End-of-Day report
Timeframe: Dienstag 24-06-2025 18:00 - Mittwoch 25-06-2025 18:00
Handler: Michael Schlagenhaufer
Co-Handler: n/a
News
Sonicwall warnt vor mit Schadcode verseuchter Fake-NetExtender-App
Derzeit ist eine von Cyberkriminellen manipulierte Ausgabe der VPN-Anwendung NetExtender in Umlauf. [..] Um zu erkennen, ob man die Fake-Version installiert hat, muss man die Eigenschaften der ausführbaren NetExtender-Datei öffnen und die "Digitale Signatur" prüfen. Steht dort "CITYLIGHT MEDIA PRIVATE LIMITED", handelt es sich um die verseuchte Version und Admins sollten sie umgehend löschen.
https://www.heise.de/news/Sonicwall-warnt-vor-mit-Schadcode-verseuchter-Fake-NetExtender-App-10458782.html
Microsoft: Update-Verlängerung für Windows 10 für Privatkunden konkretisiert
Microsoft hatte Support-Verlängerung für Windows-10-Privatkunden angekündigt. Jetzt gibt es Infos dazu - es geht sogar kostenlos. [..] Ob die Windows-Backup-Option wirklich als kostenlos gelten kann, hängt stark davon ab, wie viele Daten Microsoft auf den Cloud-Speicher schiebt. [..] Hier zahlen Interessierte mit ihren Daten.
https://heise.de/-10458519
Citrix Bleed Teil 2: Schwachstelle CVE-2025-5777 weitet sich aus
Zum 23. Juni 2025 gab es wohl eine Aktualisierung der Beschreibung zu CVE-2025-5777. Hieß es zum 17. Juni 2025 noch, dass man das "Netscaler Management Interface" wegen der Schwachstelle nicht dem Internet aussetzen sollte. Der Verweis auf das Netscaler Management Interface ist zum 23. Juni 2025 entfallen (lässt sich unter CVE-2025-5777 nachschlagen, wenn man am Seitenende unter "Change History" auf den Link "show changes" klickt.
https://www.borncity.com/blog/2025/06/25/citrix-bleed-teil-2-schwachstelle-cve-2025-5777-weitet-sich-aus/
Surge in MOVEit Transfer Scanning Could Signal Emerging Threat Activity
GreyNoise has identified a notable surge in scanning activity targeting MOVEit Transfer systems, beginning on May 27, 2025.
https://www.greynoise.io/blog/surge-moveit-transfer-scanning-activity
Dire Wolf Strikes: New Ransomware Group Targeting Global Sectors
Dire Wolf is a newly emerged ransomware group first observed in May 2025 and Trustwave SpiderLabs recently uncovered a Dire Wolf ransomware sample that revealed for the first time key details about how the ransomware operates.
https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/dire-wolf-strikes-new-ransomware-group-targeting-global-sectors/
Cybercriminal abuse of large language models
Cybercriminals are increasingly gravitating towards uncensored LLMs, cybercriminal-designed LLMs and jailbreaking legitimate LLMs. [..] As AI technology continues to develop, Cisco Talos expects cybercriminals to continue adopting LLMs to help streamline their processes, write tools/scripts that can be used to compromise users and generate content that can more easily bypass defenses. This new technology doesn-t necessarily arm cybercriminals with completely novel cyber weapons, but it does act as a force multiplier, enhancing and improving familiar attacks.
https://blog.talosintelligence.com/cybercriminal-abuse-of-large-language-models/
What LLMs Know About Their Users
Simon Willison talks about ChatGPT-s new memory dossier feature. In his explanation, he illustrates how much the LLM-and the company-knows about its users.
https://www.schneier.com/blog/archives/2025/06/what-llms-know-about-their-users.html
Kleine Figuren, großer Hype: Kriminelle locken vermehrt in Labubu Fake-Shops
Ihr weltweiter Siegeszug ruft immer mehr Betrüger:innen auf den Plan. Die Rede ist von Labubu Figuren. Fake-Shops locken mit vermeintlichen Schnäppchen, dienen den Kriminellen in Wahrheit aber nur als Vehikel, um sensible Daten ihrer Opfer abzugreifen und ihnen das Geld aus der Tasche zu ziehen.
https://www.watchlist-internet.at/news/labubu-fake-shops/
Post-Quantum Cryptography Implementation Enterprise-Readiness Analysis
Explore how enterprises are adopting post-quantum cryptography (PQC) using OpenSSL 3.5, hybrid TLS, and NIST-approved algorithms like Kyber and Dilithium. Learn about PQC implementation strategies, compliance timelines, tooling, and real-world deployments by Microsoft, Meta, Red Hat, and others preparing for quantum-safe encryption.
https://www.darknet.org.uk/2025/06/post-quantum-cryptography-implementation-enterprise-readiness-analysis/
The Anatomy of a Business Email Compromise Attack
BEC attacks almost always start with an Email Account Compromise (EAC) - in other words, an attacker gets control of someone-s email inbox.
https://www.truesec.com/hub/blog/the-anatomy-of-a-business-email-compromise-attack
Vulnerabilities
Admin-Attacken auf HPE OneView für VMware vCenter möglich
Die in einer Warnmeldung aufgeführte Schwachstelle (CVE-2025-37101 "hoch") kann Angreifer mit Leserechten dazu befähigen, Befehle als Admins auszuführen. Wie ein solcher Angriff im Detail ablaufen könnte und ob Angreifer die Lücke bereits ausnutzen, ist derzeit nicht bekannt.
https://www.heise.de/news/Admin-Attacken-auf-HPE-OneView-fuer-VMware-vCenter-moeglich-10458873.html
Security updates for Wednesday
Security updates have been issued by Debian (commons-beanutils, dcmtk, nginx, trafficserver, and xorg-server), Fedora (atuin, awatcher, dotnet8.0, firefox, glibc, gotify-desktop, keylime-agent-rust, libtpms, mirrorlist-server, qt6-qtbase, qt6-qtimageformats, udisks2, xorg-x11-server, and xorg-x11-server-Xwayland), Mageia (apache-mod_security, clamav, docker, python-django, tomcat, udisks2, and yarnpkg), Oracle (firefox, libblockdev, mod_auth_openidc, perl-FCGI, perl-YAML-LibYAML, tigervnc, and xorg-x11-server and xorg-x11-server-Xwayland), Slackware (libssh and mozilla), SUSE (gimp, gstreamer-plugins-good, icu, ignition, kernel, pam-config, perl-File-Find-Rule, python311, and webkit2gtk3), and Ubuntu (linux, linux-aws, linux-aws-6.8, linux-gke, linux-gkeop, linux-ibm, linux-lowlatency, linux-lowlatency-hwe-6.8, linux-nvidia, linux-nvidia-6.8, linux-nvidia-lowlatency, linux-oem-6.8, linux, linux-gcp, linux-raspi, linux-realtime, linux-aws, linux-azure, linux-azure, linux-azure-6.8, linux-azure-5.15, linux-azure-fips, and linux-realtime).
https://lwn.net/Articles/1026848/
TeamViewer: Incorrect Permission Assignment for Critical Resource in TeamViewer Remote Management
Incorrect Permission Assignment for Critical Resource in the TeamViewer Client (Full and Host) of TeamViewer Remote and Tensor prior Version 15.67 (and additional versions listed below) on Windows allows a local unprivileged user to trigger arbitrary file deletion with SYSTEM privileges via leveraging the MSI rollback mechanism. To exploit this vulnerability, an attacker needs local access to the Windows system. CVE-2025-36537
https://www.teamviewer.com/de/resources/trust-center/security-bulletins/tv-2025-1002/
Parsons AccuWeather Widget
https://www.cisa.gov/news-events/ics-advisories/icsa-25-175-06
Kaleris Navis N4 Terminal Operating System
https://www.cisa.gov/news-events/ics-advisories/icsa-25-175-01
Delta Electronics CNCSoft
https://www.cisa.gov/news-events/ics-advisories/icsa-25-175-02
MICROSENS NMP Web+
https://www.cisa.gov/news-events/ics-advisories/icsa-25-175-07
ControlID iDSecure On-Premises
https://www.cisa.gov/news-events/ics-advisories/icsa-25-175-05
f5: K000152048: Dnsmasq vulnerability CVE-2019-14834
https://my.f5.com/manage/s/article/K000152048