剣 KENSAI
← Back to archive

🛡️ Sicherheitsforschungs-Briefing

Sonntag, 29. März 2026 — 04:00 MEZ · Erstellt aus BleepingComputer, The Hacker News, SecurityWeek

Zusammenfassung: Iranisch verknüpfte Hacker haben das persönliche E-Mail-Konto des FBI-Direktors kompromittiert und Stryker mit einem Wiper angegriffen. Kritische CVEs in Citrix NetScaler (9.3) und F5 BIG-IP werden aktiv ausgenutzt. Ein schwerwiegender Supply-Chain-Angriff durch TeamPCP hat das Telnyx-PyPI-Paket mittels Steganografie in WAV-Dateien kompromittiert. Chinas Red Menshen wurde tief in der Telekommunikations-Backbone-Infrastruktur entdeckt. Die EU-Kommission untersucht eine AWS-Kontokompromittierung. Mehrere iOS-Exploit-Kits sind im Umlauf — Apple sendet jetzt Sperrbildschirm-Warnungen an veraltete Geräte.

🔓 Datenlecks & Sicherheitsvorfälle

Persönliches E-Mail-Konto von FBI-Direktor Kash Patel durch iranisch verknüpfte Gruppe kompromittiert

KRITISCHSTAATLICH

Das pro-iranische Handala Hack Team hat erfolgreich das persönliche E-Mail-Konto von FBI-Direktor Kash Patel kompromittiert. Die Gruppe veröffentlichte Fotos und Dokumente im Internet. Zusätzlich beanspruchte sie einen Wiper-Angriff gegen Stryker, ein großes Rüstungs- und Medizintechnik-Unternehmen.

Europäische Kommission untersucht Kompromittierung von AWS-Cloud-Konto

KRITISCHCLOUD

Die Europäische Kommission untersucht einen Sicherheitsvorfall, nachdem ein Bedrohungsakteur Zugang zu ihrer Amazon-Cloud-Umgebung erlangt hat. Das Ausmaß des Vorfalls wird noch ermittelt.

Datenleck bei Hightower Holding betrifft 130.000 Personen

HOCHPII

Hightower Holding gab bekannt, dass Hacker Namen, Sozialversicherungsnummern und Führerscheinnummern von 130.000 Personen entwendet haben.

Quelle: SecurityWeek

Niederländische Polizei meldet Sicherheitsvorfall nach Phishing-Angriff

PHISHING

Die niederländische Nationalpolizei (Politie) meldete einen Sicherheitsvorfall durch einen erfolgreichen Phishing-Angriff. Die Auswirkungen werden als begrenzt beschrieben, Bürgerdaten seien nicht betroffen.

Hack bei Ajax Amsterdam legte Fandaten offen und ermöglichte Ticket-Übernahme

DATENLECK

Die Systeme von Ajax Amsterdam wurden kompromittiert, wobei Fandaten offengelegt und Ticket-Übernahmen ermöglicht wurden.

🚨 Kritische Schwachstellen

CVE-2026-3055 — Citrix NetScaler Speicherüberlesung (CVSS 9.3)

KRITISCHAKTIVE AUFKLÄRUNG

Eine kritische Speicherüberlesungs-Schwachstelle in Citrix NetScaler ADC und Gateway wird aktiv ausgekundschaftet. Unzureichende Eingabevalidierung ermöglicht Angreifern, sensible Informationen aus dem Speicher auszulesen. Patches verfügbar — sofort einspielen.

CVE-2025-53521 — F5 BIG-IP APM RCE in CISA KEV aufgenommen (CVSS 9.3)

KRITISCHAKTIV AUSGENUTZT

CISA hat diese F5 BIG-IP Access Policy Manager RCE-Schwachstelle in den Katalog bekannter ausgenutzter Schwachstellen aufgenommen. Aktive Ausnutzung in freier Wildbahn bestätigt. Sofort patchen.

CVE-2026-4681 — Kritische PTC Windchill-Schwachstelle (Deutsche Polizei mobilisiert)

KRITISCHICS/OT

CISA stufte eine kritische PTC Windchill-Schwachstelle ein, die schwerwiegend genug war, dass die deutsche Polizei Organisationen persönlich aufsuchte, um sie zu warnen. Industrie- und Fertigungsumgebungen sind gefährdet.

Quelle: SecurityWeek

Schwachstellen in LangChain & LangGraph legen Dateien, Geheimnisse und Datenbanken offen

HOCHAI/ML

Drei Schwachstellen in den weit verbreiteten KI-Frameworks LangChain und LangGraph (über 52 Mio. wöchentliche Downloads) legen Dateisystemdaten, Umgebungsgeheimnisse und Konversationsverläufe über unabhängige Angriffspfade offen.

Hochkritische TP-Link Router-Schwachstellen behoben

HOCHNETZWERK

TP-Link hat Fehler behoben, die Authentifizierungsumgehung, beliebige Befehlsausführung und Entschlüsselung von Konfigurationsdateien in Routern ermöglichten.

Quelle: SecurityWeek

Hochkritische BIND DNS-Resolver-Schwachstellen

HOCHDNS

Speziell präparierte Domains konnten Out-of-Memory-Zustände und Speicherlecks in BIND-Resolvern auslösen. Updates verfügbar.

Quelle: SecurityWeek

Mehrere Schwachstellen in Cisco IOS

HOCHNETZWERK

Mehrere hoch- und mittelkritische Schwachstellen in Cisco IOS könnten zu DoS, Secure-Boot-Umgehung, Informationspreisgabe und Rechteausweitung führen.

Quelle: SecurityWeek

🎯 Bedrohungsakteure & Kampagnen

China-verknüpfte Gruppe Red Menshen in Telekommunikations-Backbone eingebettet

APTCHINAKRITISCH

Rapid7 deckte auf, dass die chinesische staatlich geförderte Gruppe Red Menshen (Earth Bluecrow / DecisiveArchitect) langfristigen verdeckten Zugang in Telekommunikationsnetzen aufrechterhalten hat — mittels BPFDoor-Kernel-Implantaten, passiven Hintertüren und plattformübergreifenden Kommando-Frameworks. Beschrieben als „einige der unauffälligsten digitalen Schläferzellen", die jemals in Telekommunikationsnetzen gefunden wurden. Ziele: Telekommunikationsanbieter im Nahen Osten und Asien.

Russlands TA446 setzt DarkSword iOS-Exploit-Kit via Spear-Phishing ein

APTRUSSLAND

Die russische staatlich geförderte Gruppe TA446 (Callisto) setzt das DarkSword-Exploit-Kit ein, das iOS-Geräte über gezielte E-Mail-Kampagnen angreift. Separat scheint das Coruna iOS-Exploit-Kit eine aktualisierte Version des Operation-Triangulation-Kernel-Exploits von 2023 zu sein.

AitM-Phishing-Kampagne zielt auf TikTok-Geschäftskonten

PHISHINGSOZIALE MEDIEN

Adversary-in-the-Middle-Phishing-Seiten mit Cloudflare Turnstile-Umgehung werden eingesetzt, um TikTok for Business-Konten zu kapern. Kompromittierte Konten werden anschließend für Malvertising und Malware-Verbreitung missbraucht.

Infinity Stealer — Neuer macOS-Infostealer via ClickFix

MALWAREMACOS

Ein neuer Infostealer für macOS nutzt gefälschte CAPTCHA-Seiten im Cloudflare-Design, Bash-Skripte, einen Nuitka-kompilierten Loader und eine Python-basierte Nutzlast. Verbreitung über ClickFix-Social-Engineering-Köder.

Gefälschte VS Code-Sicherheitswarnungen auf GitHub verbreiten Malware

SUPPLY CHAINENTWICKLER

Eine groß angelegte Kampagne veröffentlicht gefälschte VS Code-Sicherheitswarnungen in GitHub-Discussions-Bereichen, um Entwickler zum Download von Malware zu verleiten. Separat ermöglichte ein Open VSX-Bug das Umgehen der Vorab-Prüfung für bösartige VS Code-Erweiterungen.

RedLine-Malware-Administrator an die USA ausgeliefert

STRAFVERFOLGUNG

Hambardzum Minasyan aus Armenien, mutmaßlicher Administrator des RedLine-Infostealers, wurde an die Vereinigten Staaten ausgeliefert, um sich vor Gericht zu verantworten.

Quelle: SecurityWeek

📦 Supply-Chain-Angriffe

TeamPCP kompromittiert Telnyx-PyPI-Paket — Stealer in WAV-Dateien versteckt

SUPPLY CHAINKRITISCH

Der Bedrohungsakteur TeamPCP (zuvor verantwortlich für die Kompromittierung von Trivy, KICS und litellm) hat bösartige Telnyx-Versionen 4.87.1 und 4.87.2 auf PyPI veröffentlicht. Der Angriff nutzt eine dreistufige Kette: Auslieferung über Audio-Steganografie (Zugangsdaten in WAV-Dateien versteckt), In-Memory-Ausführung und anschließende Datenexfiltration. Betrifft Windows, Linux und macOS. Sofort auf Version 4.87.0 downgraden. Das PyPI-Projekt ist unter Quarantäne gestellt.

🔧 Sicherheitstools & Ankündigungen

OpenAI startet Bug-Bounty-Programm für Missbrauchs- und Sicherheitsrisiken

KI-SICHERHEIT

OpenAI hat sein Bug-Bounty-Programm erweitert und deckt nun Design- oder Implementierungsfehler, die zu materiellem Schaden führen, ab — mit besonderem Fokus auf Missbrauchs- und Sicherheitsrisiken in KI-Systemen.

Quelle: SecurityWeek

Apple sendet Sperrbildschirm-Warnungen an veraltete iOS-Geräte

ABWEHRMOBIL

Apple sendet jetzt Sperrbildschirm-Benachrichtigungen an iPhones und iPads mit älteren iOS/iPadOS-Versionen und warnt Nutzer vor aktiven webbasierten Exploits mit der Aufforderung zur sofortigen Aktualisierung.

Windows 11 KB5079391 — Verbesserungen bei Smart App Control

ABWEHRWINDOWS

Microsoft hat ein Vorschau-Update für Windows 11 24H2/25H2 mit 29 Änderungen veröffentlicht, darunter Verbesserungen der Smart App Control-Sicherheitsfunktionen.

RSAC 2026 Konferenz-Ankündigungen (Tag 3-4)

BRANCHE

Herstellerankündigungen vom dritten und vierten Tag der RSAC 2026 Konferenz werden weiterhin veröffentlicht, mit zahlreichen Sicherheitsprodukt-Launches und Plattform-Updates.

Quelle: SecurityWeek

Wichtige Trends dieser Woche

1. iOS unter Beschuss: Mehrere iOS-Exploit-Kits gleichzeitig aktiv — DarkSword (Russland/TA446), Coruna (Nachfolger von Operation Triangulation) sowie aktive webbasierte Exploits, die Apples beispiellose Sperrbildschirm-Warnungen ausgelöst haben. iOS ist nicht mehr die „sichere" mobile Plattform.

2. Supply-Chain-Steganografie: TeamPCPs Einsatz von WAV-Audio-Steganografie zum Verstecken von Credential-Stealern in PyPI-Paketen stellt eine Weiterentwicklung der Raffinesse von Supply-Chain-Angriffen dar. Weitere Nutzlast-Verschleierung in Mediendateien ist zu erwarten.

3. Entwicklerwerkzeuge als Angriffsfläche: VS Code, Open VSX, GitHub Discussions, PyPI — das Entwickler-Ökosystem wird systematisch ins Visier genommen. Gefälschte Sicherheitswarnungen und umgangene Scan-Pipelines zeigen, dass Angreifer die Vertrauensmodelle von Entwicklern verstehen.

4. Staatliche Persistenz in Telekommunikationsnetzen: Red Menshens BPFDoor-Implantate in der Telekommunikations-Backbone-Infrastruktur, beschrieben als „digitale Schläferzellen", verdeutlichen die Tiefe chinesischer Spionage in der Kommunikationsinfrastruktur.

5. CVE-Welle bei Netzwerk-Appliances: Kritische CVEs in Citrix NetScaler, F5 BIG-IP, TP-Link-Routern und Cisco IOS — alle im selben Zyklus. Netzwerk-Perimetergeräte bleiben der Angriffsvektor Nr. 1 für den Erstzugang.