Schadsoftware in Rust-Crates stiehlt Solana- und Ethereum-Schlüssel – 8.424 Downloads bestätigt

Forscher haben zwei bösartige Rust-Crates namens faster_log und async_println entdeckt, die sich als die legitime Bibliothek fast_log ausgaben, um Wallet-Schlüssel von Solana und Ethereum zu stehlen. Die Pakete wurden am 25. Mai 2025 unter den Pseudonymen rustguruman und dumbnbased veröffentlicht und über 8.400 Mal heruntergeladen, bevor sie von crates.io entfernt wurden. Die Crates enthielten funktionalen Logging-Code als Tarnung, führten jedoch zusätzlich Routinen aus, die Rust-Quellcode nach privaten Schlüsseln durchsuchten und diese per HTTP POST an eine Cloudflare-Workers-Domain exfiltrierten, die eine Solana-RPC-Schnittstelle imitierte.

UNC5221 nutzt BRICKSTORM-Backdoor zur Infiltration von US-Rechts- und Technologiesektoren

Die mit China in Verbindung gebrachte Bedrohungsgruppe UNC5221 setzt die Backdoor BRICKSTORM gegen US-Unternehmen in den Bereichen Recht, SaaS, BPO und Technologie ein. Die seit mindestens 2022 laufende Kampagne zielt auf langfristigen, unentdeckten Zugriff ab – im Schnitt 393 Tage – durch Ausnutzung von Edge-Geräten ohne Endpoint Detection. Die in Go geschriebene Malware ermöglicht Dateioperationen, Shell-Befehle, SOCKS-Proxys und Webserver-Funktionalität und kommuniziert über WebSockets mit C2-Servern. Ziel ist der Zugriff auf sensible E-Mails, das Stehlen von Zugangsdaten und das Sammeln von Informationen zu nationaler Sicherheit, Handel und geistigem Eigentum – auch über SaaS-Anbieter hinweg.

Angreifer nutzen häufig Zero-Day-Schwachstellen in Ivanti Connect Secure, um Zugang zu erlangen, und sichern Persistenz durch modifizierte Startskripte, JSP-Webshells oder gültige Zugangsdaten. Zusätzlich kommt BRICKSTEAL zum Einsatz – ein bösartiger Apache-Tomcat-Filter zur Erbeutung von vCenter-Zugangsdaten und zum Klonen kritischer Server. Die Malware wird aktiv weiterentwickelt, teils mit verzögerter Ausführung zur Umgehung von Erkennungssystemen.

Neue YiBackdoor-Malware zeigt starke Code-Überschneidungen mit IcedID und Latrodectus

Forscher von Zscaler haben eine neue Malware-Familie namens YiBackdoor entdeckt, die signifikante Code-Ähnlichkeiten mit IcedID und Latrodectus aufweist. Die im Juni 2025 identifizierte Malware kann Befehle ausführen, Systeminformationen sammeln, Screenshots erstellen und Plugins laden – alles unter Einsatz von Anti-Analyse-Techniken und Persistenz über den Windows-Registry-Schlüssel „Run“. Die begrenzte Verbreitung deutet darauf hin, dass sich YiBackdoor noch in der Test- oder Entwicklungsphase befindet.

Parallel dazu wurden neue Versionen von ZLoader (2.11.6.0 und 2.13.7.0) mit verbesserter Obfuskation, Anti-Analyse, LDAP-basierter lateraler Bewegung und optimierter DNS/WebSocket-C2-Kommunikation entdeckt – ein klarer Trend zu gezielteren und schwerer erkennbaren Angriffen.

ShadowV2-Botnetz nutzt falsch konfigurierte AWS-Docker-Container für DDoS-as-a-Service

Forscher haben ShadowV2 entdeckt – ein neues DDoS-Botnetz, das falsch konfigurierte Docker-Container auf AWS ausnutzt, um eine Go-basierte Remote-Access-Trojaner (RAT) zu installieren. Die Steuerung erfolgt über ein Python-basiertes C2-System auf GitHub Codespaces. ShadowV2 nutzt fortschrittliche Angriffsmethoden wie HTTP/2 Rapid Reset Floods und Umgehungsversuche von Cloudflare-Schutzmechanismen. Die Architektur deutet klar auf ein „Cybercrime-as-a-Service“-Modell hin. Die Entdeckung fällt in eine Zeit rekordverdächtiger DDoS-Angriffe, darunter ein 22,2-Tbps-Angriff, der von Cloudflare abgewehrt wurde, sowie die Ausbreitung des AISURU-Botnetzes, das weltweit fast 300.000 IoT-Geräte infiziert hat.

Microsoft behebt kritische Entra-ID-Sicherheitslücke mit globaler Admin-Impersonation über Tenant-Grenzen hinweg

Forscher haben eine schwerwiegende Sicherheitslücke in Microsoft Entra ID (CVE-2025-55241, CVSS 10.0) entdeckt, die es Angreifern ermöglichte, beliebige Benutzer – einschließlich Global Admins – über Tenant-Grenzen hinweg zu imitieren, ohne vorherigen Zugriff. Die Ursache lag in unsicherer Verarbeitung von Service-to-Service-Actor-Tokens und einem Validierungsfehler in der veralteten Azure AD Graph API. Ein erfolgreicher Angriff hätte MFA, Conditional Access und Logging umgangen und vollständige Kontrolle über Azure- und Microsoft-365-Dienste ermöglicht – ohne Spuren zu hinterlassen.

Microsoft hat die Schwachstelle am 17. Juli 2025 gepatcht; Kunden mussten keine Maßnahmen ergreifen. Die Graph API wurde am 31. August 2025 offiziell abgeschaltet. Die Entdeckung durch Dirk-jan Mollema unterstreicht die Risiken veralteter API-Abhängigkeiten in Cloud-Umgebungen. Sie reiht sich ein in eine Serie von Cloud-Sicherheitsvorfällen bei Microsoft und AWS, darunter OAuth-Fehlkonfigurationen, Credential-Leaks und API-Missbrauch mit weitreichenden Folgen wie Datenexfiltration und Rechteausweitung.

Wenn Sie sich Sorgen um eine der in diesem Bulletin beschriebenen Bedrohungen machen oder Hilfe bei der Festlegung der Schritte benötigen, die Sie unternehmen sollten, um sich vor den wichtigsten Bedrohungen für Ihre Organisation zu schützen, wenden Sie sich bitte an Ihren Account Manager oder alternativ an uns, um herauszufinden, wie Sie Ihre Organisation schützen können.

Der Threat Intel Roundup wurde von Integrity360 erstellt und fasst Bedrohungsnachrichten zusammen, wie wir sie beobachten, aktuell zum Zeitpunkt der Veröffentlichung. Er sollte nicht als Rechts-, Beratungs- oder sonstige professionelle Beratung betrachtet werden. Alle Empfehlungen sollten im Kontext Ihrer eigenen Organisation betrachtet werden. Integrity360 nimmt in den von uns geteilten Informationen keine politische Haltung ein. Darüber hinaus spiegeln die geäußerten Meinungen nicht unbedingt die Ansichten von Integrity360 wider.