26.01.2026 – 08:30

KnowBe4 warnt: Vertrauen in RMM-Tools missbraucht

Die KnowBe4 Threat Labs informieren über eine ausgeklügelte Dual-Vektor-Kampagne, die die Bedrohungskette nach der Kompromittierung von Anmeldedaten demonstriert. Anstatt maßgeschneiderte Malware einzusetzen, umgehen die Angreifer die Sicherheitsperimeter, indem sie IT-Tools missbrauchen, denen von IT-Administratoren vertraut wird. Indem sie sich einen "Generalschlüssel" für das System verschaffen, verwandeln sie legitime Remote Monitoring and Management (RMM)-Software in eine dauerhafte Backdoor.

Die beobachtete Kampagne verläuft in zwei unterschiedlichen Phasen: Zunächst werden durch gefälschte Einladungsbenachrichtigungen Zugangsdaten gesammelt, anschließend werden diese Zugangsdaten dazu missbraucht, legitime RMM-Software zu installieren, die einen dauerhaften Backdoor-Zugang zu den Systemen der Opfer herstellt.

Der Angriff beginnt mit einer Phishing-E-Mail, die als Einladung von Greenvelope getarnt ist. Greenvelope ist ein US-amerikanischer Servicedienstleister für Firmenveranstaltungen und Hochzeiten, deshalb sind die "Social-Engineering-Indikatoren" subtil. Opfer, die auf die Einladung klicken, werden zu einer sehr überzeugenden gefälschten Anmeldeseite weitergeleitet, die dazu dient, ihre Anmeldedaten zu erfassen.

Der Diebstahl gültiger Anmeldedaten ist nicht das endgültige Ziel, sondern der entscheidende Schritt für die zweite Phase dieser Angriffsstrategie.

Für den Angreifer ist ein gültiges Passwort nicht das Endziel, sondern lediglich das Mittel zum Zweck. Sobald die Anmeldedaten gesichert sind, generieren die Angreifer legitime RMM-Zugriffstoken. Diese Token werden dann in Folgeangriffen über eine Datei namens "GreenVelopeCard.exe" eingesetzt, um einen dauerhaften Fernzugriff auf die Systeme der Opfer herzustellen.

Durch die Verwendung von legitim signierter Software eines vertrauenswürdigen Anbieters kann die Malware viele Sicherheitslösungen umgehen, die auf signaturbasierter Erkennung beruhen.

Um das Risiko von RMM-basierten Angriffen zu mindern, sollten Sicherheitsteams eine Reihe von Sofortmaßnahmen priorisieren, dazu zählen die Suche nach bereitgestellten IOCs, die Blockierung identifizierter C2-Domänen und die Überwachung nicht autorisierter RMM-Installationen und Nutzungsmuster. Mehr erfahren Sie hier: https://ots.de/6cX1X3

Pressekontakt:

Kafka Kommunikation GmbH & Co. KG
Auf der Eierwiese 1
82031 Grünwald
KnowBe4@kafka-kommunikation.de
089 747470580

Original-Content von: KnowBe4, übermittelt durch news aktuell

Weitere Storys: KnowBe4

Alle Storys Alle

15.01.2026 – 11:33
Brushing: Gefährliche QR-Codes in Geschenkpaketen
Berlin (ots) - Immer öfter werden unerwartete Pakete ohne Absender verschickt. Aus der Freude über ein vermeintliches Geschenk kann aber schnell Betrug entstehen. Die Betrüger profitieren auch von dem Hype um Mystery-Boxen. Neben preiswerten Artikeln enthalten die Pakete einen QR-Code, den Nutzer mit der Kamera ihres Smartphones scannen können. Da sie nicht wissen, wer das Paket verschickt hat, liegt es nahe, dass die ...
mehr
11.12.2025 – 12:59
KnowBe4-Studie zeigt: Menschlicher Faktor wird bei KI-Sicherheit unterschätzt
Berlin (ots) - KnowBe4, Anbieter einer weltweit renommierten Plattform, die sich umfassend mit Human Risk Management und agentenbasierter KI befasst, hat einen neuen Bericht veröffentlicht: "The State of Human Risk 2025: The New Paradigm of Securing People in the AI Era". Der Bericht zeigt, dass Sicherheitsverantwortliche einem zunehmenden Druck bei der Bewältigung ...
mehr
11.12.2025 – 09:00
SMS als Betrugsfalle bei Flugreisen
Berlin (ots) - Rund um die Weihnachtsferien planen und buchen viele ihre Flugreisen. Im Jahr 2024 belief sich laut Eurostat die Gesamtzahl der Fluggäste in der EU auf 1,1 Milliarden Personen, was einem Anstieg von 8 Prozent gegenüber 2023 (973 Millionen) entspricht. Die Anzahl derer, die Online mit ihren Fluganbietern interagieren steigt stetig, dies ruft vermehrt Betrüger auf den Plan. Eine Masche beginnt mit einer ...
mehr