Zum Inhalt springen

Mehrere Angreifer nutzten ungepatchte SharePoint-Server gleichzeitig

Auf den Punkt: Zwei unabhängige Attackgruppen exploitierten denselben ungepatchten SharePoint-Server simultanwegigkeit im selben Opfer-Netzwerk, wodurch Spur dieser Angreifer sich gegenseitig überlagerten und die Ermittlung erschwerten.

Das Microsoft Detection and Response Team (DART) deckte auf, dass zwei unabhängige Angreifer zeitgleich in einem Netzwerk aktiv waren — jeder verbarg die Spuren des anderen. Der Grund: Beide exploitierten Schwachstellen in denselben ungepatchten SharePoint-Servern.

Eine Routineuntersuchung zu Ransomware-Aktivitäten führte DART zur Entdeckung zweier voneinander unabhängiger Angreifer in derselben Opferumgebung. Zunächst vermuteten die Ermittler, eine einzelne Intrusion zu verfolgen — erst später identifizierten sie eine zweite Angriffskette mit unterschiedlichen Tools, Infrastrukturen und Zielen.

Die erste Angriffskette war Storm-2603 zuzuordnen, einer Bedrohungsgruppe, die Ransomware einsetzt. Diese Gruppe exploitierte Schwachstellen in lokalen SharePoint-Servern, um Persistence zu etablieren. Sie nutzte dabei Cloudflare Tunnel, Zoho Assist, Visual Studio Code Remote SSH und Velociraptor, erstellte unauthorized Administrator-Accounts und setzte einen angreifbaren Treiber ein, um Sicherheitskontrollen zu deaktivieren, bevor Ransomware bereitgestellt wurde. Die zweite Angriffskette zeigte andere Merkmale: DLL-Sideloading-Techniken, Custom Backdoors, VPN-Zugang über Virtual-Private-Server-Infrastruktur und Versuche, auf Active-Directory-Credential-Datenbanken zuzugreifen.

Für CISOs ist diese Konstellation kritisch: Jede der beiden Angreifer­gruppen verdeckte die Spuren der anderen und erschwerte damit die Rekonstruktion der tatsächlichen Angriffsbreite. Erst die Korrelation von Identity-, Endpoint- und Cloud-Telemetrie machte das vollständige Ausmaß der Kompromittierung sichtbar. Ein Sicherheitsforscher wies darauf hin, dass solche Überlappungen häufiger vorkommen, als Anbieter zugeben — und dass Incident-Responder oft zu lange versuchen, aus separaten Intrusions-Artefakten eine kohärente Angriffskette zu konstruieren.

Besonders tückisch wird die Situation bei der Containment-Phase: Das Aus­leiten einer Angreifer­gruppe und das Rotieren von Credentials kann die zweite, noch nicht vollständig identifizierte Gruppe aufschrecken und diese aktiv werden lassen. DART setzte hier auf Threat Intelligence, um die Artifact-Cluster zu trennen, bevor operative Schritte unternommen wurden. Die Untersuchung zeigte zudem, dass die Ransomware-Aktivität von Storm-2603 über die erste Opferorganisation hinausging — DART identifizierte eine zweite kompromittierte Organisation.


Quelle: www.csoonline.com · Erschienen 23. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.

Share on: