Scattered Spider taucht mit neuen angriffen auf den finanzsektor wieder auf

Cybersicherheitsforscher haben eine neue Welle von Angriffen auf Finanzdienstleister mit Scattered Spider in Verbindung gebracht und damit die Behauptungen der Gruppe, „abgetaucht“ zu sein, widerlegt. Nach Angaben von Experten hat das Kollektiv seinen Fokus auf den Finanzsektor verlagert, indem es täuschend echte Domains nutzt und eine große US-Bank ins Visier nimmt. Die Angreifer verschafften sich Zugang, indem sie das Konto eines Führungskräfte-Mitglieds per Social Engineering kompromittierten und dessen Azure-Active-Directory-Passwort zurücksetzten. Anschließend bewegten sie sich lateral durch Citrix- und VPN-Umgebungen, kompromittierten VMware ESXi, erhöhten Rechte in Azure und versuchten, Daten aus Snowflake und AWS zu exfiltrieren. Fachleute warnen, die Aktivitäten deuteten eher auf einen taktischen Rückzug als auf einen echten Rücktritt hin. Scattered Spider, verbunden mit ShinyHunters und LAPSUS$, ist für Erpressungs- und Datendiebstahlkampagnen bekannt. Analysten raten Organisationen zur Wachsamkeit, da sich kriminelle Gruppen häufig umbenennen oder unter neuen Identitäten neu organisieren. Der Vorfall unterstreicht die Notwendigkeit, sich weiterhin gegen Social-Engineering- und zugangsdatenbasierte Angriffe in kritischen Branchen zu schützen.

SopAds-werbebetrug erreicht 2,3 milliarden anfragen pro tag vor abschaltung

Eine groß angelegte Android-Werbebetrugsoperation namens „SlopAds“ wurde zerschlagen, nachdem 224 schädliche Apps im Google Play Store täglich über 2,3 Milliarden Werbeanfragen erzeugten. Forscher entdeckten die Kampagne, die Verschleierung und Steganografie nutzte, um ihre Aktivitäten vor den Sicherheitsmaßnahmen von Google zu verbergen. Mit über 38 Millionen Downloads in 228 Ländern richtete sich SlopAds vor allem an Nutzer in den USA (30 %), Indien (10 %) und Brasilien (7 %).
Die Apps verhielten sich normal, wenn sie direkt installiert wurden, luden jedoch bei Installation über die Werbekampagnen der Angreifer eine verschlüsselte Konfiguration herunter, um die Schadsoftware „FatModule“ zu installieren. Dieses Modul, versteckt in PNG-Bildern, nutzte verdeckte WebViews, um echte Benutzerinteraktionen nachzuahmen und Milliarden gefälschter Werbeeinblendungen und Klicks zu generieren. Google hat die identifizierten Apps entfernt und Play Protect aktualisiert, doch HUMAN warnt, dass die Gruppe hinter SlopAds sich anpassen und ähnliche Programme neu starten könnte, was das Ausmaß und die Widerstandskraft von mobilem Werbebetrug verdeutlicht.

Microsoft und Cloudflare legen Raccoono365-phishing-as-a-service-netzwerk still

Microsoft und Cloudflare haben gemeinsam eine groß angelegte Phishing-as-a-Service-Operation (PhaaS) namens RaccoonO365 gestoppt, die den Diebstahl Tausender Microsoft-365-Anmeldedaten ermöglichte. Im September 2025 beschlagnahmte Microsofts Digital Crimes Unit in Zusammenarbeit mit Cloudforces One und den Trust-and-Safety-Teams von Cloudflare 338 Websites und Worker-Konten, die mit dem Schema verbunden waren.
Von Microsoft als Storm-2246 verfolgt, stahl die Gruppe seit Juli 2024 mindestens 5.000 Microsoft-Zugangsdaten aus 94 Ländern, indem sie Phishing-Kits mit CAPTCHA-Seiten und Anti-Bot-Techniken nutzte, um seriös zu wirken. Eine steuerbezogene Kampagne im April 2025 richtete sich allein gegen mehr als 2.300 US-Organisationen, darunter 20 Gesundheitseinrichtungen. Gestohlene Zugangsdaten und Cookies aus OneDrive, SharePoint und E-Mail-Konten wurden anschließend für Finanzbetrug, Erpressung und als Erstzugang für weitere Angriffe genutzt.
RaccoonO365 betrieb ein Abonnementmodell über einen privaten Telegram-Kanal und verlangte zwischen 355 und 999 US-Dollar in Kryptowährung. Microsoft hat den Anführer der Gruppe, den nigerianischen Programmierer Joshua Ogundipe, identifiziert und den Fall an internationale Strafverfolgungsbehörden weitergeleitet.

Sonicwall fordert passwort-reset für firewalls nach sicherheitsvorfall

SonicWall hat Kunden gewarnt, alle firewallbezogenen Zugangsdaten zurückzusetzen, nachdem eine Sicherheitsverletzung Konfigurations-Backup-Dateien bestimmter MySonicWall-Konten offengelegt hatte. Das Unternehmen gibt an, dass Angreifer weniger als 5 % dieser Firewall-Backups über Brute-Force-Angriffe auf seinen Cloud-API-Dienst erlangten. Obwohl die gestohlenen Dateien verschlüsselte Passwörter enthielten, beinhalteten sie auch Informationen, die eine Ausnutzung betroffener Firewalls erleichtern könnten.
SonicWall hat detaillierte Anleitungen für Administratoren veröffentlicht, um Risiken zu minimieren, darunter die Deaktivierung oder Einschränkung des WAN-Zugriffs, bevor alle Zugangsdaten, API-Schlüssel und Authentifizierungstoken für Benutzer, VPN-Konten und Dienste zurückgesetzt werden. Das Unternehmen betonte, dass Passwörter und Schlüssel, die in SonicOS konfiguriert sind, möglicherweise auch bei ISPs, VPN-Partnern oder Authentifizierungsservern aktualisiert werden müssen.
Das Unternehmen sagt, es gebe keine Hinweise darauf, dass die Dateien online geleakt wurden, und betont, dass es sich nicht um einen Ransomware-Angriff handelt. Kunden werden dringend aufgefordert, dem Essential Credential Reset-Bulletin zu folgen, um ihre Umgebungen schnell abzusichern.

Google schließt sechste Chrome-zero-day-lücke 2025, die aktiv ausgenutzt wird

Google hat Notfall-Sicherheitsupdates für seinen Chrome-Browser veröffentlicht, um vier Schwachstellen zu beheben, darunter CVE-2025-10585 – eine Zero-Day-Lücke, die bereits in aktiven Angriffen ausgenutzt wird. Das Problem, beschrieben als „Type-Confusion“-Fehler in Chromes V8-JavaScript- und WebAssembly-Engine, kann es Angreifern ermöglichen, beliebigen Code auszuführen oder Programme durch unerwartete Speicherzugriffe zum Absturz zu bringen.
Googles Threat Analysis Group entdeckte und meldete die Lücke am 16. September 2025, hat aber weitere Details zurückgehalten, um Nachahmerangriffe zu verhindern, bis Benutzer ihre Browser aktualisiert haben. CVE-2025-10585 ist die sechste Chrome-Zero-Day-Lücke, die in diesem Jahr offengelegt oder ausgenutzt wurde.
Nutzer werden aufgefordert, Chrome umgehend auf Version 140.0.7339.185/.186 unter Windows und macOS oder 140.0.7339.185 unter Linux zu aktualisieren (Menü > Hilfe > Über Google Chrome > Neu starten). Andere Chromium-basierte Browser, darunter Edge, Brave, Opera und Vivaldi, sollten Updates ebenfalls umgehend einspielen, um das Angriffsrisiko zu verringern.

 Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.