In den letzten Wochen haben Google und Mandiant Security Intelligence Teams eine Welle gezielter Angriffe entdeckt, die Social Engineering durch Stimme kombinieren - der Anruf Vernichtung- mit suplantierenden Seiten, die legitime Unternehmen imitieren, Anmelde- und Authentifizierungscodes zu stehlen. Ziel der Angreifer ist es, auf SaaS-ähnliche Cloud-Anwendungen zuzugreifen, sensible Informationen zu extrahieren und dann die betroffenen Organisationen zu erpressen.
Laut der öffentlichen Analyse wird die Aktivität in mehrere Cluster zusammengefasst, die Forscher getrennt überwachen, was darauf hindeutet, dass sie verschiedene Teams sein können, die Taktiken teilen oder dass das gleiche kriminelle Netzwerk ihre Methoden diversifizieren. Einige Kampagnen wurden Anfang Januar 2026 beobachtet und alle beginnen mit der gleichen Idee: Mitarbeiter zu täuschen, indem sie als Support-Mitarbeiter oder IT posieren, um sie zu erhalten, um Anmeldeinformationen und MFA-Codes auf betrügerischen Seiten, die die Marke des Opfers reproduzieren.
Der typische Angriff beginnt mit einem legitimen Ruf in Erscheinung, in dem der Gesprächspartner vorgibt, technisch zu sein und fordert den Mitarbeiter auf einen Link zu "aktualisieren" seine Authentifizierung. In vielen Fällen stehlen Angreifer nicht nur Benutzer und Passwort: Sie erfassen ihr eigenes Gerät für den zusätzlichen Faktor und verhindern damit, dass MFA-Maßnahmen ihren Zugriff blockieren. Mit diesem ersten Eintrag bewegen sich die Eindringlinge seitlich durch Unternehmensumgebungen, laden Service-Daten wie SharePoint oder OneDrive herunter und verwenden manchmal per E-Mail-Konten, um neue Phishing-E-Mails an relevante Kontakte zu senden und dann die Tests zu löschen.
Es gibt auch Beweise, dass bestimmte Akteure den Zugang zu Identitätsplattformen wie Okta genutzt haben und über PowerShell-Skripte Informationen heruntergeladen haben. Das Muster beinhaltet auch eine Eskalation in Erpressungstechniken: nach der Entfernung von Informationen kommen die Anforderungen und, in einigen gemeldeten Zwischenfällen, Belästigung gegen Mitarbeiter der betroffenen Organisation gerichtet, um die Zahlung zu drücken.
Forscher haben operative Unterschiede zwischen Gruppen beobachtet: einige verwenden einen Domain-Recorder, während andere einen anderen Domain-Recorder verwenden, um die Suplanting-Seiten zu erstellen, und Phishing-Kampagnen führen nicht immer zu demselben Erpressungsformat. Dieses Detail deutet darauf hin, dass es hinter dem Label "ShinyHunters" mehrere Teams mit unterschiedlichen Koordinationsgraden geben könnte, was die Zuschreibung und Antwort erschwert.
Der Grund, warum diese Kampagnen besonders gefährlich sind, ist, dass sie auf die Identitätskonten und Eingangstüren von Cloud-Anwendungen hinweisen, wo die wertvollsten Informationen und interne Kommunikationen oft gespeichert werden. Der dauerhafte Zugriff auf SaaS-Dienste ermöglicht es einem Angreifer, Daten still zu sammeln und einen Druck zu bauen, um nach Rettung zu fragen.
In Anbetracht dieses Szenarios empfehlen Sicherheitsteams, die Prozesse der Benutzerunterstützung zu verhärten und die Überwachung von Ereignissen im Zusammenhang mit Identitätsmanagement besondere Aufmerksamkeit zu schenken. Google Cloud veröffentlichte einen Leitfaden mit konkreten Maßnahmen, die eine stärkere Identitätskontrolle in Telefon- oder Helpdesk-Interaktionen beinhalten, zuverlässige Ausgabepunkte begrenzen und gerätebasierte Zugriffskontrollen unter anderem anwenden. Sie können es auf dem offiziellen Google Cloud-Blog konsultieren: Erweiterung der Aktivität im Zusammenhang mit ShinyHunters und im Minderungsartikel: Empfehlungen zur Verteidigung von SaaS-Plattformen.
Dies sind keine technischen Fehler bei Lieferanten, sondern die Wirksamkeit der Sozialtechnik. Deshalb bestehen Behörden und Experten auf der Migration zu Authentifizierungsmethoden, die dem Phishing widerstehen: FIDO2 Sicherheitsschlüssel und Passwörter reduzieren die Möglichkeit für einen Angreifer, Zugriff zu gewinnen, auch wenn er einen Benutzer täuschen kann. Um diese Standards zu vertiefen, können Sie die Website der FI. Allianz und der NIST technische Leitfaden zur Authentifizierung: NIST SP 800-63B.
Neben der Annahme von phishing-resistenten Authentifikatoren müssen Organisationen die Registrierung und Telemetrie stärken: Audits aktivieren, die ungewöhnliche MFA-Geräteinschriften, Änderungen im Lebenszyklus von Authentifikatoren und OAuth-Autorisierungen zum Umgang mit Postfächern erkennen. Die Sichtbarkeit von Identitätsaktionen und Exporten von SaaS ist der Schlüssel zur Erkennung einer frühen Exfiltration. Öffentliche Sicherheitsbehörden bieten auch praktische Antiphishing-Richtlinien, die für Unternehmen und Nutzer relevant bleiben: zum Beispiel der Leitfaden für CISA auf Phishing.
Auf Tagesbasis gibt es einfache, aber effektive Maßnahmen: Misstrauen von unaufgeforderten Anträgen auf Anmeldeinformationen oder Codes, überprüfen Sie die Identität des Gesprächspartners durch andere Kanäle als den ersten Anruf und vermeiden Sie die Verwendung von SMS und Anrufen als den einzigen Erholungsfaktor. Es wird auch empfohlen, Privilegien, Audit exponierte Geheimnisse und blockieren administrative Anstrengungen von unzuverlässigen Standorten zu begrenzen.
Diese Ereignisse zeigen eine unangenehme Realität: Kriminelle entwickeln ihre Methoden in die Cloud und Erpressung und kombinieren technische und psychologische Techniken, um traditionelle Sicherheitsbarrieren zu überwinden. Die Antwort muss auch Hybrid-, Mischtechnik, strengere interne Prozesse und Weiterbildung des Personals sein, um Betrugsversuche zu erkennen und zu melden.
Kurz gesagt, die im Januar 2026 beobachtete Bedrohung ist eine Mischung aus anspruchsvollen vishing, betrügerischen Domains, die Marken und Missbräuche von MFA nachahmen, um in SaaS-Umgebungen zu bestehen, die alle darauf abzielen, Informationen zu extrahieren, die dann zur Erpressung verwendet werden. Es gibt keine einzige Lösung, aber beste Praktiken von Lieferanten und Behörden, zusammen mit der Annahme phishing-resistenter Authentifizierungsmechanismen, deutlich reduzieren das Risiko und Gelegenheitsfenster dieser Angreifer.
Sicherheitswarnung Droge kritische Schwachstelle der SQL-Injektion in PostgreSQL erfordert sofortige Aktualisierung
Drucal hat Sicherheitsupdates für eine Sicherheitsanfälligkeit veröffentlicht, die als "hochkritisch" die Auswirkungen Drumal Core und ermöglicht es einem Angreifer, willkürlich...
18-jährige ukrainische Jugend führt ein Netzwerk von Infostealern, die 28,000 Konten verletzt und $250.000 Verluste hinterlassen
Die ukrainischen Behörden, in Abstimmung mit US-Agenten. Sie haben sich auf eine Operation konzentriert Infostealer die laut der ukrainischen Cyber Police von Odessa angeblich v...
RAMPART und Clarity neu definieren die Sicherheit von IA-Agenten mit reproduzierbaren Tests und Governance von Anfang an
Microsoft hat zwei Open Source-Tools, RAMPART und Clarity vorgestellt, die darauf abzielen, die Sicherheit der IA-Agenten zu ändern: eine, die technische Tests automatisiert und...
Die digitale Signatur ist im Check: Microsoft befehligt einen Dienst, der Malware in scheinbar legitime Software verwandelt
Microsoft kündigte die Desartikulation einer "Malware-signing-as-a-Service" Operation, die sein Gerät Signatur-System ausgenutzt, um schädlichen Code in scheinbar legitime binär...
Ein einziger GitHub-Workflow-Token öffnete die Tür zur Software-Lieferkette
Ein einziger GitHub-Workflow-Token scheiterte in der Rotation und öffnete die Tür. Dies ist die zentrale Schlussfolgerung des Vorfalls in Grafana Labs nach der jüngsten Welle vo...
WebWorm 2025: die Malware, die in Discord und Microsoft Graphh versteckt ist, um die Erkennung zu umgehen
Die neuesten Beobachtungen von Cyber-Sicherheitsforschern weisen auf eine Veränderung der besorgniserregenden Taktik eines Schauspielers hin, der mit China verbunden ist. WebWor...
Identität ist nicht mehr genug: kontinuierliche Überprüfung des Gerätes für Echtzeitsicherheit
Identität bleibt das Rückgrat vieler Sicherheitsarchitekturen, aber heute knackt diese Spalte unter neuen Drücken: fortgeschrittene Phishing, Echtzeit-Proxy-Authentifizierungski...