Auf den Punkt: Die parallele Aktivität zweier unabhängiger Ransomware-Gruppen auf denselben SharePoint-Servern zeigt, dass Angreifer zunehmend überschneidende Kampagnen durchführen, die zentrale Sichtbarkeit über alle Schichten hinweg erfordern.
Microsofts Incident Response Team (DART) hat dokumentiert, dass zwei unabhängige Angreifer parallel lokale SharePoint-Server desselben Unternehmens kompromittierten. Die Attacken stellen eine neue Qualität dar: Überschneidende Kampagnen erschweren die Detektion erheblich.
Bei der Untersuchung einer mehrstufigen Infiltration stellte Microsofts DART fest, dass zwei voneinander unabhängige Bedrohungsakteure gleichzeitig in derselben Systemumgebung aktiv waren. Die erste Gruppe, von Microsoft als Storm-2603 identifiziert, zielt seit Mitte 2025 gezielt auf lokale SharePoint-Server ab und exploitiert dabei bekannte, dokumentierte Sicherheitslücken, für die bereits Patches verfügbar sind. Bei der Analyse einer zweiten betroffenen Organisation konnte die gleiche Gruppe nachgewiesen werden.
Der zweite, nicht damit verbundene Angreifer nutzte eine andere Methodik: Die Sicherheitsanalysten wiesen Spuren von DLL-Sideloading nach. Diese Technik missbraucht legitime, vertrauenswürdige Softwarekomponenten, um schadhafte Code-Ausführung oder Hintertüren einzuschleusen, ohne Standard-Alarmsysteme auszulösen. Die parallele Aktivität beider Akteure erschwerte die Erkennung erheblich. Microsoft erklärt dazu: „Zwei verschiedene Bedrohungsaktivitätsströme operierten parallel und nicht nacheinander, was ihre Detektion in Isolation erschwerte.” Erst die Zusammenführung von Identitäts-, Endpunkt- und Cloud-Telemetriedaten ermöglichte das vollständige Lagebild.
Die Erkenntnisse zeigen eine Verschiebung der Bedrohungslandschaft für SharePoint-Betreiber. Moderne Angriffe sind nicht länger isolierte Ereignisse, sondern können überschneidende Kampagnen sein, die koordinierte Sichtbarkeit und Reaktion fordern. Der Untersuchungsbericht enthält keine Angaben zu konkreten Datenverlusten oder Schadensummen.
Microsoft empfiehlt als unmittelbare Maßnahmen die sofortige Installation von Sicherheitsupdates für alle Systeme mit Internetanbindung. Zusätzlich wird gefordert, privilegierte Benutzerkonten intensiver zu überwachen, flächendeckende Endpunktschutz-Lösungen vor Vorfällen zu implementieren und die Überwachung über Cloud- und lokale Infrastrukturen hinweg zu koordinieren.
Quelle: www.it-daily.net · Erschienen 26. Juni 2026
Lumi AI News — KI-assistierte Kuratierung gemaess Art. 50 EU AI Act. Paraphrase und Klassifikation durch Lumi News Pipeline v1.7.1.