Monthly Threat Report April 2025

Einführung

Der Monthly Threat Report von Hornetsecurity bietet monatliche Einblicke in M365-Sicherheitstrends, E-Mail-basierte Bedrohungen und Kommentare zu aktuellen Geschehnissen im Bereich der Cybersicherheit. In dieser Ausgabe des Monthly Threat Reports behandeln wir Daten aus dem ersten Quartal 2025.

Zusammenfassung

• Die Anzahl der Low-Effort-/High-Volume-Angriffe per E-Mail hat im ersten Quartal zugenommen, vermutlich begünstigt durch die zunehmende Nutzung generativer KI von Cyberkriminellen.
• PDF-, Archiv- und HTML-Dateien waren die drei Dateitypen, die im ersten Quartal am häufigsten zur Verbreitung schädlicher Nutzdaten verwendet wurden.
• Der E-Mail-Bedrohungsindex ist im ersten Quartal für alle Branchen gesunken, was im Vergleich zum vierten Quartal 2024 wahrscheinlich auf das Ende der Urlaubssaison zurückzuführen ist.
• DocuSign, DHL und PayPal waren im ersten Quartal die am häufigsten imitierten Marken.
• Der Einsatz von KI-Tools zur Erstellung ganzer Phishing-Kits ist nach wie vor ein unglaublich einfaches Unterfangen.
• Es gab einen neuen Angriff auf die Lieferkette, bei dem GitHub-Aktionen aus kompromittierten SpotBug-Tokens ausgenutzt wurden.
• In der Branche kursierten Gerüchte über einen Angriff auf die Oracle Cloud, den Oracle nur widerwillig bestätigte und nur wenige Details preisgab.

Überblick über die Bedrohungslage

Unerwünschte E-Mails nach Kategorie

Die folgende Tabelle zeigt die Verteilung der unerwünschten E-Mails nach Kategorie für Q4 2024 im Vergleich zu Q1 2025.

Im ersten Quartal 2025 haben wir im Vergleich zum vierten Quartal 2024 einen deutlichen Anstieg der low-effort / high-volume Angriffe per E-Mail festgestellt. Da diese Angriffe auf leicht erkennbaren Methoden basieren oder von bekannten bösartigen Quellen stammen, werden sie in unserem Erkennungsprozess sofort abgewiesen. Die Zahl der ausgefeilteren, fortgeschrittenen E-Mail-basierten Bedrohungen ist daher zurückgegangen. Dennoch bleibt die E-Mail-Bedrohungslandschaft gefährlich wie eh und je.

Ein möglicher Grund für die Zunahme von E-Mail-basierten low-effort / high-volume Angriffen ist die zunehmende Verbreitung von generativer KI. Generative KI hat es für Bedrohungsakteure einfacher denn je gemacht, diese Art von Angriffen zu starten, und als Folge davon sehen wir ein erhöhtes Volumen derartiger Angriffe.

ZUR ERINNERUNG: Die Kategorie „Abgelehnt“ bezieht sich auf E-Mails, die von den Hornetsecurity-Diensten während des SMTP-Dialogs aufgrund externer Merkmale wie der Identität oder IP-Adresse des Absenders abgewiesen wurden. Wenn ein Absender bereits als kompromittiert identifiziert wurde, wird die Analyse nicht fortgesetzt. Der SMTP-Server lehnt die Übertragung der E-Mail gleich zu Beginn der Verbindung aufgrund der negativen Reputation der IP-Adresse und der Identität des Absenders ab.

Die anderen Kategorien des Bildes werden in der nachstehenden Tabelle beschrieben:

Kategorie	Beschreibung
Spam	Diese E-Mails sind unerwünscht und haben häufig einen werblichen oder betrügerischen Charakter. Die E-Mails werden gleichzeitig an eine große Anzahl von Empfängern verschickt.
Threat	Diese E-Mails enthalten gefährliche Inhalte, wie bösartige Anhänge oder Links oder werden zur Begehung von Straftaten, wie Phishing verschickt.
AdvThreat	Bei diesen E-Mails hat Advanced Threat Protection eine Bedrohung erkannt. Die E-Mails werden für illegale Zwecke eingesetzt und nutzen ausgeklügelte technische Mittel, die nur mithilfe von fortgeschrittenen dynamischen Verfahren abgewehrt werden können.
Abgelehnt	Diese E-Mails werden aufgrund externer Merkmale, die z. B. die Identität des Absenders betreffen können, im Laufe des SMTP-Dialogs direkt von unserem E-Mail-Server abgelehnt und nicht weiter analysiert.
Gültig	Diese E-Mails waren frei von Bedrohungen und wurden zugestellt.

Für E-Mail-Angriffe verwendete Dateitypen

Die folgende Tabelle zeigt die Verteilung der in E-Mail-Angriffen verwendeten Dateitypen über den gesamten Datenzeitraum.

Die meisten Dateitypen wurden im 1. Quartal 2025 weniger für die Übermittlung von Nutzdaten verwendet. Eine Ausnahme bilden PDF-, Disk-Image- und XLSX-Dateien, die alle einen Anstieg verzeichneten. Der allgemeine Rückgang deutet darauf hin, dass Social Engineering und Toolkits zum Diebstahl von Anmeldedaten wie Evilginx den Bedrohungsakteuren derzeit mehr Erfolg bescheren als schädliche Anhänge. Dieser Trend dürfte sich in naher Zukunft fortsetzen.

Unser branchenspezifischer E-Mail-Bedrohungsindex

Die folgende Tabelle zeigt unseren E-Mail-Bedrohungsindex für verschiedene Branchen, der auf der Anzahl bedrohlicher E-Mails im Verhältnis zu sicheren E-Mails (Medianwert) basiert. Unterschiedliche Organisationen erhalten eine unterschiedliche absolute Anzahl von E-Mails. Daher berechnen wir den prozentualen Anteil der bedrohlichen E-Mails an den bedrohlichen und unverdächtigen E-Mails jedes Unternehmens, um die Unternehmen zu vergleichen. Anschließend berechnen wir den Median dieser Prozentwerte für alle Unternehmen derselben Branche, um den endgültigen Bedrohungswert für die Branche zu erhalten.

Alle Branchen verzeichneten im ersten Quartal 2025 einen Rückgang der E-Mail-Bedrohungen im Vergleich zu anderen E-Mails. Dies ist für die meisten Q1-Perioden normal, da die Flut der als Urlaubs-E-Mails getarnten E-Mail-Angriffe nachgelassen hat.

Markenmissbrauch bekannter Firmen und Organisationen

Die folgende Tabelle zeigt, welche Unternehmensmarken und Organisationen von unseren Systemen am häufigsten bei Imitationsangriffen erkannt wurden.

Trotz eines allgemeinen Rückgangs der Angriffe auf Markenidentitäten führen DocuSign, DHL und PayPal die Liste der am häufigsten imitierten Marken an. DocuSign ist angesichts der aktuellen Steuererklärungssaison in den USA keine Überraschung. DHL und PayPal tauchen beide häufig auf dieser Liste auf, wahrscheinlich weil DHL eine große globale Versandmarke ist und PayPal im Finanzbereich tätig ist und daher bei vielen E-Mail-basierten Angriffen eine Rolle spielt.

Ein Update zu unserer KI-gestützten Phishing-Kit-Forschung

In unserem Bericht vom letzten Monat haben wir beschrieben, wie wir einige der neuesten KI-Modelle verwendet haben, um ein Phishing-Kit von Grund auf neu zu entwickeln. Dies geschah mit wenig oder gar keinem Jailbreaking und führte zu einem funktionsfähigen System, das problemlos Netflix-Anmeldeseiten fälschen und Anmelde- und Zahlungsdaten stehlen konnte.

Darauf aufbauend haben unsere Forscher untersucht, wie weit ein Krimineller mit wenig Programmierkenntnissen mit einem ähnlichen Projekt gehen könnte. Obwohl die gefälschten Anmeldeseiten bisher recht überzeugend aussahen, wären sie von aufmerksamen Nutzern leicht zu durchschauen gewesen. In der nächsten Phase des Projekts versuchte unser Team, das Aussehen überzeugender zu gestalten und das LLM dazu zu bringen, eine mehrsprachige Unterstützung zu erstellen. Dies ist etwas, was ein erfahrener Angreifer wahrscheinlich tun würde, denn wenn das Opfer in Deutschland wohnt und der bösartige Link stattdessen eine französische Version der Anmeldeseite lädt, ist es wahrscheinlicher, dass sie die Gültigkeit der Anmeldeseite infrage stellen. Durch eine Reihe von Anfragen konnten wir das LLM dazu bewegen, die Anmeldeseite mit aktualisiertem Bildmaterial zu versehen und geografisch anzupassen.

Unten sehen Sie zum Beispiel einen deutschsprachigen Netflix-Anmeldebildschirm:

Es sei auch darauf hingewiesen, dass viele Übersetzungs-APIs (wie Google Translate) kostenpflichtige Dienste sind. Daher haben wir uns bei unseren Tests ausschließlich auf das LLM verlassen, um alle Sprachübersetzungen auf der Grundlage der IP-Adresse und des Standorts des Opfers durchzuführen.

Wir haben anschließend die gleichen Schritte durchgeführt, um herauszufinden, ob es möglich ist, eine häufig genutzte französische Steuer-Website zu fälschen und eine effektive „Alpha-Version“ des Phishing-Toolkits zu erstellen. Die Schritte und Ergebnisse werden im Folgenden beschrieben:

• Prozess
  • Erstellung der Anmeldeseite
    • Aufgabe: Entwickeln Sie eine Anmeldeseite, die der Ästhetik von French Taxes ähnelt.
    • Dauer: Ungefähr 30 Sekunden KI-Interaktion.
    • Ansatz: Die KI wurde aufgefordert, HTML/CSS/JavaScript-Code für eine generische Anmeldeseite zu generieren und einen Screenshot der echten Seite an die KI zu senden.
  • Technische Umsetzung
    • HTML: Strukturiertes, einfaches Formular mit Feldern, die Sie auch auf der echten Seite finden können.
    • CSS: Gestaltet, um das Branding von impots.gouv.fr nachzuahmen.
    • JavaScript: Grundlegende Funktionen für die Übermittlung von Formularen hinzugefügt (zunächst keine Erhebung sensibler Daten).
  • Ergebnis
    • Eine funktionsfähige Login-Seite wurde erstellt und bildet die Grundlage für die nächsten Projektphasen. Die KI stellte während des Prozesses ihre Fähigkeit unter Beweis, sowohl den Code als auch die Sprache effizient zu optimieren.

Dies zeigt, dass KI nach wie vor ein vielseitiges Werkzeug für unerfahrene Bedrohungsakteure ist und dass es trotz der Bemühungen großer LLM-Anbieter nach wie vor trivial ist, bösartige Tools mithilfe öffentlich verfügbarer LLMs zu erstellen.

Wichtige Vorfälle und Branchenereignisse

Neuer Angriff auf die Lieferkette über GitHub

Im März 2025 wurden bei einem Angriff auf die Lieferkette von GitHub Actions Schwachstellen in mehreren Repositories aufgedeckt, die auf das kompromittierte SpotBugs-Token zurückzuführen waren. Die Angreifer verschafften sich zunächst Zugriff auf das Sicherheitsscanner-Tool, indem sie ein durchgesickertes Personal Access Token (PAT) ausnutzten, um in verwandte Projekte einzudringen. Der Einbruch weitete sich schnell aus, da die Angreifer seitlich vorrückten, um weitere Repositories zu kompromittieren, darunter Reviewdog, ein weit verbreitetes Automatisierungstool. Durch die Manipulation von GitHub-Tags brachten sie ahnungslose Entwickler dazu, infizierte Versionen von tj-actions/changed-files, einem wichtigen Workflow-Tool, herunterzuladen. Der Einbruch führte schließlich zur Offenlegung sensibler Zugangsdaten zu 218 Repositories und weckte Bedenken über die wachsende Bedrohung durch Angriffe auf die Software-Lieferkette.

Obwohl es dem Angriff nicht gelang, in Coinbase, das ursprüngliche Ziel, einzudringen, hat der Vorfall kritische Sicherheitslücken in den GitHub Actions Workflows und im Umgang mit Token von Drittanbietern aufgedeckt. Die Sicherheitsforscher betonten die Notwendigkeit für Unternehmen, kompromittierte Geheimnisse sofort zu rotieren, Repositories auf unautorisierte Änderungen zu überprüfen und die Verwendung der neuesten Token in Automatisierungsskripten zu vermeiden und stattdessen angeheftete Abhängigkeiten zu verwenden. Diese Sicherheitslücke zeigt, wie Schwachstellen in der Lieferkette ausgenutzt werden können, um vertrauenswürdige Open-Source-Projekte zu kompromittieren, und unterstreicht die Bedeutung kontinuierlicher Sicherheitsüberprüfungen in Entwicklungsumgebungen.

Oracle Cloud-Datenleck

Vor einigen Wochen behauptete ein Cyberkrimineller namens „rose87168“, in die Oracle Cloud eingedrungen zu sein und angeblich sechs Millionen Datensätze mit verschlüsselten Passwörtern, Java KeyStore (JKS)-Dateien und Authentifizierungsschlüsseldaten gestohlen zu haben. Der Angreifer postete Beispiele der gestohlenen Informationen in Untergrundforen, bat um Hilfe bei der Entschlüsselung der sensiblen Dateien und forderte Lösegeld von den betroffenen Unternehmen. Während Cybersecurity-Forscher die Echtheit einiger durchgesickerter Daten bestätigten, hüllte sich Oracle tagelang in Schweigen und bestätigte den Vorfall nicht. Dieser Mangel an Transparenz führte zu Verwirrung bei Unternehmenskunden, von denen viele Schwierigkeiten hatten, ihr Risiko durch den Einbruch einzuschätzen. Unter wachsendem Druck von Cybersecurity-Experten und betroffenen Unternehmen gab Oracle schließlich widerwillig zu, dass es eine Datenleck gegeben hatte. Das Ausmaß des Vorfalls wurde jedoch heruntergespielt, indem die gestohlenen Daten auf „zwei veraltete Server“ und nicht auf die primäre Cloud-Infrastruktur zurückgeführt wurden.

Trotz dieses Eingeständnisses löste die Reaktion von Oracle Frustration aus, da das Unternehmen die Auswirkungen weiterhin herunterspielte und den betroffenen Kunden keine klaren Abhilfemaßnahmen anbot. Sicherheitsexperten wiesen darauf hin, dass die durchgesickerten Daten auch LDAP-Login-Daten, verschlüsselte Login-Daten und Schlüsselverwaltungsdateien umfassten, was Bedenken über die Auswirkungen auf die allgemeine Sicherheit aufkommen ließ. Die mangelnde Transparenz und die langsame Reaktion von Oracle führten zu Gegenreaktionen von Unternehmenskunden, von denen einige rechtliche Schritte gegen das Unternehmen einleiteten, weil es den Verstoß nicht rechtzeitig bekannt gegeben hatte. Dieser Vorfall unterstreicht die anhaltende Besorgnis über die Sicherheit in der Cloud und die Bedeutung einer raschen Kommunikation von Sicherheitsverletzungen, da eine verspätete Reaktion die Bemühungen der betroffenen Unternehmen zur Schadensbegrenzung erheblich behindern kann.

Prognosen für die kommenden Monate

• Aufgrund der Steuersaison in vielen Ländern werden wir wahrscheinlich einen Anstieg von Spam und Betrugsversuchen im Zusammenhang mit Steuern feststellen, sobald unsere Daten für Q2 vorliegen.
• Abhängig von den endgültigen Ergebnissen des mutmaßlichen Verstoßes gegen die Oracle Cloud Policy werden Cloud-Dienste von der Cybersecurity-Community genauer unter die Lupe genommen.

---

Monatliche Empfehlungen

• Stärken Sie Ihre E-Mail-Sicherheitsmaßnahmen – Angesichts der Zunahme von low effort / high volume Angriffen per E-Mail, die von generativer KI angetrieben werden, sollten IT-Teams ihre E-Mail-Sicherheitsmaßnahmen neu bewerten. Stärkere E-Mail-Filter, Mitarbeiterschulungen und verhaltensbasierte Erkennungsmechanismen tragen dazu bei, das Risiko zu minimieren.
• Überprüfen Sie dateibasierte Angriffspunkte – Aufgrund der zunehmenden Verwendung von PDFs, Disk-Image-Dateien und XLSX-Formaten bei E-Mail-basierten Angriffen sollten IT-Abteilungen sicherstellen, dass ihre Sicherheitslösungen diese Anhänge vor der Zustellung ordnungsgemäß scannen und analysieren.
• Besserer Schutz vor Markenimitationen – Da DocuSign, DHL und PayPal nach wie vor die Hauptziele von Phishing-Angriffen sind, sollten Unternehmen ihre Mitarbeiterinnen und Mitarbeiter in der Erkennung von Phishing-Versuchen schulen und die Implementierung von DMARC für ihre eigenen Domains in Erwägung ziehen.
• Überwachen Sie KI-gesteuerte Phishing-Bedrohungen – Die Fähigkeit generativer KI, mehrsprachige und visuell präzise Phishing-Kits zu erstellen, unterstreicht die Bedeutung proaktiver Sicherheit. IT-Teams sollten regelmäßig Phishing-Simulationen durchführen und KI-gesteuerte Erkennungslösungen einsetzen, um diesen sich entwickelnden Bedrohungen zu begegnen.
• Maßnahmen für höhere Lieferketten- und Cloud-Sicherheit – Die jüngsten Vorfälle mit GitHub Actions und Oracle Cloud unterstreichen die Notwendigkeit, strenge Token-Sicherheit durchzusetzen, rotierende Anmeldeinformationen zu implementieren und sich nicht auf die neuesten Tags in der Softwareautomatisierung zu verlassen.

---

Über Hornetsecurity

Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 12.000 Channel-Partnern und MSPs in mehr als 120 Ländern aktiv. Seine Premium-Dienste werden von mehr als 125.000 Kunden genutzt.