Consecur Weekly Update zu den aktuellsten Bedrohungsinfos in KW 38/2025

ConSecur GmbH ConSecur GmbH   |
  • Advanced Persistent Threat (APT), Schwachstellen- und Patch-Management
  • Experte
Consecur Weekly Update

Consecur Weekly Update zu den aktuellsten Bedrohungsinfos in KW 38/2025.

Diese Woche waren laut Consecur Weekly Update vor allem eine SAP S/4HANA-Schwachstelle, durch einen Supply-Chain-Angriff komprimittierte npm-Pakete sowie der Aspekt, dass die APT28 auf neue Outlook-Backdoor „NotDoor“ setzt, relevant.

SAP S/4HANA-Schwachstelle wird aktiv ausgenutzt: Angreifer nutzen derzeit eine kritische Schwachstelle (CVE-2025-42957, CVSS: 9.9) in SAP S/4HANA aus, die es unprivilegierten Accounts ermöglicht, Schadcode einzuschleusen. Die Lücke führt zur vollständigen Kompromittierung des ERP-Systems inklusive Betriebssystem-Zugriff und Datenzugriff auf das gesamte SAP-System. Ein funktionsfähiger Exploit kursiert bereits in freier Wildbahn.

Was jetzt zu tun ist:

  • SAP S/4HANA-Systeme unverzüglich patchen
  • Systeme auf Kompromittierung prüfen (verdächtige RFC-Calls, neue Admin-User, unerwartete ABAP-Code-Änderungen)
  • Incident-Response-Team alarmieren bei Verdacht auf Kompromittierung

Millionen npm-Pakete durch Supply-Chain-Angriff kompromittiert: Ein groß angelegter Angriff auf die Lieferkette der weit verbreiteten Javascript-Laufzeitumgebung node.js schlägt hohe Wellen. Über den Paketmanager npm hat ein Angreifer Schadcode in zahlreiche Pakete eingeschleust, die wöchentlich mehr als 2 Milliarden Downloads verzeichnen.

Der Schadcode manipuliert Browser-Routinen, um Webbrowser-Daten der Opfer zu erbeuten. Finales Ziel scheint der Diebstahl von Kryptowährungen wie Bitcoin, Ethereum oder Solana zu sein. Die Schadsoftware fängt Zeichenketten, die wie Wallet-Adressen aussehen, ab und ersetzt sie mit Adressen, die vom Angreifer kontrolliert werden. Ein Spear-Phishing-Angriff auf den Entwickler führte zur Kompromittierung seines npm-Accounts. So konnte der Angreifer entsprechende Pakete mit maliziösem Code tauschen. Um die Downloads zu beschleunigen, veröffentlichte er sie unter neuen Versionen. Die betroffenen Pakete wurden in der Zwischenzeit bereinigt.

Was jetzt zu tun ist:

  • Verwendete npm-Pakete gegen Liste kompromittierter Versionen abgleichen
  • Betroffene Pakete auf aktuelle, bereinigte Versionen aktualisieren
  • Browser-Aktivitäten und Kryptowährungs-Transaktionen auf verdächtige Wallet-Weiterleitungen prüfen

APT28 setzt auf neue Outlook-Backdoor „NotDoor“: Die russische Hackergruppe APT28 (Fancy Bear) hat eine neue Backdoor namens „NotDoor” entwickelt, die Microsoft Outlook als verdeckten Kommunikationskanal missbraucht. Die Malware nutzt VBA-Makros, um eingehende E-Mails auf Befehle zu überwachen und ermöglicht Spionage,  Datenabfluss und Remote-Befehle über reguläre E-Mail-Kommunikation. Angriffe richten sich gezielt gegen Unternehmen in NATO-Mitgliedsstaaten und nutzen einen raffinierten „Living-off-the-Land”-Ansatz.

Was jetzt zu tun ist:

  • Outlook-VBA-Makros in der Organisation inventarisieren und auf verdächtige Aktivitäten prüfen
  • E-Mail-Traffic auf ungewöhnliche Muster überwachen (insbesondere Nachrichten mit „Daily Report” oder ähnlichen Auslösern)
  • Endpoint-Detection-Systeme auf DLL-Side-Loading-Aktivitäten mit onedrive.exe
Zurück zu allen News

Weitere Inhalte zum Thema

Logo Newsletter IT-Sicherheit

Nichts mehr verpassen!

Mit Klick auf „Newsletter anmelden“ erhalten Sie unseren Newsletter. Die Anmeldung wird erst aktiv, nachdem Sie den Bestätigungslink in der E-Mail angeklickt haben. Datenschutzerklärung
Skip to content