剣 KENSAI
← Back to archive

Tägliche Bedrohungsanalyse

2026-03-24 — Dienstag — 04:00 CET
2 Kritische CVEs Supply-Chain-Angriff iOS 0-Day-Kette Staatlich gesteuerte Aktivität Massen-Phishing
3
Datenlecks
4
Kritische CVEs
1
Ransomware
5
Staatlich gesteuert

⛓️ Supply-Chain-Angriff — Trivy Scanner kompromittiert

Trivy Vulnerability Scanner mit Backdoor versehen — Verbreitung über Docker & GitHub

Supply Chain Aktive Ausnutzung

Die Hackergruppe TeamPCP hat den weit verbreiteten Open-Source-Schwachstellenscanner Trivy von Aqua Security kompromittiert. Manipulierte Versionen (0.69.4–0.69.6) wurden auf Docker Hub hochgeladen und enthielten Infostealer-Malware. Der Angriff ging über Docker hinaus — TeamPCP übernahm die GitHub-Organisation von Aqua Security und manipulierte Dutzende Repositories. Die letzte bekannte saubere Version ist 0.69.3. Die schadhaften Images wurden entfernt, aber der Wirkungsradius in Entwicklungsumgebungen bleibt erheblich.

KENSAI Relevanz

Genau diese Art von Supply-Chain-Kompromittierung kann KENSAIs SBOM-Analyse und Abhängigkeitsprüfung erkennen. Wenn Ihre CI/CD-Pipeline Trivy-Images im betroffenen Zeitfenster bezogen hat, ist ein sofortiges Audit erforderlich. Organisationen mit KENSAIs kontinuierlichem Monitoring wären über die unerwarteten Binäränderungen alarmiert worden.

Quellen: BleepingComputer, The Hacker News, SecurityWeek — 23. März

TeamPCP setzt auf Iran ausgerichteten Kubernetes-Wiper ein

Hacktivismus Wiper

Dieselbe TeamPCP-Gruppe hinter der Trivy-Kompromittierung zielt auch mit einem destruktiven Wiper auf Kubernetes-Cluster. Das schadhafte Skript erkennt, ob Systeme für iranische Infrastruktur konfiguriert sind, und löscht alle Maschinen, wenn die Bedingung erfüllt ist. Dies stellt eine erhebliche Eskalation von Datendiebstahl zu voller Zerstörungsfähigkeit in containerisierten Umgebungen dar.

Quelle: BleepingComputer — 23. März

🔴 Kritische Schwachstellen

CVE-2026-21992 — Oracle Identity Manager RCE (Notfall-Patch)

Kritische CVE Möglicherweise ausgenutzt

Oracle hat einen außerplanmäßigen Notfall-Patch für CVE-2026-21992 veröffentlicht, eine kritische Schwachstelle im Oracle Identity Manager. Die Lücke ermöglicht nicht authentifizierte Remote-Codeausführung und wurde möglicherweise bereits aktiv ausgenutzt. Organisationen, die Oracle Identity Manager betreiben, sollten den Patch sofort einspielen — es handelt sich um Pre-Auth-RCE auf einem Identitätsmanagementsystem, was es für Angreifer äußerst wertvoll macht.

Quelle: SecurityWeek — 23. März

CVE-2025-32975 (CVSS 10.0) — Quest KACE SMA wird aktiv angegriffen

CVSS 10.0 Aktive Ausnutzung

Eine Schwachstelle mit maximaler Schweregrad-Bewertung in Quest KACE Systems Management Appliance wird aktiv ausgenutzt, insbesondere im Bildungssektor. Arctic Wolf beobachtete Exploit-Aktivitäten ab der Woche vom 9. März auf ungepatchten, internetexponierten SMA-Systemen. Angesichts des CVSS-Scores von 10.0 und bestätigter Ausnutzung ist sofortiges Patchen erforderlich.

Quelle: The Hacker News, SecurityWeek — 23. März

DarkSword iOS-Exploit-Kette — Aufnahme in CISA KEV

6 verkettete CVEs Aktive Ausnutzung Staatlich gesteuert

CISA hat drei DarkSword-Schwachstellen (CVE-2025-31277, CVE-2025-43510, CVE-2025-43520) in den Katalog bekannter ausgenutzter Schwachstellen aufgenommen. DarkSword ist ein ausgeklügeltes iOS-Exploit-Kit, das 6 Schwachstellen für Sandbox-Ausbruch, Rechteausweitung und RCE auf iPhones (iOS 18.4–18.7) verkettet. Verbunden mit dem türkischen kommerziellen Überwachungsanbieter PARS Defense (UNC6748) und der russischen Spionagegruppe UNC6353. Drei Malware-Familien im Einsatz: GhostBlade, GhostKnife, GhostSaber. Bundesbehörden haben bis zum 3. April Zeit zum Patchen.

Quelle: BleepingComputer, CISA — 23. März

QNAP behebt vier Pwn2Own-Schwachstellen

Pwn2Own

QNAP hat vier Schwachstellen gepatcht, die bei Pwn2Own demonstriert wurden und Informationsoffenlegung, Codeausführung und unerwartetes Verhalten auf NAS-Geräten ermöglichten. Angesichts von QNAPs Vorgeschichte als Ransomware-Ziel ist zeitnahes Patchen unerlässlich.

Quelle: SecurityWeek — 23. März

💾 Datenlecks

Crunchyroll untersucht Datenleck — 6,8 Mio. Nutzerdaten angeblich gestohlen

Datenleck

Die beliebte Anime-Streamingplattform Crunchyroll (im Besitz von Sony) untersucht einen Vorfall, nachdem Hacker behaupteten, personenbezogene Daten von rund 6,8 Millionen Nutzern erbeutet zu haben. Der Vorfall wird aktiv untersucht — Umfang und Echtheit werden noch verifiziert.

Quelle: BleepingComputer — 23. März

Mazda meldet Datenleck von Mitarbeiter- und Partnerdaten

Datenleck

Mazda Motor Corporation bestätigte einen Sicherheitsvorfall, der erstmals im Dezember 2025 erkannt wurde und Mitarbeiter- sowie Geschäftspartnerdaten offenlegte. Die Veröffentlichung erfolgte erst im März 2026, was die anhaltende Lücke zwischen Erkennung und öffentlicher Bekanntgabe im Automobilsektor verdeutlicht.

Quelle: BleepingComputer — 23. März

Trio-Tech Halbleiter-Tochtergesellschaft von Ransomware betroffen

Ransomware Datenleck

Der Chipdienstleister Trio-Tech International gab bekannt, dass eine Tochtergesellschaft in Singapur von dateiverschlüsselnder Ransomware betroffen wurde. Die Halbleiter-Lieferkette bleibt ein bevorzugtes Angriffsziel — Fertigungs- und Chipdienstleister sehen sich zunehmendem Ransomware-Druck ausgesetzt.

Quelle: SecurityWeek — 23. März

🕵️ Staatlich gesteuerte Aktivitäten & APT

FBI/CISA: Russische Hacker betreiben Massen-Phishing gegen Signal- & WhatsApp-Nutzer

Russland / Geheimdienst Massen-Phishing

FBI und CISA veröffentlichten eine gemeinsame Warnung, dass russische Geheimdienste großangelegte Phishing-Kampagnen gegen Signal- und WhatsApp-Konten hochrangiger Personen durchführen — Regierungsbeamte, Militärangehörige, politische Persönlichkeiten und Journalisten. Weltweit wurden Tausende Konten kompromittiert. Nach dem Eindringen lesen die Angreifer Nachrichten mit, exfiltrieren Kontakte und führen weitere Phishing-Angriffe von vertrauenswürdigen Identitäten aus.

Quelle: The Hacker News, FBI — 21.–23. März

FBI warnt vor iranischen Handala-Hackern, die Telegram für Malware nutzen

Iran / MOIS

Das FBI warnte, dass iranische Hacker mit Verbindungen zum Ministerium für Geheimdienst und Sicherheit (MOIS) — bekannt als Handala — Telegram zur Malware-Verbreitung nutzen. Die USA haben Handalas Verbindung zur iranischen Regierung bestätigt und mehrere Domains beschlagnahmt, die für cybergestützte psychologische Operationen genutzt wurden.

Quelle: BleepingComputer, SecurityWeek — 23. März

Nordkoreanische Hacker missbrauchen VS Code für StoatWaffle-Malware

Nordkorea / WaterPlum

Der Bedrohungsakteur Contagious Interview (WaterPlum) verbreitet StoatWaffle-Malware über manipulierte VS Code-Projekte. Der Angriff missbraucht die automatische Ausführungsfunktion von VS Codes tasks.json — eine relativ neue Taktik, die seit Dezember 2025 eingesetzt wird. Ziel sind Entwickler, die scheinbar legitime VS Code-Projekte öffnen, wobei die Malware automatisch ausgeführt wird.

Quelle: The Hacker News — 23. März

🎣 Phishing & Social Engineering

Tycoon2FA PhaaS-Plattform nach Polizeiaktion wieder voll einsatzfähig

Phishing-as-a-Service

Die Tycoon2FA-Phishing-Plattform, die Europol am 4. März gestört hatte, hat bereits wieder das Aktivitätsniveau von vor der Aktion erreicht. Angriffsvolumen und Taktiken bleiben unverändert, was die Widerstandsfähigkeit krimineller Infrastruktur gegen Strafverfolgungsmaßnahmen demonstriert. Die Plattform ist auf das Umgehen von Zwei-Faktor-Authentifizierung spezialisiert.

Quelle: BleepingComputer, SecurityWeek — 23. März

Microsoft: Phishing zur US-Steuersaison trifft 29.000 Nutzer

Phishing-Kampagne

Microsoft warnte vor großangelegten Phishing-Kampagnen, die die Dringlichkeit der US-Steuersaison ausnutzen. Über 29.000 Nutzer wurden mit gefälschten IRS-Erstattungsbescheiden, Gehaltsformularen und Abgabeerinnerungen angegriffen. Die Kampagnen setzen Remote Monitoring & Management (RMM)-Malware ein und nutzen PhaaS-Plattformen. Zielgruppe sind sowohl Privatpersonen als auch Steuerberater mit Zugang zu sensiblen Finanzdaten.

Quelle: The Hacker News, Microsoft — 23. März

📊 Neue Trends & Forschung

M-Trends 2026: Initial-Access-Übergabe sinkt auf 22 Sekunden

Forschung / Mandiant

Mandiants M-Trends 2026-Bericht, basierend auf über 500.000 Stunden Incident Response, zeigt, dass die Zeit zwischen der Kompromittierung durch Initial Access Broker und der Übergabe an Ransomware-Operatoren von Stunden auf nur noch 22 Sekunden geschrumpft ist. Dies reduziert das Zeitfenster für Verteidiger drastisch, um Eindringlinge zu erkennen und darauf zu reagieren, bevor Ransomware ausgerollt wird.

KENSAI Relevanz

22-Sekunden-Übergabezeiten bedeuten, dass manuelle SOC-Triage für die Erkennung von Initial Access nicht mehr tragbar ist. Automatisiertes, kontinuierliches Scannen — wie KENSAIs Ansatz — wird zur einzigen realistischen Verteidigung. Organisationen ohne automatisierte Reaktionsfähigkeiten sind bei dieser Angriffsgeschwindigkeit praktisch schutzlos.

Quelle: SecurityWeek / Mandiant — 23. März

Acht Angriffsvektoren in AWS Bedrock entdeckt

KI-Sicherheitsforschung

Das Threat-Research-Team von XM Cyber hat acht validierte Angriffsvektoren in der AWS Bedrock KI-Plattform kartiert: Log-Manipulation, Knowledge-Base-Kompromittierung, Agent-Hijacking, Flow-Injection, Guardrail-Degradation und Prompt Poisoning. Da KI-Agenten Zugriff auf Unternehmensdaten erhalten (Salesforce, Lambda, SharePoint), werden sie zu hochrangigen Angriffsflächen mit Berechtigungen und Erreichbarkeit kritischer Assets.

KENSAI Relevanz

KI-Infrastruktursicherheit ist eine aufkommende Disziplin. Wenn Unternehmen KI-Agenten mit Produktionssystemen verbinden, wächst die Angriffsfläche dramatisch. Dies passt zu KENSAIs Positionierung im Bereich KI-Sicherheit — Scannen und Absichern der Infrastruktur, die KI-Systeme antreibt.

Quelle: The Hacker News / XM Cyber — 23. März

Browserbasierte Angriffe umgehen traditionelle Sicherheitskontrollen

Forschung / Push Security

Ein neuer Bericht von Push Security dokumentiert, wie browserbasierte Angriffe — AITM-Phishing, ClickFix, bösartige OAuth-Apps und Session-Hijacking — die größten Sicherheitsvorfälle von heute verursachen und traditionelle Sicherheitskontrollen umgehen. Der Browser wird zunehmend zur primären Angriffsfläche.

Quelle: BleepingComputer / Push Security — 23. März

💰 Branche & Finanzierungen

Cape sammelt 100 Mio. USD für Mobilfunksicherheit ein

Finanzierung

Cape, ein datenschutzorientierter virtueller Mobilfunknetzbetreiber (MVNO), hat 100 Millionen US-Dollar für den Schutz vor Mobilfunk-Sicherheitsbedrohungen eingesammelt — für Privatkunden, Unternehmen und Behörden.

Quelle: SecurityWeek — 23. März

Eclypsium sammelt 25 Mio. USD für Geräte-Supply-Chain-Sicherheit

Finanzierung

Eclypsium sicherte sich 25 Millionen US-Dollar, um seine Geräte-Supply-Chain-Sicherheitsplattform auszubauen und Partnerkanäle zu erweitern. Zeitlich passend angesichts des Trivy-Supply-Chain-Angriffs, der die heutigen Nachrichten dominiert.

Quelle: SecurityWeek — 23. März

3 Männer wegen Schmuggels von KI-Hardware nach China angeklagt

Exportkontrollen

Drei Männer wurden angeklagt, weil sie verschworen hatten, US-Exportkontrollen zu umgehen, indem sie große Mengen leistungsstarker KI-Server, die in den USA zusammengebaut wurden, nach China umleiteten. Dies spiegelt die anhaltenden geopolitischen Spannungen rund um den Zugang zu KI-Hardware wider.

Quelle: SecurityWeek — 23. März

📋 Compliance & Regulierung

Großbritannien verschärft Meldepflichten für Cybervorfälle

Regulierung

Großbritannien verschärft die obligatorischen Meldepflichten für Cybervorfälle. Zusammen mit der zunehmenden NIS2-Durchsetzung in der gesamten EU sehen sich Organisationen einem immer komplexeren Netz von Meldepflichten gegenüber. Automatisierte Compliance-Berichterstattung — ein Alleinstellungsmerkmal von KENSAI — wird damit unverzichtbar.

Quelle: SecurityWeek — 23. März