Beispiel einer echten GreenVelope-Anmeldeseite im Vergleich zur gef\u00e4lschten Anmeldeseite (Quelle: KnowBe4 2026)<\/em><\/p>\nDer Diebstahl g\u00fcltiger Anmeldedaten ist nicht das endg\u00fcltige Ziel, sondern der entscheidende Schritt f\u00fcr die zweite Phase dieser Angriffsstrategie.<\/p>\n
RMM Development<\/h2>\n
F\u00fcr den Angreifer ist ein g\u00fcltiges Passwort nicht das Endziel, sondern lediglich das Mittel zum Zweck. Sobald die Anmeldedaten gesichert sind, generieren die Angreifer legitime RMM-Zugriffstoken. Diese Token werden dann in Folgeangriffen \u00fcber eine Datei namens \u201eGreenVelopeCard.exe\" eingesetzt, um einen dauerhaften Fernzugriff auf die Systeme der Opfer herzustellen.<\/p>\n
\u00a0<\/strong>Durch die Verwendung von legitim signierter Software eines vertrauensw\u00fcrdigen Anbieters kann die Malware viele Sicherheitsl\u00f6sungen umgehen, die auf signaturbasierter Erkennung beruhen.<\/p>\n ![\"Angriffsschema\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/01\/image-115.png\")
<\/strong>Abbildung\u00a02: Vollst\u00e4ndiger Angriffsablauf vom Diebstahl von Anmeldedaten \u00fcber die Bereitstellung von RMM bis hin zum dauerhaften Zugriff (Quelle: KnowBe4 2026)<\/em><\/p>\nPr\u00e4ventive Ma\u00dfnahmen<\/h2>\n
Angesichts solcher sich schnell entwickelnder Taktiken k\u00f6nnen sich Sicherheitsteams nach Ansicht von KnowBe4 keine abwartende Haltung mehr in Bezug auf die Aufkl\u00e4rung der Benutzer leisten. Sie m\u00fcssen schnell handeln, um diesen ausgekl\u00fcgelten Bedrohungen entgegenzuwirken. Human Risk Management (HRM) bietet hierf\u00fcr den Rahmen, indem es die traditionellen Silos zwischen Threat Research und Security Awareness aufbricht.<\/p>\n
Eine HRM-Plattform synthetisiert kontinuierlich Verhaltensdaten, Produkttelemetrie und Echtzeit-Bedrohungsinformationen, um Risikobewertungen f\u00fcr jeden einzelnen Benutzer zu generieren. Dieser datengesteuerte Ansatz erm\u00f6glicht es der Plattform, technische Kontrollen und hyper-personalisierte Schulungen zu automatisieren, um einzugreifen und Benutzer zu coachen. Der effektivste Weg, diese Verteidigung aufzubauen, besteht darin, Phishing-Vorf\u00e4lle \u2013 wie den \u201eGreenvelope\"-Missbrauch \u2013 in eine simulierte Phishing-Kampagne umzuwandeln. Dadurch wird ein hochpr\u00e4zises Training erm\u00f6glicht, das die Benutzer in die Lage versetzt, komplexe Bedrohungen in Echtzeit zu erkennen und zu melden.<\/p>\n
Fazit<\/h2>\n
Um das Risiko von RMM-basierten Angriffen zu mindern, sollten Sicherheitsteams eine Reihe von Sofortma\u00dfnahmen priorisieren, dazu z\u00e4hlen die Suche nach bereitgestellten IOCs, die Blockierung identifizierter C2-Dom\u00e4nen und die \u00dcberwachung nicht autorisierter RMM-Installationen und Nutzungsmuster. Mehr zum Thema findet sich im Artikel The Skeleton Key: How Attackers Weaponize Trusted RMM Tools for Backdoor Access<\/a>.<\/p>\n","protected":false},"excerpt":{"rendered":"Die KnowBe4 Threat Labs informieren \u00fcber eine ausgekl\u00fcgelte Dual-Vektor-Kampagne, die die Bedrohungskette nach der Kompromittierung von Anmeldedaten demonstriert. Anstatt ma\u00dfgeschneiderte Malware einzusetzen, umgehen die Angreifer die Sicherheitsperimeter, indem sie IT-Tools missbrauchen, denen von IT-Administratoren vertraut wird. Indem sie sich einen … Weiterlesen →<\/span><\/a><\/p>\n","protected":false},"author":2,"featured_media":0,"comment_status":"open","ping_status":"closed","sticky":false,"template":"","format":"standard","meta":{"footnotes":""},"categories":[426],"tags":[4328],"class_list":["post-320631","post","type-post","status-publish","format-standard","hentry","category-sicherheit","tag-sicherheit"],"_links":{"self":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/320631","targetHints":{"allow":["GET"]}}],"collection":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts"}],"about":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/types\/post"}],"author":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/users\/2"}],"replies":[{"embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/comments?post=320631"}],"version-history":[{"count":1,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/320631\/revisions"}],"predecessor-version":[{"id":320634,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/posts\/320631\/revisions\/320634"}],"wp:attachment":[{"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/media?parent=320631"}],"wp:term":[{"taxonomy":"category","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/categories?post=320631"},{"taxonomy":"post_tag","embeddable":true,"href":"https:\/\/borncity.com\/blog\/wp-json\/wp\/v2\/tags?post=320631"}],"curies":[{"name":"wp","href":"https:\/\/api.w.org\/{rel}","templated":true}]}}
![\"Sicherheit](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2021\/04\/Sicherheit_klein.jpg\" "\\"Sicherheit")
Die KnowBe4 Threat Labs informieren \u00fcber eine ausgekl\u00fcgelte Dual-Vektor-Kampagne, die die Bedrohungskette nach der Kompromittierung von Anmeldedaten demonstriert. Anstatt ma\u00dfgeschneiderte Malware einzusetzen, umgehen die Angreifer die Sicherheitsperimeter, indem sie IT-Tools missbrauchen, denen von IT-Administratoren vertraut wird. Indem sie sich einen \u201eGeneralschl\u00fcssel\" f\u00fcr das System verschaffen, verwandeln sie legitime Remote Monitoring and Management (RMM)-Software in eine dauerhafte Backdoor.<\/p>\n![\"Anmeldeseite\"](\"https:\/\/borncity.com\/blog\/wp-content\/uploads\/2026\/01\/image-114.png\")
<\/a><\/p>\n