Willkommen zu Ihrem täglichen Cybersicherheits-Podcast.

Wir beginnen diese Ausgabe mit mehreren Sicherheitshinweisen des CERT-FR zu kritischen Schwachstellen, die zentrale Komponenten des Linux-Ökosystems und von Unternehmensumgebungen betreffen. Die Hinweise betreffen insbesondere Ubuntu, Red Hat und IBM-Produkte, die Schwachstellen aufweisen, welche eine Rechteausweitung, die Ausführung von beliebigem Code oder die Verletzung der Vertraulichkeit ermöglichen können. Diese Schwachstellen betreffen weit verbreitete Komponenten in Server- und Cloud-Infrastrukturen und unterstreichen die Bedeutung eines konsequenten Patch-Managements in kritischen Umgebungen.

Anschließend analysieren wir eine Schwachstelle im Roundcube-Webmail, referenziert als CVE-2025-68461. Diese Schwachstelle ermöglicht es einem entfernten Angreifer, Eingabeverarbeitungsmechanismen auszunutzen, um Sitzungssicherheit zu kompromittieren oder Schadcode im Kontext des betroffenen Benutzers auszuführen. Aufgrund der weiten Verbreitung von Roundcube stellt diese Schwachstelle ein erhebliches Risiko für öffentlich erreichbare Organisationen dar.

Abschließend betrachten wir eine von Microsoft behobene Sicherheitslücke mit der Kennung CVE-2025-13699. Diese Schwachstelle betrifft eine Windows-Systemkomponente und kann zur Umgehung von Sicherheitsmechanismen oder zur Erlangung erhöhter Privilegien ausgenutzt werden. Microsoft hat entsprechende Updates bereitgestellt und empfiehlt deren zeitnahe Installation.

Quellen

• CERT-FR – Ubuntu-Schwachstellen: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1139/
• CERT-FR – Red Hat-Schwachstellen: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1141/
• CERT-FR – IBM-Produktschwachstellen: https://www.cert.ssi.gouv.fr/avis/CERTFR-2025-AVI-1137/
• Roundcube-Schwachstelle – CVE-2025-68461: https://cyberveille.esante.gouv.fr/alertes/roundcube-cve-2025-68461-2025-12-26
• Microsoft – CVE-2025-13699: https://msrc.microsoft.com/update-guide/vulnerability/CVE-2025-13699

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersicherheits-Podcast.

Wir beginnen diese Ausgabe mit einem Fall, der Cyberkriminalität und Nachrichtendienste in Osteuropa verbindet. In Georgien wurde der ehemalige Leiter der Gegenspionage im Rahmen einer Untersuchung zu groß angelegten Betrugszentren festgenommen. Die Behörden gehen davon aus, dass er strukturierte Betrugsoperationen mit internationalen Opfern unterstützt oder geschützt hat und verdeutlichen damit erneut die enge Verbindung zwischen organisierter Kriminalität, Korruption und Cyberbetrug.

Anschließend analysieren wir eine Phishing-Kampagne, die sich über gefälschte E-Mails im Namen von Grubhub an Nutzer von Kryptowährungen richtet. Die Nachrichten versprechen eine Verzehnfachung der eingesendeten Kryptowährung. Die Gelder werden unmittelbar an von Angreifern kontrollierte Wallets weitergeleitet, ohne Möglichkeit der Rückholung, was eine klassische, aber weiterhin effektive Social-Engineering-Methode zeigt.

Zum Abschluss betrachten wir eine Operation der China-nahen Gruppe Evasive Panda, die Spionageaktivitäten über eine manipulierte DNS-Infrastruktur durchgeführt hat. Dabei kamen fortgeschrittene DNS- und Traffic-Redirection-Techniken zum Einsatz, um unauffällige Schadlasten auszuliefern und mehrere Erkennungsmechanismen zu umgehen. Die Kampagne verdeutlicht die kontinuierliche Weiterentwicklung von APT-Taktiken im staatlichen Cyberespionageumfeld.

Quellen

• Festnahme in Georgien – Betrugszentren:https://therecord.media/republic-of-georgia-former-spy-chief-arrested-scam-centers
• Krypto-Phishing – gefälschte Grubhub-E-Mails:https://www.bleepingcomputer.com/news/security/fake-grubhub-emails-promise-tenfold-return-on-sent-cryptocurrency/
• APT Evasive Panda – missbrauchte DNS-Infrastruktur:https://thehackernews.com/2025/12/china-linked-evasive-panda-ran-dns.html

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersecurity-Podcast.

Wir beginnen diese Ausgabe mit einer geopolitischen Analyse, die eine neue Phase der transatlantischen Spannungen im Bereich der digitalen Regulierung markiert. Die Vereinigten Staaten haben Visabeschränkungen gegen mehrere europäische Akteure der Tech-Regulierung verhängt, darunter Thierry Breton, ehemaliger EU-Kommissar. Die US-Regierung begründet dies mit Vorwürfen extraterritorialer Zensur im Zusammenhang mit der Durchsetzung des Digital Services Act. Die Europäische Union verurteilte die Maßnahme und forderte formelle Erklärungen unter Verweis auf ihre regulatorische Souveränität.

Anschließend analysieren wir CVE-2018-25154, eine kritische Buffer-Overflow-Schwachstelle in GNU Barcode Version 0.99. Die Schwachstelle im Code-93-Encoding ermöglicht beliebige Codeausführung über präparierte Eingabedateien. Der CVSS-Score 3.1 liegt kritisch bei 9.8, mit hohem Einfluss auf Vertraulichkeit, Integrität und Verfügbarkeit.

Wir betrachten außerdem CVE-2023-36525, eine nicht authentifizierte Blind SQL Injection im WordPress-Plugin WPJobBoard bis Version 5.9.0. Die Schwachstelle ist remote ausnutzbar, ohne Benutzerinteraktion oder Berechtigungen.

Im Bereich Cyberkriminalität wurde die Infrastruktur web3adspanels.org durch das FBI beschlagnahmt, die als Backend zur Speicherung kompromittierter Bankzugangsdaten aus Phishing-Kampagnen diente und für Account-Takeover-Angriffe genutzt wurde.

Danach befassen wir uns mit Urban VPN Proxy, einer kostenlosen VPN-Browsererweiterung, deren neuere Versionen KI-Plattform-Konversationen abfangen und exfiltrieren, einschließlich Prompts, Antworten und Metadaten.

Zum Abschluss behandeln wir die aktive Ausnutzung von CVE-2020-12812 auf FortiGate-Firewalls, eine weiterhin missbrauchte Schwachstelle zum Umgehen der Zwei-Faktor-Authentifizierung über LDAP-Mechanismen.

Quellen
Tech-Regulierung und Spannungen USA–EU: https://www.01net.com/actualites/pourquoi-les-etats-unis-sattaquent-a-thierry-breton-et-aux-autres-regulateurs-de-la-tech.html

CVE-2018-25154 – GNU Barcode Buffer Overflow: https://cvefeed.io/vuln/detail/CVE-2018-25154

CVE-2023-36525 – WPJobBoard Blind SQL-Injection: https://cvefeed.io/vuln/detail/CVE-2023-36525

FBI-Beschlagnahmung – web3adspanels.org: https://securityaffairs.com/186094/cyber-crime/fbi-seized-web3adspanels-org-hosting-stolen-logins.html

Datenernte bei Urban VPN Proxy: https://boingboing.net/2025/12/19/this-free-vpn-is-a-massive-security-risk.html

Ausnutzung der FortiGate 2FA-Umgehung: https://cyberpress.org/hackers-abuse-3-year-old-fortigate-flaw/

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersicherheits-Podcast.

Eine neue Initiative bringt freiwillige Cybersicherheitsexperten mit Wasserversorgern zusammen, um kritische Infrastrukturen besser gegen wachsende Bedrohungen zu schützen. Fachleute aus der DEF-CON-Franklin-Community unterstützen Versorgungsbetriebe durch Sicherheitsbewertungen, OT-Analyse und die Umsetzung angepasster Schutzmaßnahmen.

MongoDB warnt Administratoren eindringlich vor einer schwerwiegenden Remote-Code-Execution-Schwachstelle in seinem Ökosystem. Die Lücke ermöglicht nicht authentifizierten Angreifern die Ausführung beliebigen Codes auf exponierten Node.js-Servern. Öffentliche Proof-of-Concept-Exploits erhöhen das Risiko einer aktiven Ausnutzung erheblich.

Eine groß angelegte Kompromittierungskampagne mit der Malware PCPcat nutzte kritische Schwachstellen in Next.js- und React-Serverkomponenten aus. Innerhalb von 48 Stunden wurden über 59.000 Server kompromittiert, wobei Zugangsdaten, SSH-Schlüssel und Umgebungsvariablen abgegriffen wurden.

In Frankreich kam es bei La Poste und der Banque Postale infolge eines DDoS-Angriffs zu erheblichen Ausfällen. Mehrere Online-Dienste waren zeitweise nicht verfügbar, wobei laut Behörden keine Kundendaten kompromittiert wurden.

Quellen:
Cyber Volunteers / Water Utility / MSSP : https://therecord.media/cyber-volunteer-water-utility-mssp

MongoDB – Severe RCE Patch Warning : https://www.bleepingcomputer.com/news/security/mongodb-warns-admins-to-patch-severe-rce-flaw-immediately/

PCPcat – React/Next.js Servers Breach : https://thecyberexpress.com/pcpcat-react-servers-nextjs-breach/

La Poste – Outage After a Cyber Attack : https://securityaffairs.com/186064/security/la-poste-outage-after-a-cyber-attack.html

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersecurity-Podcast.

CISA hat CVE-2023-52163 aufgrund aktiver Ausnutzung bei Digiever DS-2105 Pro Videorekordern in den KEV-Katalog aufgenommen. Dieser Autorisierungsfehler ermöglicht es Angreifern, Sicherheitskontrollen zu umgehen. CISA empfiehlt allen Organisationen dringend die Einspielung von Firmware-Updates, da diese Schwachstelle ein häufiger Vektor für unbefugten Zugriff in IoT-Netzwerken ist.

Genians Security Center dokumentiert die Kampagne „Artemis“ der APT37-Gruppe gegen südkoreanische Ziele mittels bösartiger HWP-Dokumente. Die Attacke nutzt OLE-Objekte und DLL Side-Loading über das Tool VolumeId zur Installation des RoKRAT-Moduls. Die Angreifer setzen Steganographie zur Verschleierung ein und missbrauchen Yandex und pCloud für C2-Kommunikation. Die Entdeckung wird durch die Nutzung legitimer Prozesskontexte erschwert.

SoundCloud bestätigt einen Datenabfluss bei 26 Millionen Konten nach der Kompromittierung eines Dashboards. Exfiltriert wurden E-Mails und Profilinfos; Passwörter sind nicht betroffen. Nachfolgende DDoS-Angriffe und verschärfte Zugriffskontrollen führten zu VPN-Verbindungsproblemen. Die Plattform hat die Überwachungsmechanismen zur Bedrohungserkennung massiv verstärkt.

Forscher von Socket Security haben zwei bösartige Chrome-Erweiterungen namens Phantom Shuttle entdeckt, die Zugangsdaten von 170 Unternehmensdomänen wie AWS und GitHub stehlen. Die Tools nutzen PAC-Skripte und injizieren Proxy-Zugangsdaten über Web-Requests. Sensible Daten werden alle fünf Minuten im Klartext an den C2-Server phantomshuttle[.]space gesendet.

Anna’s Archive hat 300 Terabyte an Spotify-Daten veröffentlicht, darunter 86 Millionen Titel. Das Scraping erfolgte über Monate durch Stream-Ripping mittels Drittanbieter-Konten. Spotify deaktivierte die Konten und führte neue Schutzmaßnahmen gegen automatisiertes Abspielen ein. Der Vorfall unterstreicht die Risiken durch großangelegtes automatisiertes Scraping von Mediendaten.

Sources:
CISA KEV Digiever : https://www.cisa.gov/news-events/alerts/2025/12/22/cisa-adds-one-known-exploited-vulnerability-catalog
APT37 Artemis : https://www.genians.co.kr/en/blog/threat_intelligence/dll
SoundCloud Breach : https://www.theregister.com/2025/12/16/soundcloud_cyberattack_data_leak/
Chrome Phantom Shuttle : https://thehackernews.com/2025/12/two-chrome-extensions-caught-secretly.html
Spotify Scraping : https://therecord.media/spotify-disables-scraping-annas

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersicherheits-Podcast.

Die Mehrheit neu registrierter und geparkter Domains liefert inzwischen schädliche Inhalte aus. Analysen zeigen eine zunehmende Nutzung von Domain-Parking-Diensten zur Bereitstellung von Phishing-Seiten, gefälschten Software-Updates und Weiterleitungen zu Scam-Infrastrukturen. Diese Domains werden als kurzlebige Infrastruktur eingesetzt, um Reputationsmechanismen zu umgehen und Betrugs- sowie Malware-Delivery-Kampagnen zu beschleunigen.

Die iranische APT-Gruppe Infy ist mit einer neuen gezielten Kampagne wieder aktiv. Die Angriffe basieren auf Spear-Phishing mit präparierten Dokumenten und politischen sowie diplomatischen Ködern. Die Payloads enthalten aktualisierte Backdoors, Persistenzmechanismen über die Windows-Registry und verschleierte HTTP(S)-C2-Kanäle, was auf eine strukturierte operative Wiederaufnahme hindeutet.

Das NIST veröffentlicht neue Sicherheitsempfehlungen für den Einsatz von Smart Speakern in der häuslichen Telemedizin. Identifizierte Risiken umfassen das Abfangen unverschlüsselter Sprachkommunikation, die Offenlegung sensibler Gesundheitsdaten sowie die Nutzung dieser Geräte als Pivot-Punkte in Krankenhaus-Systeme. Die empfohlenen Maßnahmen fokussieren auf verschlüsselte Kommunikation, Network Segmentation und strikte Zugriffskontrollen.

Quellen:
Bösartiges Domain-Parking: https://krebsonsecurity.com/2025/12/most-parked-domains-now-serving-malicious-content/
APT Infy: https://thehackernews.com/2025/12/iranian-infy-apt-resurfaces-with-new.html
NIST Smart Speaker: https://www.nist.gov/news-events/news/2025/12/securing-smart-speakers-home-health-care-nist-offers-new-guidelines

Nicht nachdenken, patchen!

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/

Willkommen zu Ihrem täglichen Cybersicherheits-Podcast.

Amazon gibt bekannt, eine mit Nordkorea verbundene Infiltration bei einer IT-Rekrutierung identifiziert zu haben. Ein als in den USA ansässig deklarierter Systemadministrator wurde durch eine Tastenanschlag-Latenz von über 110 Millisekunden zu den Servern in Seattle erkannt, was auf interkontinentale Fernsteuerung hinweist. Die Kontrollinfrastruktur wurde bis nach China zurückverfolgt. Amazon gibt an, seit April 2024 mehr als 1.800 betrügerische Rekrutierungsversuche im Zusammenhang mit Nordkorea blockiert zu haben, mit einem vierteljährlichen Anstieg von 27 %.

Ein russischer APT-Akteur führt eine Phishing-Kampagne durch, die auf Regierungsbehörden auf dem Balkan und im Baltikum abzielt. Die Angriffe beruhen auf HTML-Anhängen, die als PDFs getarnt sind und institutionelle Köder sowie gefälschte Authentifizierungsformulare enthalten. Die Zugangsdaten werden über formcarry.com exfiltriert, mit Wiederverwendung von JavaScript-Code und Regex, die seit mindestens 2023 beobachtet wurde.

Microsoft bestätigt einen globalen Ausfall von Microsoft Teams, der das Senden und Empfangen von Nachrichten in allen Regionen und bei allen Kunden beeinträchtigt hat. Der Vorfall beginnt um 14:30 Uhr Ostküstenzeit und wird eine Stunde später vollständig behoben. Es werden keine Indikatoren für böswillige Aktivitäten mitgeteilt.

Eine Malware-Kampagne nutzt Microsoft Office-Dokumente, SVG-Dateien und komprimierte Archive aus, um Windows-Systeme zu kompromittieren. Die Angreifer nutzen CVE-2017-11882 aus, verwenden PNG-Steganographie und Process Hollowing über RegAsm.exe, um RATs und Stealer bereitzustellen, darunter AsyncRAT, Remcos und PureLog Stealer.

In den Vereinigten Staaten werden ATM-Jackpotting-Angriffe einer kriminellen Gruppe zugeschrieben, die die Ploutus-Malware über physischen Zugriff auf Geldautomaten einsetzt. Die Kompromittierung beruht auf der Modifikation oder dem Austausch der Festplatten der Geldautomaten, was die Kontrolle über das Geldausgabemodul ermöglicht. Die Verluste werden seit 2020 auf über 40 Millionen Dollar geschätzt.

Quellen:
Amazon: https://www.clubic.com/actualite-592366-amazon-infiltre-par-un-espion-nord-coreen-finalement-repere-a-cause-de-sa-frappe-clavier.html
Russischer APT: https://strikeready.com/blog/russian-apt-actor-phishes-the-baltics-and-the-balkans/
Microsoft Teams: https://www.bleepingcomputer.com/news/microsoft/microsoft-confirms-teams-is-down-and-messages-are-delayed/
SVG / Office: https://cybersecuritynews.com/hackers-weaponize-svg-files-and-office-documents/
ATM Ploutus: https://www.theregister.com/2025/12/19/tren_de_aragua_atm/

Nicht zu viel nachdenken. Patchen.

Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter: https://radiocsirtgermanedition.substack.com/