Inhalt

01. Kurznachrichten
  • CISA nimmt vier aktiv ausgenutzte Schwachstellen in die KEV auf

  • Mit China in Verbindung stehende Hacker nehmen indische Steuerzahler ins Visier – mit einem bösartigen Tool zur Steuererklärung, das DcRAT verbreitet

  • Eine US-Behörde soll Berichten zufolge 1 Million US-Dollar als Lösegeld im Fall des Kairos-Datenlecks gezahlt haben

  • Ubiquiti behebt mehrere kritische UniFi-Sicherheitslücken, die zentrale Plattformkomponenten betreffen

  • Angreifer missbrauchen npm und PyPI mit betrügerischen Zahlungspaketen

02. Fazit

Kurznachrichten

CISA nimmt vier aktiv ausgenutzte Sicherheitslücken in den KEV-Katalog auf

Die CISA hat vier aktiv ausgenutzte Sicherheitslücken in ihren Katalog „Known Exploited Vulnerabilities“ (KEV) aufgenommen und damit auf eine verschärfte Bedrohungslage hingewiesen, von der Adobe ColdFusion, Joomla-Erweiterungen und die KI-Workflow-Plattform Langflow betroffen sind. Das kritischste Problem, CVE-2026-48282 (CVSS 10,0), ist eine Path-Traversal-Schwachstelle in Adobe ColdFusion, die zur Remote-Codeausführung führen kann und Berichten zufolge bereits innerhalb weniger Stunden nach der öffentlichen Bekanntgabe ausgenutzt wurde. Darüber hinaus werden zwei Schwachstellen in Joomla-Komponenten – CVE-2026-56290 im Page Builder CK und CVE-2026-48908 im SP Page Builder – von Angreifern ausgenutzt, um Web-Shells hochzuladen und eine nicht authentifizierte Remote-Codeausführung zu erreichen, wodurch sie sich dauerhaften Zugriff auf kompromittierte Webserver verschaffen. Die Aufnahme der Langflow-Sicherheitslücke CVE-2026-55255 verdeutlicht zudem den wachsenden Fokus der Angreifer auf KI-Infrastrukturen. Die beobachteten Angriffe ermöglichen mandantenübergreifenden Zugriff, den Diebstahl von Anmeldedaten für Cloud- und LLM-APIs sowie Folgeangriffe wie RCE, Cryptojacking und den Einsatz von Malware.

Unternehmen, die diese Technologien einsetzen, sollten der Installation von Patches Priorität einräumen, eine „Threat Hunting“-Analyse auf Webshells und nicht autorisierte Administratorkonten durchführen, exponierte KI-Anwendungen überprüfen und verdächtige Zugriffsaktivitäten mit Anmeldedaten überwachen, da die aktive Ausnutzung darauf hindeutet, dass diese Schwachstellen bereits in realen Angriffen als Waffen eingesetzt werden.

Mit China in Verbindung stehende Hacker nehmen indische Steuerzahler mit einem bösartigen Tool zur Steuererklärung ins Visier, das DcRAT verbreitet

Ein mutmaßlich mit China verbundener Angreifer wurde dabei beobachtet, wie er eine gezielte Phishing-Kampagne gegen indische Steuerzahler, Steuerfachleute und Mitarbeiter der Unternehmensfinanzen durchführte, wobei er gefälschte Bescheide der Einkommensteuerbehörde nutzte, um den Fernzugriffstrojaner DcRAT zu verbreiten. Die als „DragonReturn“ bezeichnete Operation nutzt maßgeschneiderte, steuerbezogene Köder, bösartige PDF-Anhänge und betrügerische Downloads von Steuererklärungsprogrammen, um eine mehrstufige Infektionskette in Gang zu setzen, die DLL-Sideloading, Privilegieneskalation, Sandbox-Umgehung, Persistenzmechanismen und die Ausführung von Malware im Arbeitsspeicher umfasst.

Forscher identifizierten den Einsatz von DcRAT in Verbindung mit Funktionen zum Datendiebstahl, die das Abgreifen von Anmeldedaten, das Erstellen von Screenshots und die potenzielle Sammlung von Informationen ermöglichen. Verbindungen der Infrastruktur zum ChinaNet-IP-Raum, chinesischsprachige Verwaltungsoberflächen sowie Überschneidungen mit zuvor beobachteten Vorgehensweisen von „Silver Fox“ deuten auf einen möglichen Bezug zu China hin, obwohl die Zuordnung bislang unbestätigt bleibt. Die Kampagne zeugt von einem hohen Maß an operativer Reife durch den Einsatz einer mehrsprachigen, bildbasierten Verschleierung der Nutzlast, redundanter RAT-Einsätze und mehrerer Command-and-Control-Kanäle, die darauf ausgelegt sind, die Persistenz zu verbessern und der Erkennung zu entgehen.

US-Behörde zahlt Berichten zufolge 1 Million US-Dollar als Lösegeld nach Datenpanne durch Kairos

Eine kürzlich veröffentlichte Fallstudie hat die zunehmende Verlagerung von traditioneller Ransomware hin zu Erpressung durch Datendiebstahl deutlich gemacht, nachdem eine US-Behörde Berichten zufolge rund 1 Million US-Dollar (9,44 BTC) an die Bedrohungsgruppe Kairos gezahlt hat, um die Veröffentlichung gestohlener Daten zu verhindern. Im Gegensatz zu herkömmlichen Ransomware-Operationen fanden Forscher keine Hinweise darauf, dass Kairos dateiverschlüsselnde Malware eingesetzt oder Systeme lahmgelegt hätte; stattdessen stützte sich die Gruppe während der einmonatigen Erpressungsverhandlungen ausschließlich auf den Diebstahl sensibler Informationen als Druckmittel. Die Analyse durchgesickerter Verhandlungschats und Blockchain-Transaktionen deutet darauf hin, dass es sich bei dem Opfer möglicherweise um Union County in Ohio handelte, wobei die Angreifer behaupteten, mehr als 2 TB an Daten exfiltriert zu haben, die 1,6 Millionen Dateien umfassten, darunter hochsensible Regierungsunterlagen.

Der Vorfall lenkt die Aufmerksamkeit auf eine sich wandelnde Bedrohungslandschaft, in der Cyberkriminelle zunehmend unauffällige, aber wirkungsvolle Datenexfiltration der Verschlüsselung vorziehen – dies reduziert die operative Komplexität und hält gleichzeitig den Druck auf die Opfer aufrecht. Der Fall unterstreicht zudem die begrenzte Sicherheit, die Lösegeldzahlungen bieten, da es keinen zuverlässigen Mechanismus gibt, um die Löschung gestohlener Daten zu überprüfen, sobald diese an die Angreifer übertragen wurden.

Ubiquiti behebt mehrere kritische UniFi-Sicherheitslücken, die zentrale Plattformkomponenten betreffen

Ubiquiti hat Sicherheitsupdates veröffentlicht, um sieben kritische Sicherheitslücken zu beheben, die mehrere UniFi-Produkte betreffen, darunter UniFi Connect, Talk, Access, Protect und UniFi OS, wobei mehrere Schwachstellen CVSS-Werte zwischen 9,0 und 10,0 aufweisen. Die Sicherheitslücken könnten es Angreifern mit Netzwerkzugriff ermöglichen, Befehle aus der Ferne auszuführen, Berechtigungen zu erweitern, SQL-Injection-Angriffe durchzuführen, SSRF-Schwachstellen auszunutzen und Geräte unbefugt zu verändern, was möglicherweise zu einer vollständigen Kompromittierung der betroffenen Systeme führen könnte. Besonders besorgniserregend sind Schwachstellen durch Befehlsinjektion in UniFi Connect, UniFi Access und UniFi OS, die die Ausführung von beliebigem Code auf Host-Geräten ermöglichen könnten, sowie Schwachstellen zur Rechteausweitung, die UniFi Talk-, Access- und Protect-Installationen betreffen. Zwar gibt es derzeit keine Hinweise auf eine aktive Ausnutzung, doch die Schwere dieser Schwachstellen in Verbindung mit der Tatsache, dass die Ubiquiti-Infrastruktur in der Vergangenheit bereits Ziel von Angreifern war, sowie die jüngste Ausnutzung anderer UniFi-bezogener Schwachstellen machen eine umgehende Behebung unerlässlich.

Unternehmen, die betroffene UniFi-Produkte einsetzen, sollten die Installation der neuesten Sicherheitsupdates priorisieren und auf ungewöhnliche Aktivitäten achten, die auf Ausnutzungsversuche hindeuten könnten

Angreifer missbrauchen npm und PyPI mit betrügerischen Zahlungspaketen

Eine neu identifizierte Kampagne in der Software-Lieferkette hat Entwickler über 17 bösartige Pakete ins Visier genommen, die auf npm und PyPI veröffentlicht wurden und sich als legitime SDKs für die Zahlungsplattformen Paysafe, Skrill und Neteller tarnten. Die Pakete waren so konzipiert, dass sie echte Bibliotheken zur Zahlungsintegration imitierten, während sie heimlich sensible Informationen sammelten – darunter API-Schlüssel, AWS-Anmeldedaten, GitHub-Token, npm-Token, Benutzernamen und Systemmetadaten – und die Daten an eine von den Angreifern kontrollierte, auf AWS gehostete Infrastruktur exfiltrierten. Forscher stellten fest, dass die schädlichen Pakete die erwarteten APIs bereitstellten und gefälschte Erfolgsmeldungen zurückgaben, was die Erkennung für Entwickler, die Zahlungsdienste in ihre Anwendungen integrieren, erschwerte.

Die Kampagne verdeutlicht eine wachsende Bedrohung für das Softwareentwicklungs-Ökosystem, in dem Angreifer zunehmend vertrauenswürdige Open-Source-Repositorys nutzen, um Entwicklerumgebungen zu kompromittieren und Zugriff auf wertvolle Anmeldedaten zu erlangen, die weitere Kompromittierungen von Cloud-Diensten, Quellcode und Finanzdiensten ermöglichen könnten.

Es wird empfohlen, dass Unternehmen betroffene Pakete entfernen, exponierte Anmeldedaten regelmäßig ändern und CI/CD-Protokolle auf Anzeichen einer Kompromittierung überprüfen.

Zusammenfassung zum Abschluss

Sollten Sie Bedenken hinsichtlich einer der in diesem Bulletin beschriebenen Bedrohungen haben oder Hilfe bei der Entscheidung benötigen, welche Maßnahmen Sie ergreifen sollten, um sich vor den größten Bedrohungen für Ihr Unternehmen zu schützen, wenden Sie sich bitte an Ihren Kundenbetreuer oderkontaktieren Sieuns, um zu erfahren, wie Sie Ihr Unternehmen schützen können.

Haftungsausschluss

Der „Threat Intel Roundup“ wurde von Integrity360 erstellt und fasst die von uns beobachteten Nachrichten zu Bedrohungen zusammen; er entspricht dem Stand zum Zeitpunkt der Veröffentlichung. Er ist nicht als rechtliche, beratende oder sonstige fachliche Beratung zu verstehen. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns bereitgestellten Informationen keine politische Stellung. Darüber hinaus entsprechen die geäußerten Meinungen nicht unbedingt den Ansichten von Integrity360.