ConSecur GmbH
Consecur Weekly Update zu den aktuellsten Bedrohungsinfos in KW 37/2025.
Diese Woche waren laut Consecur Weekly Update vor allem der von der Hackergruppe UNC6395 begangene Angriff gegen Salesloft-Drift relevant, Cloudflare wiederum wehrte einen 11,5-Tbps-DDoS-Rekordangriff ab und eine kritische WhatsApp-Lücke ermöglichte Zero-Click-Exploits – und Grok wird für Malware-Verbreitung missbraucht.
Cyberattacke auf Salesloft-Drift betrifft Branchenriesen: Die Hackergruppe UNC6395 hat eine umfassende Cyberattacke gegen Systeme durchgeführt, die mit der KI-Plattform Salesloft-Drift verbunden sind. Bei dem Angriff gelang es den Cyberkriminellen, Authentifizierungstoken zu stehlen und sich dadurch unbefugten Zugang zu Kundendaten der betroffenen Systeme zu verschaffen. Die Anzahl der Meldungen komprimierter Unternehmen steigt stetig, darunter auch Branchengrößen wie Cloudflare, Palo Alto oder Zscaler.
Was jetzt zu tun ist:
- Prüfung betreffender Systeme auf verdächtiges Verhalten
- Erneuerung von Authentication-Tokens
Cloudflare wehrt Rekord-DDoS-Angriff ab: Cloudflare konnte nach eigenen Angaben den bisher volumenstärksten Distributed-Denial-of-Service-(DDoS)-Angriff mit 11,5 Terabits pro Sekunde (Tbps) mithilfe seines Mitigation-Service abwehren. Die UDP-Flood-Attacke dauerte etwa 35 Sekunden und ging vor allem von kompromittierten Internet-of-Things-(IoT)-Geräten sowie von Cloud-Providern aus. Der Vorfall unterstreicht erneut, wie verwundbar derartige Geräte sind und wie verhältnismäßig einfach Angreifer sie unter ihre Kontrolle bringen können. Hinzu kommt die schiere Menge an IoT-Geräten, die mittlerweile aus dem Internet erreichbar sind und derartige Volumen-Angriffe ermöglichen.
Zero-Click-Angriff via WhatsApp: Eine als CVE-2025-55177 (CVSS: 8.0) klassifizierte und inzwischen behobene Sicherheitslücke ermöglichte Angreifern die Einschleusung beliebigen Codes über den WhatsApp-Messenger in iPhones, iPads und Macs – ohne jede Nutzerinteraktion (Zero-Click). Meta hat bereits Warnmeldungen an Accounts verschickt, die vermutlich Ziel derartiger Angriffe waren.
Was jetzt zu tun ist:
- Installation der aktuellsten WhatsApp-Version
- Update auf die neuesten iOS-, iPadOS- und macOS-Versionen
- Bei Verdacht auf Kompromittierung: Zurücksetzen des Geräts auf Werkseinstellungen
Bösartige Links auf Twitter durch Grokking: Cyberkriminelle nutzen Grok, den KI-Assistenten von X (ehemals Twitter), zur Verbreitung schädlicher Links. Die Angreifer platzieren URLs, die normalerweise von X blockiert würden, im “From:”-Feld von Bildern und Videos, wo diese offenbar nicht überprüft werden. Anschließend fragen sie Grok nach der Herkunft des Bildes – woraufhin die KI den manipulierten Link als Antwort ausgibt. Da Grok als vertrauenswürdiger Account eingestuft wird, erhöht dies die Glaubwürdigkeit und Reichweite der schädlichen Links erheblich und steigert die Wahrscheinlichkeit einer breiten Verteilung an Nutzer.
Was jetzt zu tun ist: Erhöhte Vorsicht bei Links auf X