End-of-Day report
Timeframe: Dienstag 06-05-2025 18:00 - Mittwoch 07-05-2025 18:00
Handler: Alexander Riepl
Co-Handler: n/a
News
Samsung MagicINFO 9 Server RCE flaw now exploited in attacks
Hackers are exploiting an unauthenticated remote code execution (RCE) vulnerability in the Samsung MagicINFO 9 Server to hijack devices and deploy malware.
https://www.bleepingcomputer.com/news/security/samsung-magicinfo-9-server-rce-flaw-now-exploited-in-attacks/
Apache Parquet exploit tool detect servers vulnerable to critical flaw
A proof-of-concept exploit tool has been publicly released for a maximum severity Apache Parquet vulnerability, tracked as CVE-2025-30065, making it easy to find vulnerable servers.
https://www.bleepingcomputer.com/news/security/apache-parquet-exploit-tool-detect-servers-vulnerable-to-critical-flaw/
Millionenstrafe für Firma nach WhatsApp-Hack
Die NSO Group aus Israel hatte einen Bug in WhatsApp genutzt, um Spyware zu installieren. Meta klagte und gewann.
https://futurezone.at/digital-life/meta-whatsapp-nso-group-spionagesoftware-strafe-sebastian-kurz-shalev-hulio/403038736
Zero Day: Windows-Lücke von mindestens zwei Hackergruppen ausgenutzt
Mindestens zwei Cyberbanden haben sich einer Schwachstelle im CLFS-Treiber von Windows bedient, bevor Microsoft einen Patch ausliefern konnte.
https://www.golem.de/news/zero-day-windows-luecke-von-mindestens-zwei-hackergruppen-ausgenutzt-2505-195988.html
State of ransomware in 2025
Kaspersky researchers review ransomware trends for 2024, analyze the most active groups and forecast how this threat will evolve in 2025.
https://securelist.com/state-of-ransomware-in-2025/116475/
Lights Out and Stalled Factories: Using M.A.T.R.I.X to Learn About Modbus Vulnerabilities
Let-s explore the critical role of Modbus in energy and manufacturing systems, then demonstrate real-world exploitation techniques using Docker-based simulations and the custom-built Python tool M.A.T.R.I.X.
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/lights-out-and-stalled-factories-using-matrix-to-learn-about-modbus-vulnerabilities/
Backupsoftware Commvault: Weitere Lücke angegriffen, Patch offenbar unwirksam
Zum Wochenende wurden Angriffe auf eine weitere Commvault-Sicherheitslücke bekannt. Das Update zum Abdichten wirkt wohl nicht.
https://www.heise.de/news/Backupsoftware-Commvault-Weitere-Luecke-angegriffen-Patch-offenbar-unwirksam-10374380.html
Wegen Sicherheitslücken: LibreOffice rät von OpenOffice ab
Die Entwickler von LibreOffice raten vom Konkurrenten OpenOffice ab. Die Apache-Software enthalte Sicherheitslücken und werde nicht weiterentwickelt.
https://www.heise.de/news/Wegen-Sicherheitsluecken-LibreOffice-raet-von-OpenOffice-ab-10374548.html
NIS2 nicht umgesetzt: EU-Strafe für Deutschland rückt einen Schritt näher
Die EU-Kommission hat die zweite Stufe des Vertragsverletzungsverfahren gegen Deutschland eingeleitet, weil es die NIS2-Richtlinie noch nicht umgesetzt hat.
https://www.heise.de/news/NIS2-nicht-umgesetzt-EU-Strafe-fuer-Deutschland-rueckt-einen-Schritt-naeher-10375456.html
Exploiting Copilot AI for SharePoint
TL;DR AI Assistants are becoming far more common Copilot for SharePoint is Microsoft-s answer to generative AI assistance on SharePoint Attackers will look to exploit anything they can get their ..
https://www.pentestpartners.com/security-blog/exploiting-copilot-ai-for-sharepoint/
Meta lässt sich sechs Wochen Zeit, bis Betrug entfernt wird
Postings über Kryptoscams oder betrügerische Influencer-Aktionen bleiben auf Facebook und Instagram am längsten von allen online
https://www.derstandard.at/story/3000000268532/meta-laesst-sich-sechs-wochen-zeit-bis-betrug-entfernt-wird
Ransomware Attackers Leveraged Privilege Escalation Zero-day
Exploit used by Play-linked attackers targets the CVE-2025-29824 zero-day vulnerability patched on April 8.
https://www.security.com/threat-intelligence/play-ransomware-zero-day
Unsophisticated Cyber Actor(s) Targeting Operational Technology
CISA is increasingly aware of unsophisticated cyber actor(s) targeting ICS/SCADA systems within U.S. critical Infrastructure sectors (Oil and Natural Gas), specifically in Energy and Transportation Systems. Although these activities often include basic and elementary intrusion techniques, the presence of poor cyber hygiene and exposed assets can escalate ..
https://www.cisa.gov/news-events/alerts/2025/05/06/unsophisticated-cyber-actors-targeting-operational-technology
Poland arrests four in global DDoS-for-hire takedown
The suspects allegedly operated six platforms that offered distributed denial-of-service attacks for as little as 10 euros.
https://therecord.media/poland-arrests-four-ddos-hire
Achtung bei iVentoy, es werden obskure Zertifikate und Treiber installiert
Kurze Warnung an Leute aus der Blog-Leserschaft, die das Tool iVentoy zur Verteilung von Betriebssystem-Images über ein Netzwerk und einen PXE-Server einsetzen. Es gibt aktuell eine Diskussion, dass das Tool ..
https://www.borncity.com/blog/2025/05/07/achtung-bei-iventoy-es-werden-obskure-zertifikate-und-treiber-installiert/
ClickFix Scam: How to Protect Your Business Against This Evolving Threat
Cybercriminals aren-t always loud and obvious. Sometimes, they play it quiet and smart. One of the tricks of ..
https://hackread.com/clickfix-scam-how-to-protect-business-againt-threat/
COLDRIVER Using New Malware To Steal Documents >From Western Targets and NGOs
Google Threat Intelligence Group (GTIG) has identified a new piece of malware called LOSTKEYS, attributed to the Russian government-backed threat group COLDRIVER (also known as UNC4057, Star Blizzard, and Callisto). LOSTKEYS is capable of stealing files from a hard-coded list of extensions and directories, along with sending system ..
https://cloud.google.com/blog/topics/threat-intelligence/coldriver-steal-documents-western-targets-ngos/
Vulnerabilities
Honeywell MB Secure Authenticated Command Injection
https://sec-consult.com/de/vulnerability-lab/advisory/authenticated-command-injection/
Langflow Missing Authentication Vulnerability
https://fortiguard.fortinet.com/threat-signal-report/6085