI-Sicherheit StartupAndroid 17: Accessibility-API-Sperrung zur Malware-Prävention
Google testet in der Android 17 Beta 2 eine Sicherheitsfunktion, die Nicht-Barrierefreiheits-Apps die Nutzung der Accessibility Services API im erweiterten Schutzmodus blockiert. Dies zielt direkt auf einen primären Angriffsvektor für Android-Banking-Trojaner und Spyware ab.
Neu Android Mobile Sicherheit📊 Aufkommende Muster
Zentrale Trends dieser Woche
Mehrere konvergierende Muster, die es zu beobachten gilt:
1. MDM als Waffe: Der Stryker-Angriff beweist, dass legitime Verwaltungstools (Intune, SCCM, Jamf) jetzt vollwertige Angriffsflächen sind. Keine Malware nötig — nur Admin-Zugangsdaten und ein Löschbefehl. Nachahmer sind zu erwarten.
2. Lieferketten-Kaskade (GlassWorm → ForceMemo): Eine einzige Lieferketten-Kompromittierung (VS-Code-Erweiterungen) kaskadiert jetzt in einen Angriff zweiter Ordnung auf Python-Repositories. Dieses Kettenreaktionsmuster — bei dem gestohlene Zugangsdaten eines Angriffs den nächsten befeuern — beschleunigt sich.
3. ClickFix wird plattformübergreifend: Die ClickFix-Social-Engineering-Technik (Benutzer dazu bringen, Terminal-Befehle auszuführen) ist nun von Windows auf macOS übergesprungen, verbreitet über gefälschte KI-Tool-Installer. Der KI-Hype ist der neue Phishing-Köder.
4. Browser als C2: Sowohl DRILLAPP (Edge-Debugging) als auch die Chrome-0-Days zeigen, dass Browser die wertvollste Angriffsfläche bleiben. Die Grenze zwischen „Surfen" und „kompromittiert" wird immer dünner.
5. Iran-Eskalation: Drei iranverbundene Meldungen innerhalb von 24 Stunden — Stryker-Wiper, US-Infrastruktur-Targeting, Polens Kernforschungszentrum. Geopolitische Spannungen übersetzen sich direkt in Cyberoperationen.
📌 Weitere Meldungen
Kurzmeldungen
• Microsoft Exchange Online-Ausfall — Anhaltendes Problem blockiert Postfach-/Kalenderzugriff (16. März)
• Google zahlte 2025 $17M an Bug-Bounties — $3,7M allein für Chrome, $3,5M für Cloud-Sicherheit
• Shadow-AI-Governance — Nudge Security berichtet über wachsende unkontrollierte KI-Tool-Nutzung in Unternehmen
• Sicherheitsfirma-Manager gezielt angegriffen — Ausgefeiltes Phishing mit DKIM-signierten E-Mails, vertrauenswürdigen Weiterleitungen und Cloudflare-geschützten Phishing-Seiten
• Interpol-Cybercrime-Aktion — Multinationale Operation in wöchentlichen Zusammenfassungen gemeldet
• Telus Digital-Datenleck — Kanadische Telekommunikationstochter betroffen
• Linux AppArmor-Schwachstellen — Lücken ermöglichen Root-Rechteeskalation