schmolling.io

Kategorie: Security

  • Hacker ‚IntelBroker‘ wegen globaler Datenverstöße in den USA angeklagt

    Zusammenfassung

    Ein britischer Hacker namens ‚IntelBroker‘ wurde in den USA angeklagt. Ihm wird vorgeworfen, sensible Daten von Dutzenden Opfern gestohlen und verkauft zu haben, was einen geschätzten Schaden von 25 Millionen Dollar verursachte. Der Fall verdeutlicht die anhaltende Bedrohung durch Cyberkriminalität. — Nora Briefing || Chief Strategy Advisor

    Hintergrund

    Der Hacker operierte unter dem Pseudonym ‚IntelBroker‘ und entwendete über einen längeren Zeitraum hinweg vertrauliche Informationen von verschiedenen Organisationen weltweit. Die gestohlenen Daten wurden im Darknet verkauft, was große finanzielle Schäden verursachte. Ermittlungen ergaben, dass die gestohlenen Daten kritische Informationen enthielten, die für verschiedene industrielle und technologische Sektoren von Bedeutung waren. — Clara Context || Senior Threat Intelligence Analyst

    Ausblick

    Betreiber sollten verstärkt auf die Sicherheit ihrer Daten und Netzwerke achten. Eine regelmäßige Überprüfung der Sicherheitsvorkehrungen und Schulungen zur Sensibilisierung der Mitarbeiter sind unerlässlich. Es ist wichtig, Maßnahmen zur Erkennung und Reaktion auf Sicherheitsvorfälle zu verbessern. — Max Impact || Cyber Defense Operations Lead

    Quelle

    Wed, 25 Jun 2025 19:54:22 -0400 || https://www.bleepingcomputer.com/news/security/british-hacker-intelbroker-charged-with-25m-in-cybercrime-damages/

  • Microsoft 365 ‚Direct Send‘ für Phishing missbraucht

    Zusammenfassung

    Eine laufende Phishing-Kampagne nutzt die Funktion ‚Direct Send‘ in Microsoft 365 aus, um Sicherheitsmechanismen zu umgehen. Dadurch werden Phishing-E-Mails als von internen Nutzern versendet dargestellt. Ziel ist es, Anmeldedaten der Nutzer zu stehlen. — Nora Briefing || Chief Strategy Advisor

    Hintergrund

    Die Funktion ‚Direct Send‘ in Microsoft 365 erlaubt es, E-Mails über den Exchange Online Server zu versenden, wodurch legitime Identitäten vorgetäuscht werden können. Diese Vorgehensweise umgeht viele Standard-Sicherheitsmaßnahmen, da die E-Mails vermeintlich von internen Absendern stammen. Die Missbrauchsmöglichkeiten für Angreifer sind beträchtlich, insbesondere da die Kampagne fortlaufend ist und Sicherheitsprotokolle von den Empfängersystemen unterlaufen kann. — Clara Context || Senior Threat Intelligence Analyst

    Ausblick

    IT-Administratoren sollten die Implementierung von erweiterten Signaturüberprüfungen wie DMARC und DKIM in Erwägung ziehen, um den Missbrauch von Direktversand zu vermindern. Ebenso sollten Nutzer kontinuierlich in Bezug auf Phishing sensibilisiert werden, um das Risiko von Datendiebstahl zu minimieren. — Max Impact || Cyber Defense Operations Lead

    Quelle

    Thu, 26 Jun 2025 09:00:00 -0400 || https://www.bleepingcomputer.com/news/security/microsoft-365-direct-send-abused-to-send-phishing-as-internal-users/

  • CISA: Ausnutzung von MegaRAC-Schwachstelle zur Serverübernahme

    Zusammenfassung

    Eine schwerwiegende Schwachstelle in AMIs MegaRAC BMC-Software wird aktiv ausgenutzt, um Server zu kapern und unbrauchbar zu machen. Die CISA warnt vor den Auswirkungen dieser Sicherheitslücke. Organisationen sollten dringend Sicherheitsmaßnahmen ergreifen. — Nora Briefing || Chief Strategy Advisor

    Hintergrund

    Die Schwachstelle in der MegaRAC BMC-Software von AMI ermöglicht es Angreifern, die vollständige Kontrolle über Server zu erlangen und diese dauerhaft zu schädigen. Der Baseboard Management Controller (BMC) ist ein zentraler Bestandteil für das Server-Management und bei einer Kompromittierung können Angreifer tiefgreifende Manipulationen an den Systemen vornehmen. Diese Sicherheitslücke wird bereits aktiv ausgenutzt, was die Dringlichkeit von Gegenmaßnahmen deutlich erhöht. — Clara Context || Senior Threat Intelligence Analyst

    Ausblick

    Betreiber sollten umgehend die Sicherheit ihrer Serversysteme überprüfen und sicherstellen, dass alle relevanten Sicherheitsupdates installiert sind. Die richtige Konfiguration und das Deaktivieren nicht benötigter Funktionen könnten ebenfalls zur Risikominderung beitragen. Angesichts der Bedrohung ist regelmäßiges Monitoring und proaktive Überprüfung der Systeme auf Anomalien ratsam. — Max Impact || Cyber Defense Operations Lead

    Quelle

    Thu, 26 Jun 2025 04:38:05 -0400 || https://www.bleepingcomputer.com/news/security/cisa-ami-megarac-bug-that-lets-hackers-brick-servers-now-actively-exploited/

  • Neue Angriffswelle nutzt npm-Pakete zur Malware-Verbreitung

    Zusammenfassung

    Eine neue Kampagne aus Nordkorea zielt darauf ab, Entwickler mit gefälschten Bewerbungsgesprächen zu infizieren. Dabei werden 35 npm-Pakete verwendet, um Info-Stealer und Hintertüren zu installieren. Unternehmen sollten ihre Sicherheitsvorkehrungen überprüfen und auf verdächtiges Verhalten achten. — Nora Briefing || Chief Strategy Advisor

    Hintergrund

    Die ‚Contagious Interview‘-Kampagne zielt speziell auf Entwickler ab, indem sie als gefälschte Bewerbungsgespräche getarnt sind. Diese Kampagne setzt auf die Verbreitung von schädlichen npm-Paketen, um die Geräte mit Infostealer und Backdoors zu infizieren, wodurch die Sicherheit der Systeme stark gefährdet wird. Solche gezielten Angriffe unterstreichen die Wichtigkeit der Überwachung von Open-Source-Komponenten im Entwicklungsprozess. — Clara Context || Senior Threat Intelligence Analyst

    Ausblick

    Betreiber sollten npm-Pakete auf Authentizität und Sicherheit prüfen, um sicherzustellen, dass keine schädlichen Komponenten in ihre Systeme gelangen. Die Implementierung von Überwachungsmechanismen zur Erkennung ungewöhnlichen Verhaltens wird dringend empfohlen, um Infektionen zu vermeiden. — Max Impact || Cyber Defense Operations Lead

    Quelle

    Wed, 25 Jun 2025 15:24:12 -0400 || https://www.bleepingcomputer.com/news/security/new-wave-of-fake-interviews-use-35-npm-packages-to-spread-malware/

  • Hacker nutzen Microsoft ClickOnce und AWS für verdeckte Angriffe

    Zusammenfassung

    Eine raffinierte Kampagne nutzt Microsoft ClickOnce und Golang-Backdoors, um Energiekonzerne anzugreifen. Diese Angriffe könnten schwerwiegende Folgen für kritische Infrastrukturen haben. Unternehmen sind gut beraten, ihre Sicherheitsmaßnahmen entsprechend anzupassen. — Nora Briefing || Chief Strategy Advisor

    Hintergrund

    Die Kampagne, bekannt als OneClik, zielt auf die Energie-, Öl- und Gassektoren ab und verwendet ClickOnce, ein legitimes Microsoft-Deployment-Tool, zur Verteilung von Backdoors, die in Golang geschrieben sind. Durch die Kombination von kompromittierten AWS-Cloud-Services und maßgeschneiderten Malware-Exemplaren gelingt es den Angreifern, ihre Aktionen zu verschleiern und umfassenden Zugang zu sensiblen Systemen zu erlangen. — Clara Context || Senior Threat Intelligence Analyst

    Ausblick

    Betreiber in der Energiebranche sollten umgehend ihre Anwendungssicherheit überprüfen und Systemüberwachungen stärken, um solche Angriffspunkte zu identifizieren und abzuwenden. Angebote von Microsoft und AWS sollten aufmerksam konfiguriert und überwacht werden, um unautorisierte Zugriffe zu verhindern. — Max Impact || Cyber Defense Operations Lead

    Quelle

    Wed, 25 Jun 2025 16:34:38 -0400 || https://www.bleepingcomputer.com/news/security/oneclik-attacks-use-microsoft-clickonce-and-aws-to-target-energy-sector/

  • WinRAR behebt Sicherheitslücke, die Malware-Start erlaubt

    Zusammenfassung

    WinRAR hat eine Sicherheitslücke behoben, die es Angreifern ermöglicht, Malware beim Entpacken zu starten. Diese Schwachstelle könnte ernsthafte Sicherheitsprobleme verursachen, wenn sie ausgenutzt wird. Unternehmen wird empfohlen, das Update umgehend zu installieren, um die Gefahr zu minimieren. — Nora Briefing || Chief Strategy Advisor

    Hintergrund

    Die CVE-2025-6218 ist eine Verzeichnistraversal-Schwachstelle, die es Angreifern ermöglicht, Dateien an anderen Orten als vorgesehen zu platzieren. Bei bestimmten Bedinungen kann Malware dadurch direkt nach dem Entpacken aktiviert werden. Die Schwachstelle betrifft alle Versionen von WinRAR bis zur gepatchten Version. — Clara Context || Senior Threat Intelligence Analyst

    Ausblick

    Betreiber sollten sicherstellen, dass die neueste Version von WinRAR eingesetzt wird, um diese Schwachstelle zu schließen. Insbesondere in Unternehmen, die auf WinRAR für Dateiarchive setzen, ist ein sofortiges Update ratsam. Regelmäßige Sicherheitsupdates und Schulungen der Mitarbeiter zur Erkennung verdächtiger Archive sind als Best Practice anzuwenden. — Max Impact || Cyber Defense Operations Lead

    Quelle

    Wed, 25 Jun 2025 12:55:14 -0400 || https://www.bleepingcomputer.com/news/security/winrar-patches-bug-letting-malware-launch-from-extracted-archives/

  • Citrix warnt vor NetScaler-Sicherheitslücke, die für DoS-Angriffe ausgenutzt wird

    Zusammenfassung

    Citrix hat eine Schwachstelle in ihren NetScaler-Geräten bestätigt, die von Angreifern aktiv genutzt wird, um Services außer Betrieb zu setzen. Unternehmen, die diese Geräte verwenden, könnten dadurch von Betriebsunterbrechungen betroffen sein. Citrix empfiehlt dringend, Sicherheitsupdates zu installieren. — Nora Briefing || Chief Strategy Advisor

    Hintergrund

    Die Schwachstelle CVE-2025-6543 betrifft NetScaler Appliances von Citrix, die in vielen Unternehmensnetzwerken weltweit im Einsatz sind. Angreifer nutzen diese Schwachstelle, um Denial-of-Service-Bedingungen herbeizuführen, was zu Ausfällen kritischer Netzwerkdienste führen kann. Citrix arbeitet an einem Patch, um die Lücke zu schließen, und forciert Kunden, Containment-Maßnahmen zu ergreifen. — Clara Context || Senior Threat Intelligence Analyst

    Ausblick

    Für Betreiber von NetScaler-Geräten besteht akute Gefahr von Netzwerkdienstunterbrechungen durch diese Schwachstelle. Sicherheitsupdates sollten umgehend implementiert werden, um das Risiko zu minimieren. Zudem wird empfohlen, Netzwerküberwachungsmaßnahmen zu intensivieren, um mögliche Angriffsversuche schnell zu identifizieren. — Max Impact || Cyber Defense Operations Lead

    Quelle

    Wed, 25 Jun 2025 13:35:55 -0400 || https://www.bleepingcomputer.com/news/security/citrix-warns-of-netscaler-vulnerability-exploited-in-dos-attacks/

  • Bildschirm-Fernzugriffstool in Malware umgewandelt

    Zusammenfassung

    Cyberkriminelle nutzen den Installationsprozess von ScreenConnect, um signierte Malware zu erstellen. Durch die Manipulation versteckter Einstellungen in der Authenticode-Signatur wird dies ermöglicht. Organisationen sollten die Integrität von signierten Softwarepaketen regelmäßig überprüfen. — Nora Briefing || Chief Strategy Advisor

    Hintergrund

    Der ScreenConnect-Installer wird von Bedrohungsakteuren missbraucht, um Malware mit gültiger Signatur zu verbreiten. Dies geschieht durch das sogenannte Authenticode-Stuffing, bei dem die Signaturdatei so verändert wird, dass sie trotz Manipulation gültig bleibt. Diese Methode ermöglicht es Angreifern, unter dem Radar von Sicherheitslösungen zu bleiben und unentdeckt Netzwerke zu infiltrieren. — Clara Context || Senior Threat Intelligence Analyst

    Ausblick

    Betreiber von IT-Infrastrukturen sollten signierte Softwarepakete nicht nur auf Integrität, sondern auch auf Anomalien in den Signaturdateien prüfen. Der Missbrauch dieser Technik durch Angreifer unterstreicht die Notwendigkeit einer robusten Überwachung und strengerer Sicherheitsüberprüfungen von Software aus Drittquellen. — Max Impact || Cyber Defense Operations Lead

    Quelle

    Wed, 25 Jun 2025 17:51:46 -0400 || https://www.bleepingcomputer.com/news/security/hackers-turn-screenconnect-into-malware-using-authenticode-stuffing/

  • Wichtige Erkenntnisse aus den Scattered Spider-Angriffen auf Versicherungsunternehmen

    Zusammenfassung

    Scattered Spider verlagert seine Angriffe von globalen Einzelhändlern auf US-Versicherungen. Die Taktiken umfassen Umgehung von MFA, Helpdesk-Betrug und mehr. Unternehmen sollten wachsam bleiben und ihre Sicherheitsmaßnahmen entsprechend anpassen. — Nora Briefing || Chief Strategy Advisor

    Hintergrund

    Scattered Spider, bekannt für seine Hartnäckigkeit und Raffinesse, hat kürzlich seine Ziele auf Versicherungsunternehmen in den USA verlegt. Die Gruppe nutzt fortschrittliche Techniken wie die Umgehung der Multi-Faktor-Authentifizierung und setzt auf Social-Engineering-Angriffe wie Helpdesk-Betrug. Diese Entwicklung unterstreicht die Notwendigkeit für eine kontinuierliche Überwachung und Anpassung der Sicherheitsstrategien. — Clara Context || Senior Threat Intelligence Analyst

    Ausblick

    Betreiber müssen verstärkte Schutzmaßnahmen gegen MFA-Umgehung und Social-Engineering-Angriffe einführen. Regelmäßige Schulungen und Übungen zur Sicherheitsbewusstsein sind essentiell, um solche Bedrohungen abzuwenden. Eine Überprüfung und Anpassung der Sicherheitsrichtlinien in Bezug auf Helpdesk-Prozesse kann das Risiko verringern. — Max Impact || Cyber Defense Operations Lead

    Quelle

    Thu, 26 Jun 2025 10:02:12 -0400 || https://www.bleepingcomputer.com/news/security/3-key-takeaways-from-the-scattered-spider-attacks-on-insurance-firms/

  • nOAuth-Sicherheitslücke beeinflusst weiterhin Microsoft Entra SaaS-Anwendungen

    Zusammenfassung

    Eine Sicherheitslücke in Microsoft Entra ID bedroht weiterhin 9 % der SaaS-Anwendungen, obwohl die Schwachstelle vor zwei Jahren entdeckt wurde. Angreifer könnten über diese Schwachstelle Konten übernehmen. Unternehmen sollten verstärkt Sicherheitsmaßnahmen für ihre SaaS-Anwendungen umsetzen, um potenzielle Angriffe abzuwehren. — Nora Briefing || Chief Strategy Advisor

    Hintergrund

    Die nOAuth-Sicherheitslücke in Microsofts Entra ID, auch nach zwei Jahren seit ihrer Entdeckung, stellt weiterhin ein Risiko dar, indem sie Cross-Tenant-Missbrauch in SaaS-Anwendungen ermöglicht. Semperis, ein Identitätssicherheitsunternehmen, hat in einer Untersuchung von 104 SaaS-Anwendungen festgestellt, dass neun davon anfällig für diese Schwachstelle sind. Dies deutet auf ein signifikantes Risiko für Dienste hin, die von dieser Sicherheitslösung abhängig sind. — Clara Context || Senior Threat Intelligence Analyst

    Ausblick

    Betreiber von SaaS-Anwendungen, die Microsoft Entra ID verwenden, sollten umgehend die Sicherheitsprotokolle überprüfen und Best Practices für Identitätssicherheit implementieren, um unerwünschte Kontenübernahmen zu verhindern. Regelmäßige Audits und Sicherheitsupdates sind notwendig, um diese Schwachstelle zu entschärfen. — Max Impact || Cyber Defense Operations Lead

    Quelle

    Wed, 25 Jun 2025 22:26:00 +0530 || https://thehackernews.com/2025/06/noauth-vulnerability-still-affects-9-of.html