Sicherheitsbriefing
⚡ TL;DR — Was heute zählt
- DarkSword iOS-Exploit-Kit — zweites Full-Chain iOS-Kit innerhalb eines Monats, 3 Zero-Days, russische Spionagegruppe UNC6353 greift Ukraine an. iOS 18.4–18.7 betroffen.
- Handala-Hacktivisten löschten 80.000 Stryker-Geräte über Microsoft Intune — FBI beschlagnahmte deren Leak-Seite. CISA veröffentlichte Intune-Härtungsrichtlinien.
- PolyShell RCE in allen Magento/Adobe Commerce v2 — unauthentifizierte Codeausführung über Polyglot-Datei-Uploads. Noch kein Produktions-Patch verfügbar.
- Cisco FMC Zero-Day seit Januar von Interlock Ransomware ausgenutzt — Amazon fand Verbindungen nach Russland.
- Navia-Datenleck betrifft 2,7 Mio. Personen — sensible Leistungsdaten offengelegt.
- APT28 (Russland) nutzt Zimbra CSS-Sanitisierungslücke gegen ukrainische Regierung aus.
- 9 kritische IP-KVM-Schwachstellen bei 4 Herstellern — unauthentifizierter Root-Zugriff auf BIOS-Ebene.
Datenlecks
Navia Benefit Solutions — 2,7 Millionen Datensätze offengelegt
Der Leistungsverwalter Navia meldete ein Datenleck, das fast 2,7 Millionen Personen betrifft. Angreifer erlangten Zugriff auf sensible personenbezogene Daten, darunter Leistungsdaten, Sozialversicherungsnummern und Finanzdaten. Das Unternehmen stellt betroffenen Personen Kreditüberwachungsdienste zur Verfügung.
Aura Security — 900.000 Datensätze durch Phishing
Ironische Wendung: Das Identitätsschutzunternehmen Aura meldete ein Datenleck mit 900.000 betroffenen Datensätzen. Ein Mitarbeiter fiel einem gezielten Telefonphishing-Angriff (Vishing) zum Opfer, wodurch Angreifer Zugang zu einem Marketing-Tool mit Kundendaten erhielten.
Marquis-Datenleck — 672.000 bestätigt
Nach unten korrigiert von einer ursprünglichen Schätzung von 1,6 Millionen bestätigt das Marquis-Datenleck nun 672.000 betroffene Personen. Datentypen und Angriffsvektor werden weiterhin untersucht.
Kritische Schwachstellen
DarkSword iOS-Exploit-Kit — 6 Schwachstellen, 3 Zero-Days
Google Threat Intelligence, iVerify und Lookout haben gemeinsam „DarkSword" offengelegt — ein Full-Chain iOS-Exploit-Kit für iOS 18.4–18.7. Es nutzt 6 Schwachstellen aus, darunter 3 Zero-Days (CVE-2026-20700, CVE-2025-43529, CVE-2025-14174). Eingesetzt von der russischen Gruppe UNC6353, kommerziellen Überwachungsanbietern und staatlich gesponsorten Akteuren gegen die Ukraine, Saudi-Arabien, die Türkei und Malaysia. Der „Hit-and-Run"-Ansatz exfiltriert Daten innerhalb von Sekunden. Zweites iOS-Exploit-Kit nach Coruna innerhalb eines Monats.
PolyShell — Unauthentifizierte RCE auf allen Magento/Adobe Commerce v2
Sansec entdeckte „PolyShell", eine Schwachstelle in Magentos REST-API-Dateiupload-Verarbeitung. Angreifer laden Polyglot-Dateien hoch (gültig als Bild und Skript), um unauthentifizierte Remote-Codeausführung oder gespeichertes XSS-Account-Takeover zu erreichen. Betrifft alle produktiven Magento Open Source und Adobe Commerce v2 Installationen. Patch nur in Alpha 2.4.9 verfügbar — noch kein Produktions-Fix. Exploit-Methode kursiert bereits.
Ubiquiti UniFi — Maximale Schwere bei Account-Übernahme
Ubiquiti hat zwei Schwachstellen in der UniFi Network Application gepatcht, darunter eine Schwachstelle mit maximaler Schwere, die Account-Übernahmen ermöglicht. Administratoren sollten umgehend aktualisieren.
ScreenConnect — Kritische Machine-Key-Offenlegung
ConnectWise hat eine kritische ScreenConnect-Schwachstelle gepatcht, die Machine Keys offenlegte und unbefugten Fernzugriff ermöglichen konnte. Die neueste Version bietet verschlüsselte Speicherung und Verwaltung zum Schutz der Schlüssel.
SharePoint RCE (CVE-2026-20963) — Aktive Ausnutzung
CISA hat Microsoft SharePoint CVE-2026-20963 in den Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Die RCE-Schwachstelle, im Januar-Patch-Tuesday gepatcht, wird nachweislich aktiv ausgenutzt.
9 kritische IP-KVM-Schwachstellen — Unauthentifizierter Root-Zugriff
Eclypsium entdeckte 9 Schwachstellen in 4 IP-KVM-Produkten (GL-iNet Comet RM-1, Angeet/Yeeso ES3, Sipeed NanoKVM, JetKVM). Fehlende Firmware-Signaturvalidierung, kein Brute-Force-Schutz, fehlerhafte Zugriffskontrollen, exponierte Debug-Schnittstellen. Angreifer können Root-Zugriff auf BIOS/UEFI-Ebene erlangen — unter Umgehung aller OS-Level-Sicherheitsmaßnahmen.
Ransomware & Großangriffe
Handala-Hacktivisten löschen 80.000 Stryker-Geräte über Microsoft Intune
Die Handala-Hacktivistengruppe führte einen verheerenden destruktiven Angriff auf den Medizintechnik-Konzern Stryker durch und löschte etwa 80.000 Geräte durch Missbrauch von Microsoft Intune Endpoint Management. Das FBI hat zwei von Handala betriebene Datenleck-Websites beschlagnahmt. CISA veröffentlichte anschließend dringende Richtlinien für alle US-Organisationen zur Härtung ihrer Microsoft Intune-Umgebungen.
Cisco FMC Zero-Day von Interlock Ransomware ausgenutzt
Amazon entdeckte, dass eine Cisco Firewall Management Center (FMC) Schwachstelle seit Ende Januar als Zero-Day von der Interlock Ransomware-Gruppe ausgenutzt wird. Hinweise deuten auf Verbindungen nach Russland hin. Ciscos jüngste Schwachstellenserie zeigt ein beunruhigendes Muster aktiv ausgenutzter Firewall- und SD-WAN-Schwachstellen.
Bitrefill schreibt Angriff nordkoreanischer Lazarus/Bluenoroff zu
Die Krypto-Geschenkkarten-Plattform Bitrefill gab bekannt, dass ihr Cyberangriff Anfang März wahrscheinlich von Nordkoreas Bluenoroff-Gruppe (Lazarus-Untergruppe) durchgeführt wurde. Das Muster nordkoreanischer Angriffe auf Krypto- und Fintech-Plattformen zur Umsatzgenerierung setzt sich fort.
North Carolina Insider-Angriff — 2,5 Mio. USD Lösegeld
Ein IT-Mitarbeiter aus North Carolina wurde des Insider-Angriffs auf ein Technologieunternehmen in Washington für schuldig befunden, der eine Lösegeldzahlung von 2,5 Millionen US-Dollar einbrachte. Dies unterstreicht das anhaltende Risiko durch Insider-Bedrohungen.
Staatlich gesponserte Aktivitäten & APT
APT28 (Russland/GRU) nutzt Zimbra gegen Ukraine aus
Die mit dem russischen Militärgeheimdienst verbundene Gruppe APT28 nutzt aktiv eine Schwachstelle in der Zimbra Collaboration Suite bei Angriffen auf ukrainische Regierungsstellen aus. Die Schwachstelle betrifft eine unzureichende CSS-Sanitisierung in HTML-E-Mails, die Inline-Skriptausführung ermöglicht, wenn Nachrichten im Browser geöffnet werden.
Aufbau iranischer Cyber-Infrastruktur aufgedeckt
Analysen zeigen einen sechsmonatigen Aufbau iranisch-verknüpfter Cyber-Infrastruktur, einschließlich US-basierter Briefkastenfirmen, die die Resilienz globaler Hacking-Operationen sicherstellen und potenzielle kinetische Angriffe überstehen sollen. Die US-Behörden sind nach dem Stryker-Vorfall in erhöhter Alarmbereitschaft wegen iranischer Cyberangriffe.
The Gentlemen RaaS — FortiGate-fokussierte Operation
Group-IB hat „The Gentlemen" detailliert beschrieben, eine aufkommende Ransomware-as-a-Service-Operation mit etwa 20 Mitgliedern, die gezielt FortiGate-Firewall-Schwachstellen ausnutzt. Teil des anhaltenden Trends der Ausnutzung von Edge-Geräten für den Erstzugang.
Sicherheitstools & Branche
Oasis Security — 120 Mio. USD für agentisches Zugriffsmanagement
Oasis Security hat 120 Mio. USD eingeworben, um seine Plattform für agentisches Zugriffsmanagement auszubauen. Fokus auf F&E, KI-Framework-Produkterweiterung und Go-to-Market-Skalierung. Signalisiert wachsendes Investoreninteresse an Sicherheitskontrollen für KI-Agenten.
Cloaked Datenschutzplattform — 375 Mio. USD Finanzierung
Die Datenschutzplattform Cloaked hat 375 Mio. USD eingeworben, um in den Enterprise-Markt zu expandieren. Geplant sind KI-Agenten, die Datenschutzpräferenzen und Sicherheitsstatus im Auftrag der Nutzer überwachen, verwalten und durchsetzen.
1stProtect — 20 Mio. USD Stealth-Launch
Das Endpoint-Security-Startup 1stProtect ist mit 20 Mio. USD aus dem Stealth-Modus getreten. Die Plattform überwacht Verhalten und verifiziert Benutzerabsichten, um Angriffe in Echtzeit zu stoppen — ein neuartiger Ansatz für Endpoint-Schutz.
Raven — 20 Mio. USD für Laufzeit-Anomalieerkennung
Raven ist mit 20 Mio. USD aus dem Stealth-Modus getreten. Die Plattform beobachtet Anwendungen zur Laufzeit, um anomales Verhalten zu erkennen und Cyberangriffe zu verhindern — sie schließt die Lücke zwischen statischer Analyse und realer Ausnutzung.
Ceros — KI-Vertrauensschicht für Claude Code
Beyond Identity hat Ceros gestartet, eine „KI-Vertrauensschicht" mit Echtzeit-Sichtbarkeit, Laufzeit-Richtliniendurchsetzung und kryptografischen Audit-Trails für Claude Code Agenten-Operationen. Adressiert das aufkommende Risiko von KI-Coding-Agenten, die mit vollen Entwicklerrechten außerhalb bestehender Sicherheitskontrollen agieren.
Aufkommende Bedrohungsmuster
Verbreitung von iOS-Exploits
Zwei Full-Chain iOS-Exploit-Kits (Coruna und DarkSword) innerhalb eines Monats entdeckt, eingesetzt von einer Mischung aus staatlichen Akteuren und kommerziellen Überwachungsanbietern. Zeigt einen florierenden Sekundärmarkt, auf dem selbst finanziell motivierte Gruppen mobile Exploits auf Nationalstaats-Niveau erwerben können. Der „Hit-and-Run"-Exfiltrationsansatz — Sekunden statt Stunden — macht forensische Erkennung extrem schwierig.
Ausnutzung von Edge-Geräten setzt sich fort
FortiGate (The Gentlemen RaaS), Cisco FMC (Interlock Ransomware), Ubiquiti UniFi, Zimbra, IP-KVM-Geräte — das Muster ist eindeutig. Angreifer greifen systematisch Netzwerk-Edge-Infrastruktur an. Die neue IP-KVM-Forschung zeigt, dass selbst BIOS-Level-Zugriff durch günstige, schlecht gesicherte Hardware gefährdet ist. Organisationen müssen jedes Edge-Gerät als kritische Angriffsfläche behandeln.
Microsoft Intune als Angriffsvektor
Handalas Missbrauch von Microsoft Intune zur Löschung von 80.000 Stryker-Geräten ist ein Weckruf. Endpoint-Management-Tools, die zum Schutz von Geräten konzipiert sind, können bei Kompromittierung zu Waffen der Massenvernichtung werden. CISAs Reaktionsrichtlinien signalisieren, dass dies nun ein anerkanntes Angriffsmuster ist, gegen das sich Unternehmen verteidigen müssen.
KI-Agenten-Sicherheit entsteht als Kategorie
Mehrere Startups (über 535 Mio. USD Finanzierung allein diese Woche) entwickeln Produkte speziell für KI-Agenten-Sicherheit — Zugriffsmanagement, Laufzeitüberwachung, Datenschutzdurchsetzung. Ceros (für Claude Code), Oasis (agentischer Zugriff) und Cloaked (KI-Datenschutz-Agenten) signalisieren alle, dass die Absicherung von KI-Agenten zu einer eigenständigen Sicherheitsdisziplin wird. Relevant für KENSAIs Roadmap.