Partner Login

Monthly Threat Report März 2026

Umgangen, verschleiert und ausgenutzt

Author: Security Lab / 16.03.2026 /
Home » Blog » Monthly Threat Report März 2026

Einleitung

Der Monthly Threat Report von Hornetsecurity liefert monatliche Einblicke in M365-Sicherheitstrends, E-Mail-basierte Bedrohungen und Kommentare zu aktuellen Ereignissen im Bereich Cybersicherheit. Diese Ausgabe des Monthly Threat Report konzentriert sich auf Branchenereignisse aus dem Monat Februar 2026.

Zusammenfassung

  • „Fuzzing“ in E-Mail-Kampagnen – Bedrohungsakteure nutzen zunehmend dynamische Text-Randomisierung, um signaturbasierte und clusterbasierte Erkennung zu umgehen. Dadurch werden Kampagnensignale über Tausende volumenarmer Varianten fragmentiert, um unter Erkennungsschwellen zu bleiben.
  • Tycoon 2FA zerschlagen – Eine umfassende koordinierte Störungsmaßnahme unter Beteiligung von Proofpoint, Microsoft, Europol und internationalen Strafverfolgungsbehörden führte zur Beschlagnahmung von 330 Control-Panel-Domains, die mit einer der aktivsten AiTM-Phishing-as-a-Service-Plattformen in Verbindung standen.
  • BeyondTrust Zero-Day (CVE-2026-1731) – Eine RCE-Schwachstelle in BeyondTrust Remote Support, die vor der Authentifizierung ausgenutzt werden kann, wurde in aktiven Ransomware-Kampagnen exploitiert. Die CISA ordnete für Bundesbehörden ein Patch-Fenster von drei Tagen an und unterstrich damit die Dringlichkeit.
  • VMware Aria Operations RCE (CVE-2026-22719) – Eine zweite Schwachstelle in einer Management-Plattform im selben Monat wurde in CISA’s „Known Exploited Vulnerabilities“-Liste aufgenommen. Das unterstreicht ein aufkommendes Angriffsmuster, bei dem gezielt die Infrastruktur angegriffen wird, auf die Verteidiger am stärksten angewiesen sind.
  • Ausblick – MFA-Umgehungstechniken, die Widerstandsfähigkeit von PhaaS-Plattformen und die gezielte Kompromittierung von Verwaltungstools werden die Bedrohungslandschaft in den kommenden Monaten prägen. Mehrschichtige Abwehrmaßnahmen und ein konsequent hohes Patch-Tempo sind nicht länger optional.

Bedrohungsüberblick

Fuzzing in E-Mail-Angriffskampagnen: Die Kunst, jedes Mal anders auszusehen

In diesem monatlichen Bericht greifen wir immer wieder Techniken auf, die von Bedrohungsakteuren eingesetzt werden. Der Bericht dieses Monats enthält eine Betrachtung des Einsatzes von „Fuzzing“ in E-Mail-Angriffen.

Fuzzing, also die dynamische Randomisierung textueller Elemente innerhalb von E-Mail-Nachrichten, ist zu einer bevorzugten Umgehungstechnik für Bedrohungsakteure geworden, die groß angelegte Spam- und Phishing-Operationen durchführen. Anstatt identische Kopien derselben Nachricht zu versenden, arbeiten Angreifer heute wesentlich raffinierter und betten variable Platzhalter direkt in Versandvorlagen ein, etwa {RAND_1} oder {RAND_ALPHA}. Anschließend nutzen sie Skripte oder Spambot-Module, um beim Versand eindeutige Werte zu erzeugen. Das Ergebnis ist eine Flut von Nachrichten, die alle dieselbe bösartige Absicht verfolgen, sich aber gerade so stark voneinander unterscheiden, dass sie nicht gemeinsam gruppiert werden. Randomisierte Felder betreffen typischerweise Absender-Alias, Anzeigenamen und Betreffzeilen. Genau auf diese Merkmale stützen sich viele Erkennungs- und Clustering-Systeme am stärksten.

Besonders wirksam ist diese Technik wegen ihrer Präzision. Die Randomisierung ist nicht rein zufällig. Sie folgt fixen Mustern, etwa Zeichenfolgen mit fester Länge, begrenzten Zeichensätzen oder vorgegebenen Formulierungen, bei denen ein oder zwei randomisierte Token ausgetauscht werden. Akteure passen diese Parameter anhand von Zustellraten und Erkennungsrückmeldungen an und erhöhen oder verringern den Grad der Variabilität, um knapp unter der Schwelle zu bleiben, ab der Filtersysteme Zusammenhänge erkennen. Kampagnen werden bewusst auf viele volumenarme Varianten verteilt. Dadurch bleibt jedes einzelne „Cluster“ bedrohlicher E-Mails zu klein, um eine schnelle Erkennung der Kampagne oder Reputationsmaßnahmen auszulösen, während das Gesamtvolumen weiterhin dazu beitragen soll, Postfächer im großen Maßstab zu erreichen.

Warum ist das wichtig?

Die nachgelagerten Auswirkungen auf die Filterinfrastruktur sind erheblich und vielschichtig. Clusterbasierte Erkennung, bei der Nachrichten anhand gemeinsamer Merkmale gruppiert werden, um koordinierte Kampagnen zu identifizieren, verliert an Genauigkeit, wenn jede Nachricht etwas anders aussieht. Beschwerdebasierte Feedback-Schleifen (FBLs) zersplittern über Dutzende volumenarmer Varianten, wodurch es für ältere Reputationssysteme schwieriger wird, ein klares Signal zu erkennen. Indikatoren, die normalerweise verlässlich wären, etwa Absender-Alias, Betreffzeilen oder Textinhalte, werden verfälscht oder inkonsistent. Dadurch verlieren Verteidiger die Mustererkennung, die eine schnelle Reaktion ermöglicht. Sich allein auf signaturbasierte oder reputationsgesteuerte Filterung zu verlassen, ist nicht länger wirksam. E-Mail-Schutz der nächsten Generation mit Verhaltensanalysen, Inhaltsprüfung und fortgeschrittener Heuristik ist entscheidend, um das zu erkennen, was statischer Musterabgleich übersieht.

Tycoon 2FA gestört: Ein großer Erfolg gegen AiTM-Phishing-as-a-Service

Im Rahmen einer  koordinierten Maßnahme, die am 4. März 2026 bekannt gegeben wurde, wurde Tycoon 2FA, eine produktive Adversary-in-the-Middle-(AiTM)-Phishing-as-a-Service-Plattform, von einer Gruppe öffentlicher und privater Partner, darunter Proofpoint, Microsoft, Europol, Cloudflare und Strafverfolgungsbehörden aus mehreren Ländern, zerschlagen. Dies führte zur Beschlagnahmung von 330 Tycoon 2FA-Control-Panel-Domains.

Tycoon 2FA wird seit 2023 über Telegram verkauft und funktionierte in erster Linie durch das Abgreifen von Microsoft-365- und Gmail-Session-Cookies über einen transparenten Proxy. Dadurch konnten Angreifer Multi-Faktor-Authentifizierung umgehen und vollständige Kontoübernahmen erreichen. Allein im Februar 2026 beobachtete Proofpoint mehr als drei Millionen Nachrichten im Zusammenhang mit Tycoon-2FA-Kampagnen, die Organisationen aus nahezu allen großen Branchen angriffen.

Nach Angaben von Microsoft verschaffte die Plattform Cyberkriminellen Zugriff auf nahezu 100.000 Organisationen, darunter Schulen, Krankenhäuser und staatliche Einrichtungen. Daten von Proofpoint zeigen, dass bei 59 % der erfolgreich übernommenen Konten zum Zeitpunkt der Kompromittierung MFA aktiviert war. Tycoon-2FA-Kampagnen waren bewusst breit angelegt und opportunistisch und wurden über E-Mail-Links, QR-Codes und Anhänge zugestellt. Angreifer nutzten sogar kompromittierte Konten, um dem Köder mehr Glaubwürdigkeit zu verleihen. Diese „ATO Jumping“-Technik, bei der ein übernommenes Postfach zur Verbreitung weiterer Phishing-Nachrichten genutzt wird, erschwerte die Erkennung für Empfänger erheblich.

Warum ist das wichtig?

Diese Zerschlagung stört eines der aktivsten MFA-Umgehungs-Ökosysteme in der Bedrohungslandschaft, sollte aber nicht als gelöstes Problem verstanden werden. PhaaS-Plattformen sind widerstandsfähig, und Betreiber bauen ihre Infrastruktur leider wieder auf, benennen sie um und tauchen erneut auf. Die wichtigere Erkenntnis ist, dass MFA allein keine ausreichende Schutzmaßnahme gegen ausgefeilte AiTM-Angriffe ist. Organisationen, die MFA als primäre Verteidigung für Identitäten betrachten, müssen ihren Schutz um Session-Token-Schutz, Phishing-resistente Authentifizierungsmethoden wie FIDO2/Passkeys sowie fortschrittliche E-Mail-Filterung implementieren, die in der Lage sind, die von Tycoon 2FA verwendeten Zustellmechanismen wie QR-Codes, bösartige Anhänge und kompromittierte Absenderkonten zu erkennen.

Wichtige Vorfälle und Branchenereignisse

Kritischer BeyondTrust-Remote-Support-RCE-Zero-Day in Ransomware-Kampagnen ausgenutzt

Anfang Februar legte BeyondTrust eine Schwachstelle in seinem Produkt Remote Support offen, die eine Remote-Codeausführung vor der Authentifizierung ermöglicht und unter CVE-2026-1731 gelistet ist. Die Schwachstelle, die durch eine OS-Befehlsinjektion verursacht wird, ermöglicht es einem nicht authentifizierten Angreifer, beliebige Befehle über speziell erstellte Client-Anfragenauszuführen, ohne dass Anmeldedaten erforderlich sind. Öffentliche Proof-of-Concept-Exploits tauchten fast unmittelbar nach der Offenlegung am 6. Februar auf. Bis zum 13. Februar bestätigte CISA eine aktive Ausnutzung, nahm die Schwachstelle in ihren „Known Exploited Vulnerabilities“-Katalog auf und gab Bundesbehörden drei Tage Zeit, den Patch einzuspielen oder das Produkt vollständig außer Betrieb zu nehmen.

Warum ist das wichtig?

Remote-Support-Werkzeuge stehen im Zentrum vieler IT-Betriebsabläufe, insbesondere bei MSPs. Solche Tools verfügen häufig über erweiterte Berechtigungen und umfassenden Netzwerkzugriff, was sie zu außerordentlich wertvollen Zielen macht. Eine RCE vor Authentifizierung in einem Tool dieser Art gibt Angreifern je nach Anwendungsarchitektur praktisch einen Generalschlüssel in die Hand, ohne dass Phishing, Diebstahl von Zugangsdaten oder Social Engineering notwendig sind. Die Geschwindigkeit, mit der sich CVE-2026-1731 von der Offenlegung zur aktiven Ausnutzung in Ransomware-Kampagnen entwickelte (in weniger als zwei Wochen), beweist der Branche erneut, dass die Zeitfenster für Patches immer kleiner werden. Organisationen mit selbst gehosteten BeyondTrust-Bereitstellungen, die nicht innerhalb weniger Tage nach der Warnmeldung reagiert haben, sollten dies als potenzielles Kompromittierungsszenario behandeln und ihre Umgebung entsprechend untersuchen.

VMware-Aria-Operations-RCE-Schwachstelle (CVE-2026-22719) – CISA nimmt sie in die Known-Exploited-Liste auf

Unmittelbar nach BeyondTrust geriet im Februar eine weitere Management-Plattform für Unternehmen in den Fokus von CISA. In VMwares Aria-Operations-Plattform wurde eine Command-Injection-Schwachstelle festgestellt, erfasst unter CVE-2026-22719, mit einem CVSS-Wert von 8,1. Broadcom veröffentlichte die Schwachstelle zunächst am 24. Februar im Rahmen der Sicherheitsempfehlung VMSA-2026-0001.

Die Schwachstelle erlaubt es einem nicht authentifizierten Angreifer, während des supportgestützten Migrationsprozesses des Produkts auf anfälligen Systemen beliebige Befehle auszuführen. Obwohl zum Zeitpunkt der Offenlegung bereits ein Patch verfügbar war, nahm CISA die Schwachstelle rasch in ihren „Known Exploited Vulnerabilities”-Katalog auf, verwies auf Berichte über ihre aktive Ausnutzung und setzte eine Frist für die Behebung in Bundesbehörden bis zum 24. März 2026. Broadcom bestätigte, dass Berichte über die Ausnutzung bekannt seien, wies jedoch darauf hin, dass nicht alle Angaben unabhängig verifiziert werden konnten, und stellte für Organisationen, die Patches nicht sofort einspielen konnten, ein Shell-Skript als Workaround bereit.

Warum ist das wichtig?

VMware Aria Operations ist eine Monitoring-Plattform für Unternehmen, mit der sich der Zustand und die Leistung von Servern, Netzwerken und Cloud-Infrastruktur in großen Organisationen überwachen lassen. Genau diese Transparenz und dieser Zugriff machen die Plattform zu einem begehrten Ziel. Wie bereits im BeyondTrust-Fall oben beschrieben, geraten Management- und Monitoring-Plattformen zunehmend ins Visier von Angreifern, weil ihre Kompromittierung potenziell ENORMEN Zugriff ermöglicht. Zwei von CISA markierte, aktiv ausgenutzte Schwachstellen in Management-Plattformen innerhalb eines Monats sind kein Zufall. Es handelt sich um ein wiederkehrendes Muster, bei dem sich der Fokus von Angreifern gezielt auf die Werkzeuge verlagert, auf die Verteidiger am stärksten angewiesen sind. Es sollte mit höchster Dringlichkeit gepatcht werden. Falls dies nicht sofort möglich ist, sollte das von Broadcom bereitgestellte Skript zur Risikominderung angewendet und der Zugriff auf die Aria-Operations-Schnittstelle auf Netzwerkebene eingeschränkt werden.

Prognosen für die kommenden Monate

  • PhaaS-Plattformen werden sich neu formieren und wieder auftauchen – Die Störung von Tycoon 2FA ist ein Erfolg, aber sie wird nicht die letzte AiTM-Plattform sein, mit der sich Verteidiger auseinandersetzen müssen. Betreiber in diesem Bereich haben wiederholt gezeigt, dass sie Infrastruktur neu aufbauen, umbenennen und den Betrieb wieder aufnehmen können. Es ist damit zu rechnen, dass innerhalb von wenigen Wochen oder Monaten Nachfolgeplattformen oder eine wiederbelebte Tycoon-2FA-Infrastruktur auftauchen werden, wahrscheinlich mit von Beginn an verbesserter OPSEC-Funktionen.
  • MFA-Umgehungen werden sich weiter beschleunigen – Da Tycoon 2FA erfolgreich Session-Cookies aus MFA-geschützten Konten in großem Umfang stehlen konnte, verfügen andere Bedrohungsakteure nun über eine bewährte Vorgehensweise, der sie folgen können. AiTM-Phishing-Techniken werden sich im gesamten PhaaS-Ökosystem weiter verbreiten. Organisationen, die MFA als ausreichende Schutzmaßnahme betrachten, müssen damit rechnen, unvorbereitet getroffen zu werden.
  • Management- und Monitoring-Plattformen sind der neue Angriffsperimeter – Zwei aktiv ausgenutzte, von CISA markierte RCE-Schwachstellen in Management-Werkzeugen für Unternehmen innerhalb eines Monats signalisieren eine anhaltende strategische Verschiebung. Es ist mit weiteren Angriffen auf RMM-Werkzeuge, Überwachungsplattformen und IT-Management-Software zu rechnen, da Angreifer bevorzugt Zugänge suchen, die ihre Reichweite vervielfachen, anstatt sich System für System vorzuarbeiten.
  • Ransomware-Gruppen werden schnelllebige Schwachstellenfenster weiter ausnutzen – Der BeyondTrust-Zeitverlauf, von der Offenlegung bis zur Ausnutzung durch Ransomware nahezu unmittelbar danach, bestätigt, dass Bedrohungsakteure PoC-Exploits schneller operationalisieren, als die meisten Organisationen patchen können. Diese Lücke wird weiterhin konsequent ausgenutzt werden, insbesondere bei selbst gehosteten Unternehmenswerkzeugen mit großer Installationsbasis und langsamer Patch-Adoption.
  • E-Mail-Fuzzing wird anspruchsvoller werden – Je stärker Erkennungssysteme ihre verhaltensbasierten und heuristischen Fähigkeiten ausbauen, desto eher werden Bedrohungsakteure reagieren, indem sie ihre Fuzzing-Logik adaptiver gestalten.
  • Die Lieferkette und Drittanbieterzugänge bleiben ein primärer Einstiegsvektor – Das Muster, bei dem Angreifer vertrauenswürdige Konten kompromittieren, um weiteres Phishing anzustoßen, wie bei Tycoon 2FAs Technik des „ATO Jumping“, wird sich ausweiten. Es ist mit mehr Kampagnen zu rechnen, die legitime Absenderinfrastruktur missbrauchen, um Reputations- und Filterkontrollen zu umgehen.

Monatliche Empfehlungen

  • Stärken Sie Ihre E-Mail-Filterung über Signaturen und Reputation hinaus – Fuzzing-basierte Umgehung macht statischen Musterabgleich und reputationsbasierte Filterung deutlich weniger wirksam. Investieren Sie in fortschrittlichen E-Mail-Schutz mit Verhaltensanalyse und Inhaltsprüfung.
  • Gehen Sie über MFA hinaus und setzen Sie Phishing-resistente Authentifizierung ein – Die Zerschlagung von Tycoon 2FA bestätigte, was viele bereits vermutet hatten: Standard-MFA ist keine verlässliche letzte Verteidigungslinie mehr gegen AiTM-Angriffe. Es sollte mit der Bewertung und Einführung Phishing-resistenter Authentifizierungsmethoden wie FIDO2-Passkeys oder Hardware-Sicherheitsschlüsseln begonnen werden, insbesondere für privilegierte Konten, Führungskräfte und Rollen mit Zugriff auf sensible Cloud-Umgebungen. Conditional-Access-Richtlinien, die das Sitzungsrisiko fortlaufend bewerten, sind ebenfalls eine starke Ergänzung.
  • Prüfen und widerrufen Sie unnötige OAuth- und Session-Token – AiTM-Phishing ist erfolgreich, weil Session-Cookies statt Zugangsdaten gestohlen werden. Das bedeutet, dass selbst kürzlich authentifizierte Sitzungen übernommen werden können. Es sollte eine Überprüfung aktiver OAuth-Freigaben und der Lebensdauer von Session-Token in M365 durchgeführt werden. Wo möglich, sollte Token-Binding umgesetzt und eine kontinuierliche Zugriffsprüfung so konfiguriert werden, dass Sitzungen bei auffälligem Verhalten ungültig werden.
  • Patchen Sie BeyondTrust Remote Support sofort und untersuchen Sie Ihre Umgebung, falls dies noch nicht erfolgt ist – Wenn Ihre Organisation selbst gehostete Instanzen von BeyondTrust Remote Support betreibt und den Patch für CVE-2026-1731 nicht innerhalb weniger Tage nach der Offenlegung am 6. Februar eingespielt hat, sollte die Umgebung als potenziell kompromittiert behandelt und eine forensische Prüfung eingeleitet werden.
  • Patchen Sie VMware Aria Operations und beschränken Sie den Zugriff auf die Management-Schnittstelle – Spielen Sie Broadcoms Patch für CVE-2026-22719 unverzüglich ein. Falls ein sofortiges Patchen nicht möglich ist, sollte der von Broadcom bereitgestellte Shell-Skript-Workaround umgesetzt und der Netzwerkzugriff auf die Management-Schnittstelle von Aria Operations ausschließlich auf vertrauenswürdige Administrator-IP-Bereiche beschränkt werden. Die CISA-Frist für Bundesbehörden am 24. März sollte als äußerste Grenze und nicht als Ziel verstanden werden.

Über Hornetsecurity

Hornetsecurity ist ein weltweit führender Anbieter von Cloud-basierten Sicherheits-, Compliance-, Backup- und Security-Awareness-Lösungen der nächsten Generation, die Unternehmen und Organisationen jeder Größe auf der ganzen Welt unterstützen. Das Flaggschiffprodukt 365 Total Protection ist die umfassendste Cloud-Sicherheitslösung für Microsoft 365 auf dem Markt. Angetrieben von Innovation und Cybersecurity-Exzellenz, baut Hornetsecurity mit seinem preisgekrönten Portfolio eine sicherere digitale Zukunft und nachhaltige Sicherheitskulturen auf. Hornetsecurity ist über sein internationales Vertriebsnetz mit über 12.000 Channel-Partnern und MSPs in mehr als 120 Ländern aktiv. Seine Premium-Dienste werden von mehr als 125.000 Kunden genutzt.  

Dies könnte Sie auch interessieren