Auf einen Blick
Eine hochentwickelte Cyber-Spionagekampagne, durchgeführt von der chinesischen APT-Gruppe, die als UNC5221, auch bekannt als VerdantBamboo, identifiziert wurde, hat Microsoft 365-Umgebungen und Managed Service Provider (MSP) kompromittiert und den Zugang zu den Opfernnetzwerken über Zeiträume von mehr als 18 Monaten aufrechterhalten. Die Untersuchung enthüllte den Einsatz neuer Malware-Varianten wie Brickstorm, der ursprünglich im März 2025 entdeckt wurde, und neuartiger Backdoors wie Plenet und AgentPSD. Dieser Bedrohungsakteur war seit 2023 in Angriffe verwickelt, die Zero-Day-Schwachstellen in Edge-Geräten ausnutzen, und zeigte eine bemerkenswerte Fähigkeit zur Persistenz und Verschleierung, indem er dieselbe Organisation sogar nach den ersten Bereinigungsmaßnahmen zweimal verletzte. — Quelle: BleepingComputer
Die Gruppe UNC5221 zeigte eine bemerkenswerte operative Fähigkeit, indem sie mindestens 18 Monate vor der Entdeckung auf das Netzwerk des Opfers zugriff und auch den MSP der Zielorganisation kompromittierte. Die Malware Brickstorm, beschrieben als eine “fortgeschrittene Malware-Implementierung” und ursprünglich in Golang und dann in Rust entwickelt, wurde über ein Jahr lang unentdeckt gegen verschiedene Ziele in den Vereinigten Staaten eingesetzt. Google hat die Aktivitäten von UNC5221 mit Brickstorm bereits im April 2024 und September 2025 dokumentiert und Angriffe auf Anwaltskanzleien, SaaS-Anbieter, Business Process Outsourcer und Technologieunternehmen gemeldet. Die CISA hatte vor dem Einsatz von Brickstorm gegen VMware vSphere-Server gewarnt. Anschließend wurden Plenet, eine plattformübergreifende .NET-basierte Backdoor für interaktiven Shell-Zugriff und Dateimanipulation, und AgentPSD, eine Python-basierte Reverse Shell, die als Fallback-Persistenzmechanismus verwendet wird, eingesetzt. Die Angreifer nutzten die Proxy-Funktionen von Brickstorm und gestohlene Anmeldeinformationen, um über SSL-VPN auf Microsoft 365 zuzugreifen, selbst nach einer ersten Bereinigung, und installierten weitere Malware auf Synology NAS-Geräten und pfSense-Firewalls. Die Raffinesse umfasst Techniken, um sich mit dem legitimen Netzwerkverkehr zu vermischen und Conditional Access-Richtlinien zu umgehen. — Quelle: BleepingComputer
Diese Ereigniskette wirft ernste Bedenken für Organisationen auf, die personenbezogene Daten verarbeiten, sowie für deren Einhaltung gesetzlicher Vorschriften. Die Persistenz von über 18 Monaten und die doppelte Verletzung deuten auf eine kritische Schwachstelle in den Systemen zur Erkennung und Reaktion auf Vorfälle hin, ein Schlüsselelement für die Einhaltung der DSGVO, die die Meldung einer Datenpanne innerhalb von 72 Stunden nach der Entdeckung vorschreibt. Die Kompromittierung von Umgebungen wie Microsoft 365, in denen oft sensible personenbezogene Daten gespeichert werden, stellt ein hohes Risiko für die Verletzung der Vertraulichkeit und Integrität von Daten dar. Darüber hinaus unterstreicht die Beteiligung von MSPs und die Fähigkeit der Angreifer, von diesen Anbietern aus zu pivotieren, die Kritikalität der Supply Chain Security, einer wesentlichen Säule der NIS2-Richtlinie. Unternehmen müssen sicherstellen, dass ihre Dienstleister angemessene Sicherheitsmaßnahmen ergreifen. Aus Sicht der ISO 27001 zeigt der Vorfall Mängel bei Zugriffssteuerungen, Überwachung, Schwachstellenmanagement und Reaktion auf Vorfälle auf und unterstreicht die Notwendigkeit einer kontinuierlichen Verbesserung des Informationssicherheits-Managementsystems. — Quelle: BleepingComputer
Angesichts dieser Entwicklungen ist es unerlässlich, dass Organisationen einen proaktiven Ansatz zur Sicherheit verfolgen. Es wird dringend empfohlen, Erkennungs- und Reaktionssysteme wie SIEM und EDR regelmäßig zu implementieren und durch Angriffssimulationen (Breach and Attack Simulation) zu testen. Es ist von grundlegender Bedeutung, die Sicherheit der Lieferkette zu stärken, indem die Sicherheitsmaßnahmen der MSPs sorgfältig bewertet werden und