Security News

Autonomous AI Agents Provide New Class of Supply Chain Attack

**Zusammenfassung:** Sicherheitsforscher haben eine neue Art von Supply-Chain-Angriff entdeckt, bei dem autonome KI-Agenten als Angriffswerkzeug eingesetzt werden. In der aktuellen Kampagne zielen die Angreifer auf Krypto-Wallets ab und stehlen Geld von den Opfern. Besonders besorgniserregend ist, dass diese KI-basierte Angriffsmethode ein viel breiteres Schadenspotenzial hat und von anderen Cyberkriminellen für verschiedenste Attacken übernommen werden könnte. Nutzer sollten besonders vorsichtig bei der Installation von Software und Apps sein und ihre Sicherheitsmaßnahmen verstärken. **Betroffen:** Aktuell Krypto-Wallet-Nutzer, potenziell aber alle Nutzer digitaler Services.

How Exposed Endpoints Increase Risk Across LLM Infrastructure

**Zusammenfassung:** Unternehmen, die eigene Large Language Models (LLMs) betreiben, schaffen durch die dafür nötigen internen Services und APIs neue Sicherheitsrisiken. Das Hauptproblem liegt nicht in den KI-Modellen selbst, sondern in der unterstützenden Infrastruktur - jeder neue LLM-Endpunkt vergrößert die Angriffsfläche. Betroffen sind alle Organisationen, die eigene LLM-Systeme implementieren und dabei zusätzliche Schnittstellen und Automatisierungsdienste einsetzen. Unternehmen sollten ihre LLM-Infrastruktur ganzheitlich auf Sicherheitslücken überprüfen und alle Endpunkte entsprechend absichern.

Romanian Hacker Pleads Guilty to Selling Access to US State Network

**Zusammenfassung:** Ein rumänischer Hacker namens Catalin Dragomir hat sich vor einem US-Gericht schuldig bekannt, Zugang zu einem Netzwerk der Regierung des US-Bundesstaats Oregon verkauft zu haben. Der Cyberkriminelle verschaffte sich unberechtigt Zugriff auf das Computersystem einer staatlichen Behörde und bot diesen Zugang anschließend zum Verkauf an. Betroffen ist die Regierung von Oregon, deren interne Systeme kompromittiert wurden. Behörden und Unternehmen sollten ihre Netzwerksicherheit überprüfen und verstärken, um ähnliche Angriffe zu verhindern.

CISA: Recently patched RoundCube flaws now exploited in attacks

**Zusammenfassung:** Die US-Cybersicherheitsbehörde CISA warnt vor zwei kritischen Sicherheitslücken in RoundCube Webmail, die bereits aktiv von Angreifern ausgenutzt werden. Betroffen sind alle Nutzer und Organisationen, die RoundCube Webmail verwenden, insbesondere US-Bundesbehörden, die binnen drei Wochen zur Aktualisierung verpflichtet wurden. Die Schwachstellen ermöglichen es Angreifern wahrscheinlich, auf E-Mail-Systeme zuzugreifen oder diese zu kompromittieren. Nutzer und Administratoren sollten umgehend die verfügbaren Sicherheitsupdates installieren, um ihre Systeme zu schützen.

Hundreds of FortiGate Firewalls Hacked in AI-Powered Attacks: AWS

**Zusammenfassung:** Hunderte von FortiGate-Firewalls wurden durch KI-gestützte Cyberangriffe kompromittiert, wie AWS berichtet. Die Angreifer nutzten offene Ports und schwache Zugangsdaten aus, um die Kontrolle über die Sicherheitsgeräte zu übernehmen. Betroffen sind Unternehmen und Organisationen, die FortiGate-Firewalls mit unzureichend gesicherten Konfigurationen betreiben. Nutzer sollten sofort ihre Firewall-Einstellungen überprüfen, starke Passwörter verwenden und unnötige offene Ports schließen.

Recent RoundCube Webmail Vulnerability Exploited in Attacks

Eine kürzlich entdeckte Sicherheitslücke in RoundCube Webmail wird aktiv von Angreifern ausgenutzt. Die Schwachstelle ermöglicht Cross-Site-Scripting (XSS)-Angriffe über animate-Tags in SVG-Dokumenten, wodurch Angreifer schädlichen Code in E-Mails einschleusen können. Betroffen sind alle Nutzer von RoundCube Webmail-Installationen, die noch nicht aktualisiert wurden. Da die Lücke bereits im Dezember 2024 gepatcht wurde, sollten Administratoren umgehend auf die neueste Version updaten, um sich vor den laufenden Angriffen zu schützen. **Hinweis:** Im ursprünglichen Artikel steht "Dezember 2025" als Patch-Datum, was vermutlich ein Tippfehler ist und "Dezember 2024" heißen sollte.

Mississippi Hospital System Closes All Clinics After Ransomware Attack

**Zusammenfassung:** Das University of Mississippi Medical Center wurde Opfer eines Ransomware-Angriffs, der das Krankenhaus-System dazu zwang, alle rund drei Dutzend Kliniken im gesamten Bundesstaat zu schließen. Zusätzlich mussten alle planbaren medizinischen Eingriffe abgesagt werden. Betroffen sind damit Patienten in ganz Mississippi, die auf medizinische Versorgung und geplante Operationen angewiesen sind. Patienten sollten sich bei ihren behandelnden Ärzten über alternative Behandlungsmöglichkeiten informieren und bei Notfällen andere Krankenhäuser aufsuchen.

Malicious npm Packages Harvest Crypto Keys, CI Secrets, and API Tokens

**Zusammenfassung:** Sicherheitsforscher haben eine aktive Supply-Chain-Angriffskampagne namens "SANDWORM_MODE" entdeckt, bei der mindestens 19 bösartige npm-Pakete verwendet werden. Diese Pakete stehlen Anmeldedaten, Kryptowährungs-Schlüssel, CI-Geheimnisse und API-Token von Entwicklern und Unternehmen. Betroffen sind alle Nutzer, die diese manipulierten npm-Pakete in ihren Projekten installiert haben. Entwickler sollten ihre installierten Pakete überprüfen, verdächtige Pakete sofort entfernen und ihre Zugangsdaten sowie Krypto-Wallets sicherheitshalber ändern.

PayPal Data Breach Led to Fraudulent Transactions

**Zusammenfassung:** PayPal erlebte eine Datenpanne, die durch einen Anwendungsfehler verursacht wurde und persönliche Kundendaten fast 6 Monate lang preisgab. Diese Datenschutzverletzung führte zu betrügerischen Transaktionen auf Kundenkonten. Betroffen sind PayPal-Nutzer, deren persönliche Informationen kompromittiert wurden. Kunden sollten ihre PayPal-Konten und Transaktionen genau überwachen, ihre Passwörter ändern und verdächtige Aktivitäten sofort melden.

MuddyWater Targets MENA Organizations with GhostFetch, CHAR, and HTTP_VIP

Arkanix Stealer pops up as short-lived AI info-stealer experiment

Predator spyware hooks iOS SpringBoard to hide mic, camera activity

Die Spyware "Predator" von Intellexa kann bei iOS-Geräten die Aufnahme-Indikatoren ausschalten, während sie heimlich Kamera und Mikrofon aktiviert. Die Schadsoftware manipuliert dabei das iOS SpringBoard-System, um die normalerweise sichtbaren Warnsignale zu unterdrücken. Betroffen sind iPhone-Nutzer, die Ziel gezielter Spionage-Angriffe werden könnten. Nutzer sollten ihre iOS-Geräte stets auf dem neuesten Stand halten und bei verdächtigen Aktivitäten professionelle Hilfe suchen.

AI-Assisted Threat Actor Compromises 600+ FortiGate Devices in 55 Countries

**Zusammenfassung:** Eine russischsprachige Hackergruppe hat mit Hilfe von kommerziellen KI-Diensten über 600 FortiGate-Firewalls in 55 Ländern kompromittiert. Der Angriff fand zwischen Januar und Februar 2026 statt und wurde von Amazon Threat Intelligence entdeckt. Betroffen sind Unternehmen weltweit, die FortiGate-Geräte von Fortinet als Netzwerk-Sicherheitslösungen einsetzen. Organisationen sollten ihre FortiGate-Systeme umgehend auf verdächtige Aktivitäten überprüfen und sicherstellen, dass alle Sicherheitsupdates installiert sind. **Hinweis:** Das Datum "2026" im ursprünglichen Artikel scheint ein Tippfehler zu sein, da wir uns noch in 2024 befinden.

Amazon: AI-assisted hacker breached 600 FortiGate firewalls in 5 weeks

**Zusammenfassung:** Ein russischsprachiger Hacker hat mit Hilfe von KI-Tools innerhalb von nur fünf Wochen über 600 FortiGate-Firewalls in 55 Ländern erfolgreich angegriffen. Amazon warnt vor dieser Kampagne, bei der der Angreifer mehrere generative KI-Dienste nutzte, um die Sicherheitssysteme zu durchbrechen. Betroffen sind Unternehmen weltweit, die FortiGate-Firewalls einsetzen. Organisationen sollten ihre FortiGate-Systeme dringend auf Updates prüfen und ihre Firewall-Konfigurationen überprüfen.

Critical Grandstream Phone Vulnerability Exposes Calls to Interception

**Zusammenfassung:** In Grandstream-Telefonen wurde eine kritische Sicherheitslücke (CVE-2026-2329) entdeckt, die es Angreifern ermöglicht, ohne Authentifizierung Code mit Root-Rechten auszuführen und Telefonate abzufangen. Betroffen sind Nutzer von Grandstream-VoIP-Telefonen, deren Gespräche von Cyberkriminellen mitgehört werden können. Die Schwachstelle ist besonders gefährlich, da sie remote und ohne vorherige Anmeldung ausgenutzt werden kann. Betroffene sollten umgehend verfügbare Firmware-Updates installieren und ihre Grandstream-Geräte überprüfen.