Comretix Blog

Die sommerliche Urlaubszeit ist vorbei und die Hosts des Passwort-Podcasts machen sich gut erholt an die nächsten Folgen. Vom berüchtigten Sommerloch bemerken sie wenig: Gleich drei Folgen könnten sie mit den gesammelten Inhalten auf einen Schlag füllen.

Zunächst widmen Sylvester und Christopher sich einer Studie, die kürzlich auf der Security-Konferenz Black Hat vorgestellt wurde. Die großangelegte Untersuchung an einem kalifornischen Universitätsklinikum mit fast 20.000 Mitarbeitenden ergab, dass jährliche Awareness-Schulungen und Phishing-Tests per E-Mail praktisch wirkungslos sind. Christopher hatte eine Vorabversion der Studie bereits im vergangenen November unter die Lupe genommen und berichtet von den ernüchternden Ergebnissen.

Fast auf den Tag genau zwei Monate nach Bekanntwerden des Sicherheitsfehlers "Citrix Bleed 2" droht erneut Ungemach für Verwender von Appliances des Typs NetScaler ADC und Gateway. Der Hersteller meldet gleich drei Probleme, eins davon kritisch. Admins sollten prüfen, ob ihre Geräte betroffen sind – Citrix hat dazu Handreichungen veröffentlicht.

Die betroffenen Firmware-Versionen unterscheiden sich dabei nicht, es handelt sich nach Citrix-Angaben jeweils um:

Alle drei Lücken sind jedoch nicht in den Standardeinstellungen ausnutzbar, sondern unter bestimmten Bedingungen. Beim schwersten der drei Sicherheitsfehler, einem Speicherüberlauf mit anschließender Möglichkeit, Code einzuschleusen (CVE-2025-7775, CVSS4 9.2/10, Schweregrad kritisch), muss eine von vier Vorbedingungen gegeben sein, wie Citrix im Advisory weiter ausführt:

Doch auch die zwei weniger kritischen Lücken tragen hohes Schadenspotential in sich. CVE-2025-7776 (CVSS 8.8, Schweregrad hoch) kann das Gerät destabilisieren, setzt aber eine Konfiguration als Gateway mit einem PCoIP-Profil (PC over Internet Protocol) voraus. CVE-2025-8424 (CVSS4 8,7/10, Schweregrad "hoch") hingegen verschafft Angreifern Zugriff auf geschützte Dateien. Dafür benötigen sie jedoch Zugriff auf das Management-Interface der Appliance, das Citrix-Angaben zufolge meist mit Zugriffslisten (ACLs) oder einer externen Authentisierungslösung geschützt sei.

Admins sollten nun zügig prüfen, ob ihre Geräte betroffen sind. Das gelingt, indem sie die Konfigurationsdatei "ns.conf" auf die notwendigen Vorbedingungen abklopfen – Citrix verrät in einem Support-Artikel, wie das geht.

Im Webbrowser Google Chrome haben die Entwickler eine Sicherheitslücke geschlossen, die als kritisches Risiko eingestuft wurde. Wer den Browser einsetzt, sollte sicherstellen, die jüngste Version zu nutzen.

In der Versionsankündigung bleibt Google bekannt schmallippig zu den Details der Schwachstelle. Es handelt sich um einen "Use after free"-Fehler, bei dem der Programmcode auf Ressourcen zugreift, die bereits freigegeben wurden und somit undefinierte Inhalte aufweisen. Dieser Fehler findet sich im WebGL-Render-Backend Angle (CVE-2025-9478 / EUVD-2025-25822, noch kein CVSS, Risiko laut Google jedoch "kritisch"). Der CVE-Eintrag verrät immerhin, dass Angreifer aus dem Netz einen Speicherfehler auf dem Heap etwa mit sorgsam präparierten HTML-Webseiten missbrauchen können – oftmals gelingt darüber das Einschleusen und Ausführen von Schadcode, was aufgrund des Schweregrads auch hier anzunehmen ist.

In den Versionen Google Chrome 139.0.7258.158 für Android, 139.0.7258.154 für Linux sowie 139.0.7258.154/.155 für macOS und Windows haben die Entwickler die Schwachstelle ausgebessert. Das Update steht nun zum Download bereit.

Ob die aktuelle Fassung des Webbrowsers läuft, verrät der Versionsdialog. Der öffnet sich nach Klick auf das Symbol mit drei aufgestapelten Punkten rechts von der Adressleiste. Dort geht es weiter über "Hilfe" – "Über Google Chrome".

Der Versionsdialog von Google Chrome zeigt den aktuell laufenden Softwarestand an. Gegebenenfalls startet er die Aktualisierung.

Der kriselnde US-Chiphersteller Intel bekommt einen neuen Großaktionär: Die US-Regierung erhält knapp zehn Prozent der Intel-Anteile. Diese direkte Beteiligung der US-Regierung an Intel dürfte bei Sicherheitsforschern außerhalb der USA starke Bedenken wecken. Denn in Prozessoren und Chipsätzen von Intel sind kryptografische Funktionen wie SGX und TDX verankert. Sie sind nur dann sinnvoll einzusetzen, wenn man dem Unternehmen Intel vertraut.

Doch wie vertrauenswürdig ist eine "Remote Attestation", die ein Intel-Server aus den USA der Trump-Regierung liefert? Die Einschätzung war für Firmen außerhalb der USA schon bisher schwierig, weil US-Firmen durch Gesetze wie den CLOUD Act zu Kooperation mit US-Behörden verpflichtet sind. Die direkte Beteiligung der US-Regierung am Unternehmen Intel verschärft dieses Problem.

Aus Sicht vieler europäischer Firmen dürfte eine verschlüsselte RAM-Enklave, die auf einer Zertifikatskette eines US-Unternehmens mit direkter Beteiligung der US-Regierung aufbaut, gerade keine allgemein "vertrauenswürdige Ausführungsumgebung" (Trusted Execution Environment/TEE) sein.

Genau das ist aber Daseinszweck der Trusted Domain Extensions (TDX) Intels, die beispielsweise dem "Confidential Computing" in der Cloud dienen sollen.

Manche Cloud-Dienstleister nutzen Funktionen wie TDX auch für sogenannte souveräne Clouds (Sovereign Cloud). Seit dem Amtsantritt Donald Trumps werden solche Angebote in Europa stärker beworben – gerade von US-Konzernen wie Amazon AWS, Microsoft Azure, Google Cloud und Oracle Cloud Infrastructure (OCI). Je nach Angebot dienen dabei aber auch andere Hardware-Sicherheitsmodule (HSM) als Schlüsselspeicher.

IT-Sicherheitsforscher von Zscalers ThreadLabz überwachen den Google Play Store und analysieren darüber verteilte bösartige Apps. Besonders im Fokus steht die Malware Anatsa (auch als Teabot bekannt), die Android-Geräte angreift und auf Finanz-Apps abzielt. Erste Samples wurden bereits 2020 entdeckt, nun hat sich die Malware jedoch deutlich weiterentwickelt.

In ihrer Analyse schreiben die Zscaler-Forscher, dass Anatsa ursprünglich als Banking-Trojaner startete, der Zugangsdaten stehlen, Keylogging betreiben und betrügerische Transaktionen ausführen konnte. Die jüngste Inkarnation kann inzwischen 831 Finanzinstitutionen weltweit angreifen. Außerdem sind Institute in Deutschland und Südkorea neu hinzugekommen – nebst Kryoptwährung-Plattformen. Die Auslieferung des bösartigen Codes haben die Drahtzieher verschlankt, indem sie das dynamische Laden von Dalvik-Executable-Payloads (DEX) aus dem Netz durch direkte Installation des Anatsa-Schadcodes ersetzt haben.

Viele der Tarn-Apps, die Anatsa mitbringen, haben Installationszahlen von mehr als 50.000 Downloads im Play Store, gibt Zscaler an. Mit Beifang, also Malware-Apps mit nicht-Anatsa-Schadcode, kommen die IT-Forscher auf 77 Apps, die insgesamt mehr als 19 Millionen Mal installiert wurden. Diese hat Zscaler an Google gemeldet.

Die vorhergehenden Anatsa-Kampagnen hatten noch mehr als 650 Finanzinstitutionen zum Ziel. Unter den etwa 180 hinzugekommenen finden sich mehr als 150 neue Banking- und Kryptowährungs-Apps. Anatsa setzt auf eine Dropper-Technik, bei der die bösartige App im Google Play Store bei Installation harmlos erscheint. Nach der Installation lädt Anatsa jedoch als Update getarnten Schadcode vom Command-and-Control-Server herunter. Dadurch umgeht Anatsa den Erkennungsmechanismen im Play Store und kann erfolgreich Geräte infizieren. Das Zscaler-Team analysiert zudem die Tarnmechanismen genauer. So kommt etwa ein defektes Archiv zum Einsatz, um eine DEX-Datei zu verstecken, die zur Laufzeit aktiviert wird. Standard-ZIP-Tools können wegen des Defekts die Datei nicht analysieren und die Malware vorbei schlüpfen.

Zugangsdaten leitet Anatsa aus, indem die Malware gefälschte Log-in-Seiten anzeigt, die sie vom Command-and-Control-Server herunterlädt. Die Seiten sind maßgeschneidert an die Apps der Finanzinstitute, die Anatsa auf dem Smartphone vorfindet.

Eine prorussische Hackergruppe steht den Ermittlungen zufolge im Verdacht, für den Cyberangriff auf die Webseite der Stadt Nürnberg im Juli verantwortlich zu sein. Dabei handle es sich um die Gruppierung "NoName057(16)", teilte ein Sprecher der Zentralstelle Cybercrime bei der Generalstaatsanwaltschaft Bamberg mit. Es werde noch geprüft, ob ein Zusammenhang zu den Ermittlungen der Generalstaatsanwaltschaft Frankfurt am Main und des Bundeskriminalamts bestehe.

Die Internetseite der Stadt Nürnberg war im Juli nach einer sogenannten DDoS-Attacke über Stunden nicht mehr zuverlässig erreichbar gewesen. Bei solchen Angriffen werden Websites mit massenhaften Zugriffen so überlastet, dass sie zusammenbrechen.

Deutsche und internationale Strafverfolgungsbehörden waren Mitte Juli gegen das Hacker-Netzwerk "NoName057(16)" vorgegangen und hatten dabei ein aus weltweit verteilten Servern bestehendes Botnetz abgeschaltet, das für gezielte digitale Überlastungsangriffe auf Internetseiten eingesetzt wurde. In Deutschland erließen die Ermittler sechs Haftbefehle gegen russische Staatsangehörige beziehungsweise in Russland wohnhafte Beschuldigte. Zwei von ihnen sollen die Hauptverantwortlichen hinter der Gruppe sein.

Bei NoName057(16)" handelt es sich laut BKA um ein ideologisch geprägtes Hacktivisten-Kollektiv, das sich als Unterstützer Russlands positioniert hat und im Kontext des Russland-Ukraine-Konflikts Cyberangriffe durchführt. Seit Beginn der Ermittlungen im November 2023 soll Deutschland Ziel von 14 Angriffswellen gewesen sein, die zum Teil über Tage dauerten.

HPs Security Manager dient zur Verwaltung und Absicherung sowie zur Sicherstellung der Richtlinienkonformität von HP-Druckern in Netzwerken. Eine Schwachstelle in der Verwaltungssoftware ermöglicht Angreifern aus dem Netz, Schadcode einzuschleusen und auszuführen.

Davor warnt HP in einer Sicherheitsmitteilung. "HP Security Manager ist möglicherweise anfällig für eine Schwachstelle, die das Ausführen von Code aus dem Netz durch den Einsatz von Microsofts OLE-Datenbank-Bibliothek in Version 18.4 für Microsoft SQL Server Express sowie Microsofts SQLServer ermöglicht", schreiben die Entwickler dort kärglich.

Die Schwachstelleneinträge datieren auf den April 2024, wo Microsoft die Sicherheitslücken zum Patchday mit aktualisierter Software geschlossen hat. Die Erläuterung dort ist jedoch noch kürzer: "Microsoft OLE DB-Treiber für SQL Server Remote-Code-Ausführungsschwachstelle", schreiben die Redmonder dazu (CVE-2024-28906 / EUVD-2024-25972; CVE-2024-29044 / EUVD-2024-26091; CVSS 8.8, Risiko "hoch"). Beide verpassen jedoch die Einordnung als "kritisches" Risiko nur äußerst knapp.

Die Sicherheitslücken finden sich in den mitgelieferten ODBC-Treibern von HP Security Manager 3.13 oder älteren Fassungen. In der Version 3.14 aktualisiert HP die Drittherstellerkomponenten und stopft damit die Sicherheitslecks. HPs Security Manager lässt sich etwa auf der zugehörigen Webseite von HP in der aktuellen Version herunterladen.

Manuelle Gegenmaßnahmen nennt HP zudem für Admins, die diese Software von HP nicht aktualisieren möchten. Wo der HP Security Manager mit einer entfernten MS SQL Server- oder MS SQL Server Express-Datenbank installiert wurde, kann der MS OLE DB-Treiber entfernt oder auf Stand 18.7 aktualisiert werden. Haben IT-Verantwortliche die Datenbank lokal installiert, können sie TCP/IP als Protokoll im SQL Configuration Manager aktivieren und den OLE DB-Treiber entweder entfernen oder aktualisieren. Wo Admins den Treiberstand 18.7 herbekommen, erörtert HP jedoch nicht.

Stimmen die Voraussetzungen, können Angreifer WordPress-Websites mit dem Plug-in Dokan Pro attackieren, um Admin-Accounts zu übernehmen und Seiten zu kompromittieren.

Mit dem Plug-in setzt man Onlineshops auf, in denen sich Nutzer als Verkäufer mit eigenen Marktplatzshops registrieren können. Nun weisen Sicherheitsforscher von Wordfence in einem Beitrag auf eine mittlerweile geschlossene Sicherheitslücke (CVE-2025-5931 "hoch") hin.

Um eine Attacke einleiten zu können, müssen Angreifer aber bereits authentifiziert sein. Ist das gegeben, können sie am fehlerhaften Code, über den sich Nutzer als Marktplatzverkäufer registrieren können, ansetzen und einen neuen Nutzer mit Adminrechten anlegen. Im Anschluss können sie ein eigenes Passwort festlegen und weitreichend auf die Website zugreifen. Darüber können sie etwa Hintertüren in Onlineshops verankern.

Die Entwickler versichern, dass sie die Version 4.0.6 gegen die geschilderte Attacke abgesichert haben. Alle vorigen Ausgaben sollen verwundbar sein. Unklar ist derzeit, ob es bereits Attacken gibt. Admins von WordPress-Websites mit diesem Plug-in sollten in den Einstellungen Ausschau nach unbekannten Accounts halten. Werden sie fündig, sollten sie die Konten umgehend löschen.

Zuletzt wurden Sicherheitslücken im WordPress-Plug-in UiCore Elements mit rund 40.000 aktiven Installationen geschlossen. An dieser Stelle konnten Angreifer eigentlich abgeschottete Informationen auf Servern einsehen.

Auf Admins der Cloud-basierten Fernwartungssoftware ScreenConnect läuft eine Spear-Phishing-Kampagne. Das haben IT-Sicherheitsforscher herausgefunden. Den Angreifern geht es dabei um initialen Zugriff auf Netzwerke, um Ransomware zu platzieren.

In einer Analyse der Speer-Phishing-Kampagne erörtert Mimecast, dass die Kampagne in mehreren Läufen seit 2022 aktiv ist. Die Angreifer versendeten in den einzelnen Durchgängen stets vergleichsweise wenige E-Mails, bis zu 1000. Dadurch bleiben sie weitgehend unentdeckt. Für den Mail-Versand nutzen die kriminellen Drahtzieher Amazon Simple E-Mail-Service-Konten (SES) und zielen auf leitende ITler ab, etwa Leiter, Manager oder IT-Security-Mitarbeiter mit erhöhten Zugangsrechten in ScreenConnect-Umgebungen. Die Angreifer haben es insbesondere auf Super-Admin-Zugänge abgesehen, die weitreichende Kontrolle über die Fernzugriff-Struktur ganzer Organisationen erlauben.

Die Phishing-Mails thematisieren Log-ins von neuen IP-Adressen in ScreenConnect, die die Admins überprüfen sollten.

(Bild: Mimecast)

Die Angreifer verwenden Logos und Optik von ScreenConnect respektive Hersteller Connectwise. In den Phishing-Mails thematisieren sie etwa einen Alarm wegen Zugriffen von neuen IP-Adressen. Die Schaltfläche "Review Security" in der Mail führt dann auf die Phishing-Seiten – die ebenfalls an die Original-Optik angelehnt sind. Auch die URLs wirken auf den ersten Blick korrekt. Sie verwenden unter anderem Top-Level-Domains, die Connectwise tatsächlich nutzen könnte, wie connectwise[.]com.ar oder connectwise[.]com.be.

Unter bestimmten Voraussetzungen können Angreifer GitHub Enterprise Server attackieren und auf eigentlich abgeschottete Informationen in Repositorys zugreifen. Dagegen abgesicherten Versionen stehen zum Download bereit.

Aus einem Eintrag zur Schwachstelle (CVE-2025-8447 "hoch") geht hervor, dass die Entwickler GitHub Enterprise Server 3.14.17, 3.15.12, 3.16.8 und 3.17.5 repariert haben. Um die Lücke ausnutzen zu können, benötigen Angreifer der Beschreibung zufolge Zugriff auf bestimmte Informationen von privaten Repositorys wie Branches oder Tags. Ist das gegeben, können sie über die Compare/Diff-Funktion die Authentifizierung umgehen und Code im jeweiligen Repository einsehen.

Bislang gibt es keine Berichte, dass bereits Attacken laufen. Unklar bleibt auch, woran man bereits attackierte Instanzen erkennen kann. Admins sollten sicherstellen, dass ihre Github-Server auf dem aktuellen Stand sind.

(Diese E-Mail-Adresse ist vor Spambots geschützt! Zur Anzeige muss JavaScript eingeschaltet sein.)

Der brandenburgische Polizeipräsident Oliver Stepien ist offen für den Einsatz von Künstlicher Intelligenz in der Polizeiarbeit – unter bestimmten Voraussetzungen. "Wir müssen KI mit Nachdruck betreiben, weil das der Beginn einer Entwicklung ist, glaube ich, deren Umfang und abschließende Wirkung überhaupt noch nicht absehbar ist. Dem müssen wir uns stellen", sagte Stepien der Deutschen Presse-Agentur in Potsdam. "Wir müssen dafür offen sein."

Per Polizeigesetz, das bis Ende 2027 reformiert werden soll, muss die Polizei aus Sicht von Innenminister René Wilke mehr Möglichkeiten auch in Sachen KI und bei der Verwertung von Daten bekommen. "Da ist, glaube ich, noch ein Stückchen Weg vor uns, wo wir uns auch modernisieren müssen", sagte der parteilose Politiker vor Kurzem der dpa.

Zuletzt war eine Debatte um eine umstrittene Analyse-Software des US-Unternehmens Palantir zur Verbrechensbekämpfung entbrannt. Datenschützer warnen, dass sensible Daten abgezweigt werden könnten. Die Polizei in einigen Bundesländern nutzt die Software – Brandenburg nicht.

Innenminister Wilke äußerte sich zuletzt skeptisch dazu. Mit der Software namens Gotham, die in Bundesländern als angepasste Version unter den Namen Hessendata, DAR und VeRA läuft, kann die Polizei große Mengen an Daten auswerten und Verbindungen herstellen.

Die Polizei in Brandenburg nutze bislang KI beispielsweise zur Transkription von audiovisuellen Vernehmungen, aber noch keine Systeme, die etwa eigenständig Straftaten oder Straftäter an deren Verhalten erkennen könnten, so Stepien. "Für eine abschließende Strategie brauchen wir zuerst ein einheitliches Begriffsverständnis von KI, klare Rechtsgrundlagen und bestimmte Eingriffsbefugnisse." Es müssten immer auch ethische Fragen geklärt werden.

Google schränkt die freie Nutzung zertifizierter Android-Geräte ein. Ab Herbst 2026 können nur noch Anwendungen installiert werden, deren Herausgeber sich zuvor bei Google registriert und dann die jeweilige Anwendung signiert hat. Für Installationen über den Google Play Store gilt das schon seit 2023; nun wird die Anonymität auch für Sideloading abgeschafft, also für direkt am Gerät, ohne Nutzung des Play Store. installierte Programme.

Eine inhaltliche Prüfung der Software, beispielsweise auf Schadcode, führt Google dabei ausdrücklich nicht durch. Dennoch stellt Google den am Montag angekündigten Schritt als Sicherheitsmaßnahme dar. Umgesetzt wird er durch eine neue, verpflichtende Android Developer Console speziell für Sideloading. Kritiker vermuten einen Zusammenhang mit Bestrebungen von Behörden mehrerer Länder, die Öffnung Androids für alternative App-Stores zu erzwingen. Durch die Registrierungspflicht sichert sich Google auch bei diesen Einfluss erntet Daten.

Ab Oktober 2025 werden ausgewählte App-Entwickler das neue Prozedere für Google testen dürfen, im März 2026 sollen dann alle einsteigen können. Im September 2026 soll Sideloading anonymer Apps in Brasilien, Indonesien, Singapur und Thailand unmöglich werden. Ab 2027 folgt schrittweise der Rest der Welt.

Software-Herausgeber müssen im Zuge der Verifizierung personenbezogene Daten wie Name, Adresse, E-Mail-Adresse und Telefonnummer nachweisen, beispielsweise durch Rechnungskopien, und in vielen Ländern zusätzlich einen Lichtbildausweis hochladen. Für Menschen, die im deutschen Sprachraum leben, schreibt Google zudem vor, dass der Lichtbildausweis von einer Behörde im EWR oder der Schweiz herausgegeben sein muss. Wer das nicht hat, bleibt außen vor.

Juristische Personen müssen zusätzlich bei der Firma Dun & Bradstreet (D&B) eine sogenannte DUNS Nummer lösen. Das ist zwar gebührenfrei möglich, dauert aber bis zu 30 Tage. In manchen Ländern ist Expressbearbeitung gegen Gebühr möglich, was immer noch mehrere Werktage dauern kann.

Ein getarnter Malware-Strang aus der "Mirai"-Botnet-Familie hat die Aufmerksamkeit der IT-Forscher von Fortinet geweckt. Das Botnet nennen sie "Gayfemboy". Es greift Schwachstellen in Produkten von Cisco, DrayTek, Raisecom und TP-Link an. Die Malware hat einige interessante Eigenschaften.

Der Analyse von Fortinet zufolge stießen die Analysten im Juli auf ein Malware-Sample, das mehrere Schwachstellen missbrauchen kann. Die "Gayfemboy"-Kampagne ist in mehreren Ländern aktiv – Brasilien, Deutschland, Frankreich, Israel, Mexiko, der Schweiz, USA und Vietnam. Die attackierten Branchen umfassen etwa verarbeitende Industrie, Technologie, Baugewerbe, Medien und Kommunikation. Von den kontaktierten Adressen konnten sie bösartige Downloader-Skripte, Gayfemboy-Malware sowie XMRig-Coin-Miner herunterladen. Die Downloader-Skripte enthalten Hersteller- und Produktnamen wie "asus", "vivo", "zyxel" oder "realtek", die diese dann auch als Parameter in Anfragen nutzen.

Das untersuchte Sample war mit dem UPX-Packer gepackt, dessen Header "UPX!" jedoch durch nicht-druckbare Zeichen in Hexadezimalcode "10 F0 00 00" ersetzt wurde – das soll die einfache Entdeckung verhindern. Nach der Ausführung untersucht die Malware die Pfade jedes Prozesses in "/proc/[PID]/exe", um Informationen zu laufenden Prozessen und deren Orte im Dateisystem herauszufinden. Dort sucht die Malware nach bestimmten Schlüsselworten, die mit anderer Malware in Verbindung stehen – und beendet die Prozesse, um konkurrierende Infektionen zu entfernen.

Vier Hauptfunktionen hat Gayfemboy: Monitor, Watchdog, Attacker und Killer. Monitor überwacht Threads und Prozesse. Es lässt 47 Strings zu Befehlen in den Speicher und scannt alle Einträge in "/proc/[PID]/cmdline". Sofern eine Übereinstimmung vorliegt, beendet es den zugehörigen Prozess. Zu diesen Befehlen gehören etwa "ls -l", "reboot", "wget" und viele weitere. Monitor dient dem Selbsterhalt und der Sandbox-Erkennung. Wenn Gayfemboy erkennt, dass der Malware-Prozess beendet wurde, startet er ihn neu. Durch ein Delay von 50 Nanosekunden erkennt die Malware eine Sandbox – die kann mit so einem feingranuliertem Delay nicht umgehen, wodurch die aufgerufene Funktion fehlschlägt und die Malware das Ergebnis "fehlinterpretiert" und einen 27-stündigen Schlaf des Schädlings aktiviert.

Die Watchdog-Funktion registriert den UDP-Port 47272. Schlägt das fehl, nimmt die Malware an, dass eine andere Instanz des Watchdogs bereits läuft. Dann verbindet sie den Port auf localhost (127.0.0.1:47272) und sendet ein Paket mit der Angabe des Zeitstempels und der PID. Sendet die Malware diese Nachricht mehr als neunmal, ohne eine Antwort zu erhalten, schließt sie darauf, dass die Malware nicht mehr reagiert oder kompromittiert wurde und beendet sich selbst.

Ein von der Sicherheitsfirma Socket entdecktes Go-Modul führt zufällige Angriffe auf SSH-Ports durch, meldet einen Erfolg aber nicht nur dem aktuellen Nutzer, sondern auch dem Autor des Tools per Telegram. Weil die Telegram-API HTTPS verwendet, täuscht sie Sicherheitssysteme, da es sich beim Bot-Traffic um gewöhnliche Web-Requests handelt.

Das schädliche Go-Modul nennt sich golang-random-ip-ssh-bruteforce und lässt sich auf einen Cyberangreifer zurückverfolgen, der auf GitHub und im Go-Module-Ökosystem unter dem Namen IllDieAnyway zu finden ist. Seine GitHub-Seite hostete neben dem Go-Schädling weitere Tools wie einen Port-Scanner und einen Brute Forcer für das Datenbankwerkzeug phpMyAdmin – ebenfalls mit Backdoor. Mittlerweile sind die Webseiten von IllDieAnyway auf GitHub und Go-Module nicht mehr verfügbar.

golang-random-ip-ssh-bruteforce generiert kontinuierlich zufällige IPv4-Adressen und scannt damit parallel TCP-Port 22 auf ungeschützte SSH-Dienste. Dabei nutzt es HostKeyCallback: ssh.InsecureIgnoreHostKey(), um serverseitige Identitätschecks zu umgehen. Bei einem Treffer versucht der Schädling, eine Authentifizierung mit einer einfachen, lokalen Benutzername-Passwort-Liste durchzuführen. Nach einer erfolgreichen Anmeldung übermittelt golang-random-ip-ssh-bruteforce die IP-Adresse des Rechners und die Zugangsdaten an einen im Quellcode hartkodierten Telegram-Bot und meldet dem Nutzer den Erfolg. Anschließend beendet es sich selbst, um gegenüber dem Angriffspunkt möglichst verdeckt zu bleiben.

Socket hat einen Ausschnitt des Codes veröffentlicht und kommentiert:

Nach erfolgreicher Übermittlung der abgegriffenen Daten antwortet die Telegram-API mit "ok": true für eine gültige message_id für den Chat 1159678884. Der hartcodierte Austrittspunkt lautet:

Die Software cPanel dient zur Verwaltung von Konten und Webseiten bei Webhostern. Die Entwickler haben mehrere aktualisierte Fassungen veröffentlicht, die Sicherheitslücken darin schließen.

Die Sicherheitslücken stecken in Drittanbieter-Software, die cPanel und WHM mitbringen. Das Changelog zur Version 130.0.5 nennt etwa die Sicherheitslücke CVE-2024-38999, eine sogenannte Prototype-Pollution-Schwachstelle in jrburke requirejs 2.3.6. Sie erlaubt das Einschleusen und Ausführen von Schadcode oder Denial-of-Service-Attacken. Eine Einordnung des Schweregrads fehlt dem Schwachstelleneintrag jedoch.

Die cPanel-Zweige 130, 128, 126, 118 und 110 bringen außerdem eine fehlerhafte SQLite-Version mit. Eine Sicherheitslücke darin vor Version 3.50.2 kann dazu führen, dass die Anzahl der aggregierten Begriffe die Anzahl der verfügbaren Spalten übersteigt, was in unkontrollierte Speicherzugriffe mündet (CVE-2025-6965 / EUVD-2025-21441. CVSS 7.2, Risiko "hoch").

Um die Sicherheitslücken zu schließen, stellt der Hersteller die Versionen cPanel und WHM 130.0.5/6, 128.0.18, 126.0.28, 118.0.53 sowie 110.0.71 zum Herunterladen bereit. IT-Verantwortliche sollten sie zeitnah installieren, damit bösartige Akteure die dadurch ausgebesserten Schwachstellen nicht missbrauchen können.

Für die einzelnen Entwicklungszweige haben die Programmierer je ein eigenes Changelog veröffentlicht. Sie datieren auf den Donnerstag der vergangenen Woche:

IBMs Entwickler haben in QRadar SIEM zwei Schwachstellen geschlossen, über die Angreifer Systeme attackieren können. Bislang gibt es keine Hinweise auf bereits laufende Attacken.

Weil ein falsch konfigurierter Cronjob mit eigentlich unnötigen Berechtigungen ausgeführt wird, können sich Angreifer auf einem nicht näher beschriebenen Weg höhere Nutzerrechte verschaffen (CVE-2025-33120 "hoch").

Im zweiten Fall im Kontext des IBM QRadar SIEM Dashboards können Zugangsdaten leaken (CVE-2025-36042 "mittel").

Die IBM-Entwickler geben in einer Warnmeldung an, dass die Ausgaben 7.5 bis einschließlich 7.5.0 UP13 bedroht sind. Die Versionen IBM QRadar SIEM 7.5.0 UP13 IF01 und IBM QRadar Incident Forensics UP13 IF01.

Zuletzt haben die IBM-Entwickler die IT-Verwaltungssoftware Tivoli Monitoring vor möglichen Attacken gerüstet.

Das Landeskriminalamt Niedersachsen warnt vor einer kreativen und überzeugend aufgemachten Phishing-Masche. Die fängt mit gefälschter Post vom Anwalt an, die eine Gutschrift nach einem angeblichen Krypto-Werte-Betrug verspricht.

Auf dem Portal Polizei-Praevention.de des LKA Niedersachsens gehen die Beamten in die Details des Angriffs auf arglose Empfänger der Briefe. Demnach erhalten die potenziellen Opfer ein Schreiben, in dem eine (falsche) Anwaltskanzlei angibt, dass den Empfängern eine Schadenswiedergutmachung in Höhe von 50.000 Euro zustünden. Für das dafür eingerichtete Konto müssten diese sich lediglich noch legitimieren. Das LKA weist darauf hin, dass sowohl die Anwaltskanzlei als auch die im Anschreiben genannten Finanzdienstleister gefälscht sind.

Die erste Seite des gefälschten Anwaltsschreibens – das wirkt sehr authentisch.

(Bild: LKA Niedersachsen / polizei-praevention.de)

Die Masche wirkt glaubwürdig, da derzeit vermehrter Krypto-Betrug tatsächlich stattfindet. Etwa aus Call-Centern heraus finden systematisch Beutezüge statt, Europol hat davon bereits einige gefunden und schließen können. Bundesweit gibt es viele Geschädigte, die große Summen in angeblich sichere Systeme investiert haben, dabei jedoch betrogen wurden, erörtert das LKA aus Hannover.

In einer von Interpol koordinierten Aktion haben Strafverfolgungsbehörden von 18 afrikanischen Staaten fast 12.000 Netzwerke von Cyberkriminellen zerschlagen, insgesamt 1209 Personen festgenommen und fast 100 Millionen US-Dollar sichergestellt. Das hat die internationale Polizeibehörde mitgeteilt und erklärt, dass die Operation vom Juni bis August gedauert hat. Dabei sei es um die Verantwortlichen für "schwerwiegende und folgenschwere Cyberkriminalität" gegangen, beispielsweise mit Ransomware, Online-Betrug und betrügerischen E-Mails an Unternehmen. Das Vorgehen lief unter dem Namen "Operation Serengeti 2.0" und folgte der gleichnamigen Aktion vom Herbst des vergangenen Jahres.

Obwohl es sich um eine der ältesten Betrugsformen im Internet handelt, würden Scams um angebliche Erbschaften weiterhin erhebliche Gewinne einbringen, erläutert die Polizeiorganisation. In der Elfenbeinküste sei ein darauf spezialisiertes Netzwerk ausgehoben worden, das sich auf Deutschland spezialisiert habe. Es seien Hauptverdächtige festgenommen und Vermögenswerte in Form von Elektronikgeräten, Schmuck, Bargeld, Fahrzeugen und Dokumenten sichergestellt worden. Die Opfer wurden demnach dazu verleitet, Gebühren für die Inanspruchnahme falscher Erbschaften zu bezahlen. Die Verluste belaufen sich demnach auf schätzungsweise 1,6 Millionen US-Dollar.

Daten zur Operation

(Bild: Interpol)

Wie Interpol beispielhaft weiter ausführt, wurden in Angola 25 Cryptomining-Operationen ausgehoben, in denen 60 chinesische Staatsangehörige illegal Blockchain-Transaktionen validiert hätten, um Kryptowährung zu generieren. Zudem seien 45 illegale Stromquellen und Mining-Equipment im Wert von mehr als 37 Millionen US-Dollar konfisziert worden. Die Generatoren sollen nun in unterversorgten Gebieten der Stromerzeugung dienen.

Das Bundesamt für Sicherheit in der Informationstechnik (BSI) und Anbieter von E-Mail-Diensten melden erste Erfolge bei einer gemeinsamen Aktion für mehr E-Mail-Sicherheit. Vor allem zwei technische Richtlinien des BSI sollen für eine bessere Absicherung sorgen, ohne dass die Endnutzer selbst etwas tun müssten.

Auch über 40 Jahre nach der ersten E-Mail in Deutschland ist Mail "nach wie vor der wichtigste Kanal", sagte BSI-Chefin Claudia Plattner am Freitag in Berlin. "Es ist aber leider auch das wichtigste Einfallstor für Cyberangriffe."

Von Phishing über Fake News bis hin zu Sabotageaktionen spiele E-Mail eine wichtige Rolle, sagte die BSI-Präsidentin. Die in vielen Organisationen gelebte Sensibilisierung der Nutzer sei zwar wichtig, allein aber nicht ausreichend. Genau da setze die Kampagne des BSI zur Erhöhung der E-Mail-Sicherheit an.

Deren Zwischenstand präsentierte Plattner am Freitag zusammen mit den Branchenverbänden und Bitkom. Für den Eco betont Norbert Pohlmann die Relevanz von E-Mail. Trotz aller Alternativen von Slack über Teams und Messenger sei Mail nach wie vor das Mittel der Wahl, da sie ein globaler Akteur ohne dominierende Akteure sei.

Doch bei der Sicherheit sieht Pohlmann viel Luft nach oben: "Wir haben ein echtes Problem mit unserer E-Mail-Infrastruktur." Pohlmann, der auch Inhaber einer Professur für IT-Sicherheit ist, sieht dabei auch die Unternehmen in der Pflicht, deutlich mehr zu tun.

Die PC-Reinigungssoftware Microsoft PC Manager ist in hiesigen Breitengraden noch gar nicht offiziell verfügbar, weist aber bereits eine kritische Sicherheitslücke auf. Die will Microsoft jedoch bereits geschlossen haben.

Die Rechner-Optimierungssoftware von Microsoft verspricht einfachen Zugriff auf Betriebssystemfunktionen zum Aufräumen und Optimieren des Rechners – und einige weitere Reinigungsfunktionen, die anders als kommerziell erhältliche Optimierungswerkzeuge den Betrieb von Windows und der Software nicht negativ beeinflussen sollen. Jetzt hat Microsoft jedoch eine Sicherheitsmitteilung veröffentlicht, die diese Annahme etwas trübt.

"Unzureichende Autorisierung in Microsoft PC Manager ermöglicht nicht autorisierten Angreifern, ihre Rechte über das Netzwerk zu erhöhen", schreiben die Entwickler so knapp wie kryptisch. Es bleibt vollkommen unklar, an welcher Stelle diese Autorisierung stattfindet (oder eben nicht) und wie der Missbrauch aussehen könnte – es lässt sich daher auch nicht ableiten, wie sich das erkennen lassen würde (CVE-2025-53795 / EUVD-2025-25500, CVSS 9.1, Risiko "kritisch").

Microsoft gibt keine Anweisungen, wie Betroffene sich vor der Lücke schützen können. Zur Begründung schreibt das Unternehmen: "Die Schwachstelle wurde bereits vollständig von Microsoft beseitigt. Nutzer dieses Dienstes müssen keine Maßnahmen ergreifen. Diese Mitteilung dient lediglich der Transparenz".

Es bleibt damit unklar, welche Versionen betroffen sind. Ein Link auf ein Dokument mit Bezug auf Schwachstelleneinträge zu Cloud-Diensten deutet jedoch an, dass es sich um eine Funktion handelt, die Microsoft serverseitig korrigieren konnte.