Greenbone hilft bei der Abwehr fortgeschrittener Social-Engineering-Angriffe

Dringlichkeit, Angst, Neugier, Vertrauen, Gier, Mitgefühl – Social Engineering ist äußerst erfolgreich darin, menschliche Emotionen für Cyberangriffe auszunutzen. Social-Engineering-Angriffe wurden als eine der wichtigsten Hauptursachen für eine große Zahl von Sicherheitsverletzungen identifiziert. Die meisten Auswertungen von Sicherheitsvorfällen führen Social Engineering unter den führenden Techniken für den Initialzugriff. Der jüngste Anstieg von KI-gestützten Phishing-Angriffen und Datendiebstahl verschafft Angreifern zusätzlich einen Vorteil, da ihnen kontextbezogene personenbezogene Daten und sensible Geschäftsinformationen zur Verfügung stehen.

Der Data Breach and Investigations Report (DBIR) 2025 von Verizon führt die Incident-Class „Social Engineering“ als Ursache für rund 17 % aller Sicherheitsverletzungen weltweit und 20 % im asiatisch-pazifischen Raum (APAC) an. Laut Sprinto war Social Engineering im Jahr 2025 in etwa 36 % der Vorfälle der Vektor für den Erstzugriff. Für Unternehmen können die Folgen verheerend sein; Ransomware, Datendiebstahl und Betriebsunterbrechungen können zu schwerwiegenden, umsatzschädigenden Auswirkungen führen.

Zu den fortgeschrittensten Social-Engineering-Kampagnen gehört eine besonders gefährliche Kombination: psychologische Manipulation gepaart mit der ausgefeilten Ausnutzung von Softwareschwachstellen. Solche Angriffsverläufe gehen weit über den „klassischen“ Phishing-Angriff hinaus, der darauf abzielt, den Benutzernamen und das Passwort eines Ziels zu stehlen. Sie verfolgen das Ziel, sich unmittelbar unbefugten Zugriff auf den Rechner des Opfers zu verschaffen, sich seitlich im lokalen Netzwerk zu bewegen und Daten zu exfiltrieren — mit nur einem falschen Klick, in einem einzigen Schlag.

In diesem Artikel betrachten wir einige ausgefeilte Social-Engineering-Kampagnen der jüngeren Vergangenheit — Angriffe, die menschliche Täuschung mit der Ausnutzung ungepatchter Softwareschwachstellen verbinden. Lesen Sie weiter, um mehr über die aktuelle Social-Engineering-Bedrohungslage zu erfahren und darüber, wie proaktives Vulnerability Management mit OPENVAS SECURITY INTELLIGENCE eine Defense-in-Depth-Strategie der Cybersicherheit unterstützt, einschließlich des Schutzes vor fortgeschrittenen Social-Engineering-Angriffen.

Fortgeschrittene Social-Engineering-Angriffe erfordern einen Defense-in-Depth-Ansatz

Die ausgefeiltesten Social-Engineering-Angriffe verbinden menschliche Täuschung mit technischer Ausnutzung. Der klassische „Phishing-Angriff“ [T1566] verleitet Benutzer dazu, ihre Zugangsdaten — einschließlich MFA-Codes — auf einer täuschend echt gestalteten, gefälschten Website einzugeben. In weiterentwickelten Varianten von Social-Engineering-Angriffen können Angreifer jedoch Remote Code Execution (RCE) direkt auf dem System des Opfers erreichen, um eine vollständige Systemkompromittierung zu erzielen, persistente Malware installieren oder sich sogar seitlich innerhalb des internen Netzwerks einer Organisation bewegen [T1210].

So funktionieren fortgeschrittene Social-Engineering-Angriffe:

• Phishing-Nachrichten liefern bösartige Dateianhänge [001] oder Links [T1566.002], begleitet von einem sozialen Kontext, der das Opfer zum Anklicken verleitet [T1204].
• Sobald geklickt wurde, wird das bösartige Payload des Angreifers ausgeführt. Je nach Aufbau kann es versuchen, Daten zu stehlen [T1003][T1005], ausgenutzte Softwareschwächen auf dem lokalen System des Opfers anzugreifen [T1203] oder zu zugänglichen Netzwerkdiensten zu pivotieren [T1210].
• In einigen Fällen müssen Angreifer nicht einmal direkt mit ihren Zielen kommunizieren. Indem sie bösartige Ressourcen im öffentlichen Internet bereitstellen [T1189], können Opfer ihnen über manipulative Werbung [008] oder beim Ausführen von Dokumenten oder Softwareanwendungen begegnen, die sie für sicher halten [T1189][T1204].
• Selbst wenn der Social-Engineering-Angriff der ersten Stufe keine Softwareschwachstelle direkt ausnutzt, können Angreifer Malware nachladen [T1105], um Fernzugriff auf den Rechner des Opfers zu erhalten.
• Sobald sie im System sind, versuchen Angreifer schnell, ihren unbefugten Zugriff auszuweiten: Persistenz aufzubauen [TA0003], ihre Privilegien zu erhöhen [TA0004] und sich seitlich im Netzwerk zu bewegen [TA0008].

In all diesen Fällen bedeutet ungepatchte Software häufig den Unterschied zwischen einem harmlosen Sicherheitsvorfall und einem kostspieligen Data-Breach-Szenario. Defense-in-Depth-Sicherheitskontrollen, einschließlich Vulnerability Management, Patch-Management und Netzsegmentierung, stellen sicher, dass ein Angreifer seinen Zugriff nicht ausweiten kann — selbst wenn ein Social-Engineering-Versuch erfolgreich ist. Durch die kontinuierliche Identifizierung und Beseitigung ausnutzbarer Schwachstellen begrenzt Vulnerability Management den Schadensradius des Erstzugriffs und verhindert, dass sich lokale Kompromittierungen in der gesamten Umgebung ausbreiten.

Wie Greenbone bei der Abwehr fortgeschrittener Social-Engineering-Angriffe hilft

Greenbone unterstützt Organisationen dabei, ihre Resilienz gegenüber fortgeschrittenen Social-Engineering-Angriffen zu erhöhen, indem IT-Verantwortlichen ermöglicht wird, technische Sicherheitslücken zu schließen. Der OPENVAS ENTERPRISE FEED von Greenbone enthält über 200.000 einzelne Schwachstellentests — eine Erkennungs-Engine, die in der Branche führend ist. Der Feed wird täglich aktualisiert, um die Abdeckung neu aufkommender CVEs sicherzustellen. Eine kostenlose Testversion von OPENVAS BASIC steht IT-Verantwortlichen zur Verfügung, um ihre Enterprise-IT-Infrastruktur auf neu entstehende Bedrohungen zu scannen, einschließlich der Schwachstellen, die in fortgeschrittenen Social-Engineering-Kampagnen ausgenutzt werden.

Vulnerability Management gilt als eine grundlegende Sicherheitsmaßnahme [1][2][3]. Durch die Aufrechterhaltung eines kontinuierlichen Vulnerability Management-Prozesses können Organisationen die Wahrscheinlichkeit erheblich verringern, dass eine einzelne Phishing-E-Mail oder ein bösartiger Anhang zu einer umfassenden Sicherheitsverletzung eskaliert. Das Scannen einer IT-Umgebung ermöglicht es Sicherheitsteams, Schwachstellen zu identifizieren und zu beheben, die Angreifern einen Erstzugriff verschaffen könnten, und trägt zudem dazu bei, zu verhindern, dass Angreifer nach einer anfänglichen Kompromittierung Privilegien eskalieren, sich seitlich bewegen oder Malware bereitstellen. Mit Greenbones neuem Produktangebot OPENVAS REPORT erhalten Unternehmen klare Risikoanalysen über ihre gesamte IT-Infrastruktur hinweg und können schnell erweiterte Compliance-Berichte erstellen.

Social-Engineering-Kampagnen, die ungepatchte Software ausnutzen

Viele fortgeschrittene Social-Engineering-Kampagnen sind dafür bekannt, ungepatchte Softwareschwachstellen auszunutzen. In diesem Abschnitt betrachten wir einige reale Kampagnen, die fortgeschrittenes Exploit-Chaining über Dateianhänge und linkbasierte Angriffe einsetzen. Die nachfolgend beschriebenen Kampagnen bilden jedoch nur einen kleinen Ausschnitt der bekannten Angriffe ab — und kontinuierlich entstehen neue, weiterentwickelte Angriffskampagnen.

CVE-2025-8088: WinRAR-Schwachstelle ermöglicht das Einschleusen bösartiger Dateien

Mitte Juli 2025 beobachtete ESET die aktive Ausnutzung von CVE-2025-8088 (CVSS 8.8), einer WinRAR-Schwachstelle, im Rahmen fortlaufender Social-Engineering-Angriffe. CVE-2025-8088 ermöglicht es unbefugten Angreifern, bösartige Dateien in sensible Verzeichnisse — darunter den Windows-Autostart-Ordner — zu kopieren, sodass sie automatisch ausgeführt werden, sobald sich das Opfer anmeldet. Die technischen Details zu dieser Kampagne wurden im August ausführlich im Greenbone-Blog behandelt.

Die Angriffe wurden der Gruppe RomCom (auch bekannt als Storm-0978, Tropical Scorpius, UNC2596) zugeschrieben, einem russlandnahen Bedrohungsakteur, der für den Einsatz seiner eigenen charakteristischen Malware (RomCom RAT) bekannt ist. Während der jüngsten Kampagne, in der CVE-2025-8088 in WinRAR ausgenutzt wurde, verteilten Spear-Phishing-E-Mails präparierte RAR-Archive an Zielorganisationen aus den Bereichen Finanzwesen, Fertigung, Verteidigung und Logistik in Europa und Kanada. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Erkennung für CVE-2025-8088.

CVE-2025-27915: Bösartige Kalenderdateien zur Ausnutzung von Zimbra

Im September 2025 richtete sich eine Kampagne gegen das brasilianische Militär, bei der manipulierte .ICS-Kalenderdateien ausgeliefert wurden, die speziell dafür entwickelt waren, CVE-2025-27915 (CVSS 5.4) auszunutzen — eine gespeicherte Cross-Site-Scripting-(XSS)-Schwachstelle [CWE-79] in der Zimbra Collaboration Suite. Die Phishing-E-Mails waren als legitime Einladungen ausländischer politischer Stellen getarnt. Die .ICS-Dateien enthielten eingebettetes JavaScript, das beim Öffnen im Classic Web Client von Zimbra automatisch ausgeführt wurde. Der iCalendar-Standard weist eine lange Historie von Sicherheitsrisiken auf, darunter zahlreiche XSS-Schwachstellen in verschiedenen Unternehmenssoftware-Anwendungen.

In der jüngsten Kampagne waren Angreifer in der Lage, Session-Cookies, E-Mail-Inhalte und Kontaktlisten zu stehlen sowie bösartige E-Mail-Weiterleitungsregeln zu erstellen, um die Kommunikation der Opfer dauerhaft zu exfiltrieren. Ungepatchte Systeme bleiben verwundbar und werden weiterhin in gezielten Angriffen ausgenutzt. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Erkennung für CVE-2025-27915.

CVE-2025-2783: Chrome-Sandbox-Escape zur Spyware-Installation

Im März 2025 wurden Phishing-E-Mails mit Einladungen zu einem russischen Politikforum verwendet, um Opfer dazu zu verleiten, auf eine bösartige Datei zu klicken. Nach ihrer Ausführung nutzte die Datei CVE-2025-2783 (CVSS 8.3) aus — eine Sandbox-Bypass-Schwachstelle in der Mojo-Komponente von Google Chrome für Windows —, um Spyware zu installieren. Die Kampagne wurde unter dem Namen Operation ForumTroll bekannt.

CVE-2025-2783 geht auf eine Schwachstelle im Handle-Management des Mojo-IPC-Subsystems zurück und betrifft ausschließlich die Windows-Implementierung von Google Chrome. Die Schwachstelle ermöglicht es Angreifern, den Sandbox-Schutz von Chrome zu umgehen und auf das Windows-Betriebssystem zuzugreifen. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Erkennung für CVE-2025-2783 unter Windows [1].

CVE-2025-24054: Windows NTLM-Hash-Leak gegen europäische Einrichtungen

Im März 2025 wurden Phishing-E-Mails mit angehängten library-ms-Dateien in Angriffen eingesetzt, die sich gegen staatliche und private Unternehmen in Polen und Rumänien richteten. Die Angriffe nutzten eine neu offengelegte Schwachstelle aus — CVE-2025-24054 (CVSS 5.4) —, die Windows NTLM betrifft; die Ausnutzung begann nur wenige Tage nach der Veröffentlichung der Schwachstelle.

.library-ms-Dateien sind Library Description Schemas, die zur Definition von Windows-Bibliotheken verwendet werden. Die bösartigen.library-ms-Dateien enthielten Links zu von Angreifern kontrollierten Ressourcen und wurden entweder innerhalb von ZIP-Archiven ausgeliefert oder über Dropbox verlinkt. Das Anzeigen der Datei nutzte die Windows-SMB-Authentifizierungsfunktion aus, um NTLM-Authentifizierungshashes zu stehlen und diese Hashes anschließend wiederzuverwenden, um eine Domänenkompromittierung sowie laterale Bewegung im Netzwerk der Opfer zu erreichen.

CVE-2024-21412: Umgehung von Windows SmartScreen durch DarkGate-Akteure

Mitte Januar 2024 begann die Bedrohungsakteur-Gruppe hinter der DarkGate-Malware, CVE-2024-21412 (CVSS 8.1) auszunutzen — eine Umgehung von Microsoft Defender SmartScreen, die durch eine fehlerhafte Verarbeitung von Internet-Verknüpfungen verursacht wird. Phishing-E-Mails lieferten PDF-Anhänge mit eingebetteten Links, die Opfer auf .URL-Verknüpfungsdateien umleiteten, welche wiederum gefälschte Software-Installer nachluden. Diese Installer gaben sich als legitime Software aus (z. B. NVIDIA oder iTunes) und sideloadeten eine bösartige DLL, um die DarkGate-RAT-Malware zu installieren.

Die Kampagne richtete sich gegen Finanzorganisationen in Nordamerika, Europa, Asien und Afrika. Microsoft veröffentlichte am 13. Februar 2024 einen Patch für CVE-2024-21412. Diese Kampagne war jedoch nicht die erste, die Windows SmartScreen in Social-Engineering-Angriffen ausnutzte. Bereits 2023 wurde CVE-2023-36025 in ähnlicher Weise unter aktiver Ausnutzung beobachtet. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Erkennung für CVE-2024-21412 [1][2][3][4][5].

CVE-2024-42009: Roundcube Webmail XSS Schwachstelle von UNC1151 ausgenutzt

Im Juni 2025 zielte eine ausgefeilte Spear-Phishing-Kampagne über CVE-2024-42009 (CVSS 9.3https://secinfo.greenbone.net/cvsscalculator?cvssVector=CVSS%3A3.1%2FAV%3AN%2FAC%3AL%2FPR%3AN%2FUI%3AR%2FS%3AC%2FC%3AH%2FI%3AH%2FA%3AN) auf polnische Organisationen ab — eine Schwachstelle, die Roundcube Webmail betrifft. Die Schwachstelle ist ein kritischer Cross-Site-Scripting-(XSS)-Fehler, der die Ausführung beliebigen JavaScripts im Browser eines Benutzers erlaubt, allein durch das Öffnen einer speziell präparierten E-Mail.

In diesen Angriffen versendete die Bedrohungsgruppe UNC1151 rechnungsthematische E-Mails, die die Schwachstelle auslösten und dadurch einen bösartigen Service Worker im Browser des Opfers registrierten. Die Malware leitete anschließend die legitime Roundcube-Anmeldeseite über einen Proxy um, während sie gleichzeitig still und heimlich Zugangsdaten erfasste, Adressbücher stahl und Business-E-Mail-Compromise-(BEC)-Angriffe durchführte. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Erkennung für CVE-2024-42009.

CVE-2023-36884: Windows Search für RCE von Storm-0978 ausgenutzt

Mitte 2023 nutzten Bedrohungsakteure Social Engineering aus, um CVE-2023-36884 (CVSS 7.5) auszunutzen — eine Race-Condition-Schwachstelle [CWE-362] in Windows Search. Die Kampagne, die dem Bedrohungsakteur RomCom zugeschrieben wurde, verbreitete Word-Dokumente und nutzte die durch den Ukrainischen Weltkongress erzeugte Dringlichkeit aus, um Mitarbeiter von Verteidigungs- und Regierungsstellen in Europa und Nordamerika ins Visier zu nehmen. Nach dem Öffnen luden die Dokumente Skripte nach, injizierten iframes und stufen malware für den Fernzugriff vor, um CVE-2023-36884 auszunutzen.

Die Kampagne führte bei den betroffenen Organisationen zu finanziellen Verlusten, Datendiebstahl und betrieblicher Beeinträchtigung und ermöglichte zudem Spionage durch die Kompromittierung von Zugangsdaten und den Einsatz persistenter Remote-Access-Malware. Der OPENVAS ENTERPRISE FEED von Greenbone enthält eine Erkennung für CVE-2023-36884.

Ist User Awareness-Training nicht ausreichend?

Viele Organisationen starten Programme zum Awareness-Training für Benutzer mit großen Erwartungen. Die tatsächliche Wirksamkeit solcher Trainings wurde jedoch zunehmend infrage gestellt. Zwar deuten einige Forschungsergebnisse darauf hin, dass Schulungen die Erkennung von Phishing-Versuchen deutlich verbessern können, doch zeigte sich, dass diese Verbesserungen ohne kontinuierliche Wiederholung im Laufe der Zeit wieder verblassen [1][2][3]. Zudem wurde festgestellt, dass der Grad der Verbesserung von Person zu Person stark variiert und dass es Zeit benötigt, bis das Training überhaupt wirksam wird [4]. Eine weitere Studie ergab, dass die Kombination von Awareness-Training mit technischen Kontrollen (z. B. MFA/OTP-Mechanismen oder URL-/Barrierefiltern) bessere Präventionsresultate liefert als Schulungen allein [5]. Andere Studien zeigten hingegen negative Befunde, die mit Awareness-Training in Verbindung stehen:

• Eine groß angelegte Studie aus dem Jahr 2025 fand keinerlei signifikante Vorteile von Awareness-Training in Bezug auf Klickraten oder Melderaten [6].
• 25,43 % der Nutzer führten im Verlauf einer 15-monatigen Studie mindestens eine gefährliche Aktion aus [7].
• Uneinheitliche Wiederholungen oder unrealistische Simulationen bergen das Risiko, künstliche Verhaltensweisen zu normalisieren, was die Wirksamkeit gegenüber realen Angriffen im Laufe der Zeit verringert [8].
• Obwohl Awareness-Training einen leicht positiven Effekt bei der Reduzierung der Anfälligkeit für Social Engineering zeigte, war der resultierende p-Wert (0,141) nicht signifikant [9].
• Jährliches Awareness-Training reduzierte die Phishing-Anfälligkeit nicht, während simulationsbasiertes Training zwar eine statistisch signifikante, aber sehr geringe Verbesserung erzielte. Darüber hinaus weisen Awareness-Trainings sehr geringe Teilnahmeintensität auf: 75–90 % der Nutzer verbringen weniger als eine Minute mit dem Training [10].

Daher kann Awareness-Training zwar einen gewissen Schutz gegen die grundlegendsten Social-Engineering-Angriffe bieten, jedoch liefert es nur wenig Sicherheit gegenüber hochgradig zielgerichteten und technisch ausgefeilten Kampagnen. Für eine hohe Widerstandsfähigkeit müssen IT-Verantwortliche zusätzliche Sicherheitsmaßnahmen einplanen. Vulnerability Management ist eine grundlegende Defense-in-Depth-Sicherheitskontrolle, um die Auswirkungen fortgeschrittener Social-Engineering-Angriffe zu mindern. Durch die Priorisierung von Patches für Assets, die von Schwachstellen betroffen sind, die in aktiven Ausnutzungskampagnen identifiziert wurden, können Organisationen ihr Risiko für unbefugten Erstzugriff reduzieren und eine weitreichende Sicherheitsverletzung verhindern.

Zusammenfassung

Die fortschrittlichsten Social-Engineering-Angriffe zielen nicht einfach darauf ab, Benutzernamen und Passwörter zu stehlen. Ausgefeilte Social-Engineering-Kampagnen kombinieren sensible Informationen, um hochwirksame Auslöser zu erzeugen. Zudem setzen sie technische Payloads ein, die darauf ausgerichtet sind, Softwareschwachstellen sowohl auf dem Rechner des Opfers als auch im Netzwerk der Zielorganisation auszunutzen. Um sich vor den schwerwiegendsten Folgen zu schützen, müssen IT-Verantwortliche einen Defense-in-Depth-Ansatz in der Cybersicherheit verfolgen, einschließlich kontinuierlichen Vulnerability Managements. Eine kostenlose Testversion von Greenbones OPENVAS BASIC steht IT-Verantwortlichen zur Verfügung, um ihre Enterprise-IT-Infrastruktur auf neu auftretende Bedrohungen zu scannen — einschließlich jener Schwachstellen, die in fortgeschrittenen Social-Engineering-Angriffen ausgenutzt werden.

Mit der umfassenden Suite an Sicherheitstools von Greenbone sind IT-Verantwortliche deutlich besser in der Lage, Softwareschwachstellen in großem Maßstab innerhalb ihrer IT-Umgebungen zu erkennen, zu priorisieren und die exponierten Angriffsflächen zu patchen, die von APT-Akteuren ausgenutzt werden könnten. Eine kostenlose Testversion von OPENVAS BASIC bietet eine hervorragende Möglichkeit, die Sicherheitsfunktionen von Greenbone in der Praxis zu testen. OPENVAS SECURITY INTELLIGENCE ermöglicht es Organisationen, aus erster Hand zu erleben, wie automatisiertes Schwachstellenscanning, tägliche Feed-Updates und klare Risikoberichte IT-Verantwortliche im Kampf gegen sich weiterentwickelnde Social-Engineering- und andere Ausnutzungskampagnen stärken können.