

Monthly Threat Report August 2025
Phishing setzt auf visuelle Tricks
Einleitung
Der Monthly Threat Report von Hornetsecurity liefert Einblicke in aktuelle M365-Sicherheitstrends, E-Mail-basierte Bedrohungen sowie Kommentare zu aktuellen Entwicklungen im Bereich Cybersicherheit. Diese Ausgabe konzentriert sich auf branchenspezifische Ereignisse aus dem Juli 2025.
Zusammenfassung
- Die Untersuchungen von Hornetsecurity zeigen, dass sich moderne Phishing-Tricks wie Quishing, ZeroFont und das Fälschen von Logos mittels Methoden der Computer Vision unterbinden lassen. Dadurch sind hybride Abwehrstrategien gegen visuell täuschende Angriffe möglich.
- Die APT-Gruppe Salt Typhoon konnte fast ein Jahr lang Zugriff auf Systeme der U.S. National Guard aufrechterhalten – ein deutlicher Hinweis auf gravierende Lücken bei Perimetererkennung und Netzsegmentierung.
- Eine Zero-Day-Sicherheitslücke in SharePoint wird aktiv ausgenutzt und ermöglicht nicht authentifizierten Zugriff auf interne Kollaborationsportale.
- Die Gruppe Secret Blizzard setzt Angriffe auf Ebene von Internetdienstanbietern ein, um Botschaften ins Visier zu nehmen – ein alarmierendes Signal für neue Überwachungstaktiken durch staatliche Akteure.
- Scattered Spider greift VMware-ESXi-Hypervisoren in Ransomware-Attacken gegen kritische Infrastruktur in den USA an und umgeht dabei vollständig die Endpunktsicherheit.
- Aufstrebende Ransomware-as-a-Service-Gruppe bekennt sich zu Angriffen auf 17 Opfer weltweit in den Bereichen Gesundheitswesen, Automobilindustrie und Business Process Outsourcing. Dies deutet auf zunehmende Professionalität von Bedrohungsakteuren und eine wachsende Zahl an Partnerinnen und Partnern hin.
Bedrohungsübersicht
Computer Vision in der Phishing-Erkennung: Von Quishing bis zu hybriden Ansätzen
In diesem Monat rücken wir eine dreiteilige Forschungsreihe aus dem Security Lab von Hornetsecurity in den Fokus, die detailliert aufzeigt, wie sich Computer-Vision-Technologien für die Verteidigung statt für den Angriff einsetzen lassen. Angreifer nutzen seit Langem visuelle Tricks, um herkömmliche Filter zu umgehen. Beispiele sind QR-Code-Phishing („Quishing“), sperrige HTML-Tabellen, die gefälschte Logos darstellen oder die berüchtigte ZeroFont-Technik, bei der unsichtbarer Text unbemerkt bleibt. Diese Methoden sollen automatisierte Scanner täuschen, für das menschliche Auge wirken sie dennoch „verdächtig“. Hier kommt Computer Vision ins Spiel: eine Technologie, die E-Mails und Webseiten wie eine Person analysieren kann und so schädliche visuelle Elemente erkennt, die bei einer reinen Inhaltsanalyse verborgen bleiben.
Der zweite Teil der Serie beleuchtet die technischen Grundlagen der Erkennung doppelter und nahezu identischer Bilder in Phishing- und Spam-Kampagnen. Da Angreifer nur selten pixelgenaue Kopien versenden, können sich Verteidigende nicht allein auf kryptografische Hashes verlassen. Stattdessen kommen wahrnehmungsbasierte Hashes und Farbhistogramme zum Einsatz, um E-Mails zu markieren, die bekannten Bedrohungen stark ähneln, selbst wenn Farben leicht verändert oder Abstände angepasst wurden. Dadurch entsteht ein Bewertungssystem anstelle einer einfachen Ja/Nein-Entscheidung, was es Analystinnen und Analysten ermöglicht, die Empfindlichkeit zu justieren und Fehlalarme zu reduzieren.
Teil drei geht noch weiter und stellt fortgeschrittene Erkennungsmethoden wie SIFT, ORB und OCR vor. Damit lassen sich subtile Logomanipulationen, Änderungen in eingebettetem Text und andere „kleine, aber gefährliche“ Anpassungen identifizieren, die schwächere Filter umgehen sollen. Diese Verfahren sind zwar rechenintensiver, liefern jedoch die hohe Erkennungsgenauigkeit, die in kritischen Situationen erforderlich ist – etwa wenn das Übersehen einer Phishing-Mail zur Kompromittierung eines Unternehmenszugangs führen könnte. Besonders OCR erweist sich als wirksam gegen bildbasierte Betrugsversuche, da es Text aus Grafiken extrahiert und so auch die allzu gängigen „Umfrageprämien-“ oder „Bankverifizierungs-“Betrugsversuche erkennt.
Das Fazit? Hybride Systeme sind überlegen. Die Kombination von ressourcenschonenden Verfahren wie Hashes und Histogrammen mit aufwändigeren Methoden wie Objekterkennung, OCR und hybriden Bewertungssystemen schafft ein Gleichgewicht aus Effizienz und Robustheit. Angreifer mögen ihre Verschleierungsmethoden weiterentwickeln, mehrschichtige, visuell gestützte Erkennungspipelines machen es schädliche Inhalten jedoch deutlich schwerer, unbemerkt zu bleiben. Es ist zu erwarten, dass Computer Vision in den kommenden Jahren einen festen Platz im Verteidigungs-Toolkit einnehmen wird, zumal Phishing- und Spam-Kampagnen zunehmend auf visuelle Täuschung setzen.
Wichtige Vorfälle und Branchengeschehen
Salt Typhoon kompromittiert National Guard in langfristiger Spionagekampagne
In einem Cyber-Spionageangriff wie aus einem Agentenfilm infiltrierte die staatlich unterstützte chinesische Gruppe Salt Typhoon ein Netzwerk der U.S. Army National Guard und blieb dort neun Monate unentdeckt – von März bis Dezember 2024. In dieser Zeit entwendeten die Angreifer Konfigurationsdateien von Netzwerken, Administratorzugangsdaten und sogar persönliche Daten von Dienstangehörigen, die als Grundlage für künftige Angriffe auf Regierungsnetze dienen könnten. Es handelte sich nicht um einen schnellen „Hit-and-Run“-Angriff, sondern um verdecktes Vorgehen in Perfektion.
Laut einem über NBC zugespielten DHS-Memo hat Salt Typhoon nicht nur Daten gestohlen, sondern auch detaillierte Netzwerktopologiekarten, netzübergreifende Diagramme zwischen Bundesstaaten und Informationen zum Datenverkehr zwischen mindestens vier US-Territorien exfiltriert. Mit anderen Worten: Die Gruppe hat im Prinzip Baupläne erstellt, um in andere bundesstaatliche Netzwerke mit chirurgischer Präzision einzudringen.
Dieser Angriff folgt dem bekannten Muster von Salt Typhoon: sorgfältig vorbereitete Infiltration von US-Infrastrukturen, die zu Spionage mit hohem Schadenspotenzial führt. Die Gruppe ist dafür bekannt, Telekommunikationsriesen wie AT&T, Verizon und Viasat ins Visier zu nehmen, ungepatchte Cisco-Geräte auszunutzen und maßgeschneiderte Schadsoftware wie JumblePath und GhostSpider einzusetzen.
Warum das wichtig ist
- Neun Monate unbemerkter Zugriff auf ein Netzwerk der National Guard sind ein massives Warnsignal. Es geht hier nicht nur um Datendiebstahl, sondern um strategische Vorbereitung für künftige Störungen.
- Der Umfang der entwendeten Netzwerk-Informationen könnte Salt Typhoon in die Lage versetzen, kaskadenartige Kompromittierungen quer durch staatliche Cybersicherheitsbehörden und sogenannte Fusion Centers auszulösen.
- Das ist ein Weckruf: „Gut genug“ reicht beim Patchen und bei der Netzsegmentierung nicht mehr aus.
SharePoint Zero-Day (CVE-2025-53770) wird aktiv ausgenutzt
Microsoft SharePoint – die alte On-Premises-Version – steht erneut im Zero-Day-Rampenlicht. Dieses Mal handelt es sich um CVE-2025-53770, eine Remote-Code-Execution-Sicherheitslücke in der lokalen SharePoint-Server-Installation, die laut Berichten von Microsoft und bestätigenden Informationen der CISA seit Anfang Juli aktiv ausgenutzt wird.
Angreifer nutzen die Schwachstelle, um Zugriff auf interne Portale zu erlangen und unbefugte Aktionen auszuführen – und das ganz ohne gültige Zugangsdaten. Laut The Hacker News begann die Ausnutzung mindestens zehn Tage, bevor Microsoft den Patch veröffentlichte, wodurch Hunderte Unternehmensumgebungen einem erhöhten Risiko ausgesetzt waren.
Die Angriffe erfolgen sowohl opportunistisch als auch im Rahmen gezielter Kampagnen. Besonders problematisch: Viele Organisationen mit SharePoint-Servern haben seit Jahren keine Updates eingespielt. Manche setzen sogar noch nicht unterstützte Versionen ein, was Gegenmaßnahmen deutlich erschwert.
Warum das wichtig ist
- Keine Authentifizierung in Kombination mit weitreichendem Zugriff ist ein Rezept für eine Katastrophe. Einmal im System, können Bedrohungsakteurinnen und -akteure Nutzeridentitäten übernehmen, Daten exfiltrieren oder sich intern weiter ausbreiten.
- SharePoint ist nach wie vor tief in Unternehmensprozesse eingebettet. Dieser Zero-Day zeigt, wie sehr veraltete Kollaborationstools weiterhin ein erhebliches Risiko darstellen.
- Für viele Organisationen, die noch die Versionen 2016 oder 2019 betreiben, ist das Einspielen von Patches alles andere als trivial. Verzögerungen führen zu fortdauernder Verwundbarkeit.
Secret Blizzard führt ISP-basierte AitM-Spionage gegen Botschaften in Moskau durch
In einer Operation, die sich wie eine verdeckte Neuinterpretation von „Vertraue niemandem“ liest, hat die russlandnah agierende APT-Gruppe Secret Blizzard den Datenverkehr auf Ebene von Internetdienstanbietern manipuliert, um Mitarbeitende ausländischer Botschaften in Moskau ins Visier zu nehmen. Wenn betroffene Geräte Microsofts Konnektivitätsprüfung anstoßen – ähnlich wie bei der Standardabfrage eines Captive Portals – werden sie umgeleitet, um ein angebliches „Kaspersky-Update“ zu installieren. In Wirklichkeit handelt es sich dabei um die Schadsoftware ApolloShadow. Nach der Installation deaktiviert diese die Browserverschlüsselung und fügt eigene, vertrauenswürdige Root-Zertifikate hinzu. So erhalten die Angreifer eine Zeile-für-Zeile-Ansicht sämtlicher Webaktivitäten. Das ist keine gewöhnliche Malware – es handelt sich um Überwachung, tief verankert in der Netzwerkinfrastruktur, und sie läuft mindestens seit 2024.
Warum das wichtig ist
- Dieser Angriff umgeht Endgeräte vollständig. Er basiert auf Kontrolle auf Telekommunikationsebene, nicht auf Phishing oder E-Mail.
- SSL/TLS wird ausgehebelt, sodass selbst verschlüsselter Datenverkehr offenliegt, sobald ApolloShadow installiert ist.
- Diplomatinnen und Diplomaten, die in stark überwachungsgeprägten Ländern lokale Internetanbieter nutzen, sind nun ein unmittelbares Ziel.
Scattered Spider setzt VMware ESXi in Angriffen auf kritische US-Infrastruktur ein
Die Bedrohungsgruppe Scattered Spider, berüchtigt für immer neue Ransomware-Kampagnen, sorgte im Juli erneut für Schlagzeilen, diesmal mit einer erweiterten Angriffswelle, die VMware-ESXi-Umgebungen in Organisationen der kritischen US-Infrastruktur ins Visier nahm.
Laut The Hacker News nutzt die Gruppe Methoden wie Identitätsanmaßung, gestohlene Zugangsdaten und Social Engineering, um Ransomware direkt auf Hypervisoren zu platzieren. Dieser Angriffstyp zeichnet sich seit Anfang 2024 als zunehmender Trend ab. Unter den Opfern befinden sich Organisationen aus dem Transportwesen und dem Einzelhandel. Die Angreifer setzen speziell entwickelte Schadprogramme ein, die darauf ausgelegt sind, komplette virtuelle Umgebungen in einem einzigen Schritt zu verschlüsseln.
Es handelt sich um eine besonders wirkungsvolle Form von Erpressung, da virtuelle Maschinen im großen Maßstab lahmgelegt werden, ohne dass ein einziges Endgerät der Nutzer berührt wird. Möglich wird dies durch veraltete Zugriffsrichtlinien und eine mangelhafte Durchsetzung von Multi-Faktor-Authentifizierung.
Warum das wichtig ist
- Die Kampagne umgeht Endgeräte und legt ganze Rechenzentren lahm. Ransomware gegen virtuelle Maschinen ist leider besonders effektiv.
- Angriffe auf ESXi sind schwer zu erkennen, bis es zu spät ist. Es gibt weder klassischen Virenschutz noch EDR-Abdeckung innerhalb des Hypervisors.
- Unternehmen segmentieren vSphere-Konsolen oft nicht und setzen Härtungsmaßnahmen nur unzureichend um, insbesondere in OT- oder Einzelhandelsumgebungen.
Neue RaaS-Gruppe „GLOBAL GROUP“ nimmt vielfältige Branchen mit KI-gestützter Einsatzfähigkeit ins Visier
Eine neu aufgetauchte Ransomware-as-a-Service-Gruppe namens GLOBAL GROUP hat sich schnell ins Rampenlicht gedrängt, nachdem sie 17 Opfer in verschiedenen Regionen und Branchen für sich beanspruchte – darunter Gesundheitswesen, Kfz-Reparatur, Öl- und Gasanlagenbau, industrielle Ingenieursdienstleistungen und BPO-Services. Die Gruppe wurde erstmals Anfang Juni 2025 gesichtet und gilt als mögliche Neumarkierung von BlackLock und Mamona, betrieben von der oder dem unter dem Pseudonym „$$$“ bekannten Akteurin bzw. Akteur. Die Opfer von GLOBAL GROUP sind über Australien, Brasilien, Europa und die USA verteilt, was auf eine breite geografische Reichweite hinweist.
Was GLOBAL GROUP von anderen unterscheidet, ist das professionalisierte Affiliate-Modell. Partnerinnen und Partner erhalten 85 Prozent der Lösegeldeinnahmen, ein Wert, der im Vergleich zu anderen RaaS-Gruppen besonders wettbewerbsfähig ist. Die Plattform bietet zudem ein eigenes Affiliate-Panel, mit dem sich Payloads für Windows-, VMware-ESXi-, NAS- und BSD-Umgebungen generieren lassen. Darüber hinaus setzt die Gruppe einen KI-gestützten Chatbot für Lösegeldverhandlungen ein, der sogar mehrere Sprachen unterstützt und damit die Effektivität globaler Kampagnen steigert.
Warum das wichtig ist
- Industriell betriebene Ransomware. Die Kombination aus spezieller Partner-Tooling, weltweiter Reichweite und KI-gestützten Verhandlungen zeigt, wie ausgereift RaaS-Operationen mittlerweile sind.
- Hochwertige Ziele in unterschiedlichen Branchen. Von Gesundheitswesen bis industrielle Ingenieursdienstleistungen zielt GLOBAL GROUP auf Opfer mit sowohl kritischen Diensten als auch hoher Zahlungswahrscheinlichkeit.
- Aggressive Anreize für Affiliates. Eine Auszahlung von 85 Prozent wird wahrscheinlich weitere Partnerinnen und Partner anlocken und so das Wachstum und die Schlagkraft der Gruppe beschleunigen.
Prognosen für die kommenden Monate
- Ransomware-Kampagnen, die gezielt Hypervisoren angreifen, werden zunehmen, insbesondere in Sektoren mit hoher Virtualisierungsdichte und schwacher Segmentierung.
- AitM-Malware-Verteilung auf Ebene von Internetdienstanbietern oder regionalen Telekommunikationsanbietern wird häufiger auftreten, vor allem in geopolitischen Brennpunkten und während diplomatischer Spannungen.
- Unternehmensplattformen wie SharePoint und Confluence werden vermehrt von Zero-Day-Sicherheitslücken ohne vorherige Authentifizierung betroffen sein, da Angreifende wieder verstärkt auf geschäftskritische Altsysteme setzen.
Monatliche Empfehlungen
- Gemeinsame Einstiegspunkte wie die E-Mail-Kommunikation absichern – wenn noch nicht geschehen, auf vertrauenswürdige, moderne E-Mail-Sicherheitslösungen setzen.
- Strikte Trennung von Management-Ebenen durchsetzen – vSphere-, SharePoint- und Identitätsdienste vom allgemeinen Zugriff isolieren und nur über VPN zugänglich machen.
- Kritische, öffentlich erreichbare Infrastruktur erneut prüfen – einschließlich SharePoint, VPNs und Remote-Management-Schnittstellen; dabei Patch-Stand und Passwort- bzw. Zugangsdatenhygiene sicherstellen.
- In verhaltensbasierte Anomalieerkennung auf Netzwerkebene investieren – insbesondere für laterale Bewegungen, Token-Missbrauch und befehlsartige Aktivitäten, die wie von internen Konten ausgeführt wirken.
Über Hornetsecurity
Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 12.000 Channel-Partnern und MSPs in mehr als 120 Ländern aktiv. Seine Premium-Dienste werden von mehr als 125.000 Kunden genutzt.