Auf den Punkt: Zwei unabhängige Attackgruppen exploitierten denselben ungepatchten SharePoint-Server simultanwegigkeit im selben Opfer-Netzwerk, wodurch Spur dieser Angreifer sich gegenseitig überlagerten und die Ermittlung erschwerten.
Das Microsoft Detection and Response Team (DART) deckte auf, dass zwei unabhängige Angreifer zeitgleich in einem Netzwerk aktiv waren — jeder verbarg die Spuren des anderen. Der Grund: Beide exploitierten Schwachstellen in denselben ungepatchten SharePoint-Servern.
Eine Routineuntersuchung zu Ransomware-Aktivitäten führte DART zur Entdeckung zweier voneinander unabhängiger Angreifer in derselben Opferumgebung. Zunächst vermuteten die Ermittler, eine einzelne Intrusion zu verfolgen — erst später identifizierten sie eine zweite Angriffskette mit unterschiedlichen Tools, Infrastrukturen und Zielen.
Die erste Angriffskette war Storm-2603 zuzuordnen, einer Bedrohungsgruppe, die Ransomware einsetzt. Diese Gruppe exploitierte Schwachstellen in lokalen SharePoint-Servern, um Persistence zu etablieren. Sie nutzte dabei Cloudflare Tunnel, Zoho Assist, Visual Studio Code Remote SSH und Velociraptor, erstellte unauthorized Administrator-Accounts und setzte einen angreifbaren Treiber ein, um Sicherheitskontrollen zu deaktivieren, bevor Ransomware bereitgestellt wurde. Die zweite Angriffskette zeigte andere Merkmale: DLL-Sideloading-Techniken, Custom Backdoors, VPN-Zugang über Virtual-Private-Server-Infrastruktur und Versuche, auf Active-Directory-Credential-Datenbanken zuzugreifen.
Für CISOs ist diese Konstellation kritisch: Jede der beiden Angreifergruppen verdeckte die Spuren der anderen und erschwerte damit die Rekonstruktion der tatsächlichen Angriffsbreite. Erst die Korrelation von Identity-, Endpoint- und Cloud-Telemetrie machte das vollständige Ausmaß der Kompromittierung sichtbar. Ein Sicherheitsforscher wies darauf hin, dass solche Überlappungen häufiger vorkommen, als Anbieter zugeben — und dass Incident-Responder oft zu lange versuchen, aus separaten Intrusions-Artefakten eine kohärente Angriffskette zu konstruieren.
Besonders tückisch wird die Situation bei der Containment-Phase: Das Ausleiten einer Angreifergruppe und das Rotieren von Credentials kann die zweite, noch nicht vollständig identifizierte Gruppe aufschrecken und diese aktiv werden lassen. DART setzte hier auf Threat Intelligence, um die Artifact-Cluster zu trennen, bevor operative Schritte unternommen wurden. Die Untersuchung zeigte zudem, dass die Ransomware-Aktivität von Storm-2603 über die erste Opferorganisation hinausging — DART identifizierte eine zweite kompromittierte Organisation.
Quelle: www.csoonline.com · Erschienen 23. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.