SchwachstellenMalwareHackerangriffe

Bedrohungen im Überblick: Von Pre-Auth-Ketten bis zu versteckten CloudTrail-Angriffen

Bedrohungen im Überblick: Von Pre-Auth-Ketten bis zu versteckten CloudTrail-Angriffen
Zusammenfassung

Die aktuelle Bedrohungslandschaft zeigt ein besorgniserregendes Muster: Angreifer nutzen zunehmend Verkettungen kleinerer Sicherheitslücken zu massiven Angriffsszenarien, während traditionelle Erkennungsmechanismen immer raffinierter umgangen werden. Die neueste ThreatsDay-Analyse dokumentiert kritische Sicherheitsvorfälle, die von Pre-Authentifizierungs-Chains in Progress ShareFile über das Android-Rootkit NoVoice bis hin zu CloudTrail-Evasionsmethoden in AWS-Umgebungen reichen. Besonders bemerkenswert ist die 13,6-fache Steigerung von Malware-Meldungen in Open-Source-Ökosystemen seit Januar 2024, wo Angreifer gezielt vertrauenswürdige Pakete mit Millionen Downloads kompromittieren. Für deutsche Unternehmen und Behörden bedeutet dies konkrete Risiken: Viele deutsche Firmen sind auf AWS-Infrastruktur und Open-Source-Komponenten angewiesen, während die Warnung des FBI vor Spyware in chinesischen Apps auch hierzulande relevante Produktivitätstools betrifft. Das Besorgniserregendste ist nicht eine einzelne Lücke, sondern das systematische Verschleiern von Angreifervorgängen durch mehrschichtige Verschlüsselung, SOCKS5-Proxies und API-Missbrauch – Techniken, die Forensiker monatelang im Dunkeln tappen lassen.

Progress ShareFile: Kritische Pre-Auth-Verkettung entdeckt

Forscherlabor watchTower Labs hat zwei kritische Lücken in Progress ShareFile offengelegt (CVE-2026-2699 und CVE-2026-2701), die sich zu nicht authentifizierten Fernzugriffen verketten lassen. Während CVE-2026-2699 ein Authentication Bypass über den Endpoint “/ConfigService/Admin.aspx” darstellt, betrifft CVE-2026-2701 die Post-Authentifizierungs-Ausführung von Code. Angreifer können diese Schwachstellen kombinieren, um die Authentifizierung zu umgehen und Web-Shells hochzuladen. Progress hat Patches mit Version 5.12.4 des Storage Zone Controller vom 10. März 2026 bereitgestellt. Etwa 30.000 internetverbundene Instanzen sind betroffen – ein dringender Grund zum Patchen.

NoVoice-Malware infiziert Millionen Android-Nutzer

Eine neue Android-Malware namens NoVoice wurde über mehr als 50 Apps verbreitet, die mindestens 2,3 Millionen Mal heruntergeladen wurden. Die scheinbar legitimen Utilities, Bildergalerien und Spiele stellten ihre beworbenen Funktionen zur Verfügung – gleichzeitig exploitierte die Malware 22 Android-Schwachstellen aus den Jahren 2016 bis 2021, um Root-Zugriff zu erlangen. McAfee Labs warnt: “Wenn die Exploits erfolgreich sind, gewinnt die Malware vollständige Kontrolle über das Gerät. Von diesem Moment an wird jede App, die der Nutzer öffnet, mit attakiergesteuertem Code injiziert.” Nigeria, Äthiopien, Algerien, Indien und Kenia sind am stärksten betroffen. Google hat die betroffenen Apps aus dem Play Store entfernt.

CloudTrail-Evasion: Unsichtbare Aktivitätszonen

Angreifer umgehen traditionelle CloudTrail-Detektionen wie StopLogging oder DeleteTrail und nutzen stattdessen weniger bekannte AWS-APIs. Sie erstellen “unsichtbare Aktivitätszonen” durch PutEventSelectors, stoppen langfristige forensische Sichtbarkeit via StopEventDataStoreIngestion und DeleteEventDataStore und deaktivieren Anomalieerkennung mittels PutInsightSelectors. “Das echte Risiko liegt in der Sequenz: Einzeln sehen diese API-Aufrufe wie routinemäßige Wartung aus – aber in Verkettung ermöglichen sie es Angreifern, Beweise zu löschen und komplett unentdeckt zu bleiben,” warnt Abstract Security.

Supply-Chain-Vergiftung erreicht neues Ausmaß

Malware-Meldungen in Open-Source-Ökosystemen sind seit Januar 2024 um das 13,6-fache gestiegen. Von 1.011 npm-Account-Takeover-Vorfällen wurden 930 allein 2025 registriert – eine 12-fache Steigerung. Besonders kritisch: 38,4% der betroffenen Pakete hatten über 1.000 monatliche Downloads, 11,1% sogar über 100.000. Angreifer zielen bewusst auf tief in Produktionssystemen verankerte Pakete ab, um maximalen Schaden zu erreichen.

Fazit: Subtile Muster statt großer Einzelanschläge

Keine dieser Bedrohungen wirkt isoliert besonders dramatisch. Darin liegt die Gefahr. Kleine Veränderungen, genug wiederholt, werden bedeutsam. Systeme werden missbraucht für Zwecke, für die sie nie konzipiert waren. In dieser Lücke leben die meisten Probleme der heutigen Cybersicherheit.

Ähnliche Artikel