Tageszusammenfassung - 25.06.2025

End-of-Day report

Timeframe: Dienstag 24-06-2025 18:00 - Mittwoch 25-06-2025 18:00 Handler: Michael Schlagenhaufer Co-Handler: n/a

News

Sonicwall warnt vor mit Schadcode verseuchter Fake-NetExtender-App

Derzeit ist eine von Cyberkriminellen manipulierte Ausgabe der VPN-Anwendung NetExtender in Umlauf. [..] Um zu erkennen, ob man die Fake-Version installiert hat, muss man die Eigenschaften der ausführbaren NetExtender-Datei öffnen und die "Digitale Signatur" prüfen. Steht dort "CITYLIGHT MEDIA PRIVATE LIMITED", handelt es sich um die verseuchte Version und Admins sollten sie umgehend löschen.

https://www.heise.de/news/Sonicwall-warnt-vor-mit-Schadcode-verseuchter-Fake-NetExtender-App-10458782.html

Microsoft: Update-Verlängerung für Windows 10 für Privatkunden konkretisiert

Microsoft hatte Support-Verlängerung für Windows-10-Privatkunden angekündigt. Jetzt gibt es Infos dazu - es geht sogar kostenlos. [..] Ob die Windows-Backup-Option wirklich als kostenlos gelten kann, hängt stark davon ab, wie viele Daten Microsoft auf den Cloud-Speicher schiebt. [..] Hier zahlen Interessierte mit ihren Daten.

https://heise.de/-10458519

Citrix Bleed Teil 2: Schwachstelle CVE-2025-5777 weitet sich aus

Zum 23. Juni 2025 gab es wohl eine Aktualisierung der Beschreibung zu CVE-2025-5777. Hieß es zum 17. Juni 2025 noch, dass man das "Netscaler Management Interface" wegen der Schwachstelle nicht dem Internet aussetzen sollte. Der Verweis auf das Netscaler Management Interface ist zum 23. Juni 2025 entfallen (lässt sich unter CVE-2025-5777 nachschlagen, wenn man am Seitenende unter "Change History" auf den Link "show changes" klickt.

https://www.borncity.com/blog/2025/06/25/citrix-bleed-teil-2-schwachstelle-cve-2025-5777-weitet-sich-aus/

Surge in MOVEit Transfer Scanning Could Signal Emerging Threat Activity

GreyNoise has identified a notable surge in scanning activity targeting MOVEit Transfer systems, beginning on May 27, 2025.

https://www.greynoise.io/blog/surge-moveit-transfer-scanning-activity

Dire Wolf Strikes: New Ransomware Group Targeting Global Sectors

Dire Wolf is a newly emerged ransomware group first observed in May 2025 and Trustwave SpiderLabs recently uncovered a Dire Wolf ransomware sample that revealed for the first time key details about how the ransomware operates.

https://www.trustwave.com/en-us/resources/blogs/spiderlabs-blog/dire-wolf-strikes-new-ransomware-group-targeting-global-sectors/

Cybercriminal abuse of large language models

Cybercriminals are increasingly gravitating towards uncensored LLMs, cybercriminal-designed LLMs and jailbreaking legitimate LLMs. [..] As AI technology continues to develop, Cisco Talos expects cybercriminals to continue adopting LLMs to help streamline their processes, write tools/scripts that can be used to compromise users and generate content that can more easily bypass defenses. This new technology doesn-t necessarily arm cybercriminals with completely novel cyber weapons, but it does act as a force multiplier, enhancing and improving familiar attacks.

https://blog.talosintelligence.com/cybercriminal-abuse-of-large-language-models/

What LLMs Know About Their Users

Simon Willison talks about ChatGPT-s new memory dossier feature. In his explanation, he illustrates how much the LLM-and the company-knows about its users.

https://www.schneier.com/blog/archives/2025/06/what-llms-know-about-their-users.html

Kleine Figuren, großer Hype: Kriminelle locken vermehrt in Labubu Fake-Shops

Ihr weltweiter Siegeszug ruft immer mehr Betrüger:innen auf den Plan. Die Rede ist von Labubu Figuren. Fake-Shops locken mit vermeintlichen Schnäppchen, dienen den Kriminellen in Wahrheit aber nur als Vehikel, um sensible Daten ihrer Opfer abzugreifen und ihnen das Geld aus der Tasche zu ziehen.

https://www.watchlist-internet.at/news/labubu-fake-shops/

Post-Quantum Cryptography Implementation Enterprise-Readiness Analysis

Explore how enterprises are adopting post-quantum cryptography (PQC) using OpenSSL 3.5, hybrid TLS, and NIST-approved algorithms like Kyber and Dilithium. Learn about PQC implementation strategies, compliance timelines, tooling, and real-world deployments by Microsoft, Meta, Red Hat, and others preparing for quantum-safe encryption.

https://www.darknet.org.uk/2025/06/post-quantum-cryptography-implementation-enterprise-readiness-analysis/

The Anatomy of a Business Email Compromise Attack

BEC attacks almost always start with an Email Account Compromise (EAC) - in other words, an attacker gets control of someone-s email inbox.

https://www.truesec.com/hub/blog/the-anatomy-of-a-business-email-compromise-attack

Vulnerabilities

Admin-Attacken auf HPE OneView für VMware vCenter möglich

Die in einer Warnmeldung aufgeführte Schwachstelle (CVE-2025-37101 "hoch") kann Angreifer mit Leserechten dazu befähigen, Befehle als Admins auszuführen. Wie ein solcher Angriff im Detail ablaufen könnte und ob Angreifer die Lücke bereits ausnutzen, ist derzeit nicht bekannt.

https://www.heise.de/news/Admin-Attacken-auf-HPE-OneView-fuer-VMware-vCenter-moeglich-10458873.html

Security updates for Wednesday

Security updates have been issued by Debian (commons-beanutils, dcmtk, nginx, trafficserver, and xorg-server), Fedora (atuin, awatcher, dotnet8.0, firefox, glibc, gotify-desktop, keylime-agent-rust, libtpms, mirrorlist-server, qt6-qtbase, qt6-qtimageformats, udisks2, xorg-x11-server, and xorg-x11-server-Xwayland), Mageia (apache-mod_security, clamav, docker, python-django, tomcat, udisks2, and yarnpkg), Oracle (firefox, libblockdev, mod_auth_openidc, perl-FCGI, perl-YAML-LibYAML, tigervnc, and xorg-x11-server and xorg-x11-server-Xwayland), Slackware (libssh and mozilla), SUSE (gimp, gstreamer-plugins-good, icu, ignition, kernel, pam-config, perl-File-Find-Rule, python311, and webkit2gtk3), and Ubuntu (linux, linux-aws, linux-aws-6.8, linux-gke, linux-gkeop, linux-ibm, linux-lowlatency, linux-lowlatency-hwe-6.8, linux-nvidia, linux-nvidia-6.8, linux-nvidia-lowlatency, linux-oem-6.8, linux, linux-gcp, linux-raspi, linux-realtime, linux-aws, linux-azure, linux-azure, linux-azure-6.8, linux-azure-5.15, linux-azure-fips, and linux-realtime).

https://lwn.net/Articles/1026848/

TeamViewer: Incorrect Permission Assignment for Critical Resource in TeamViewer Remote Management

Incorrect Permission Assignment for Critical Resource in the TeamViewer Client (Full and Host) of TeamViewer Remote and Tensor prior Version 15.67 (and additional versions listed below) on Windows allows a local unprivileged user to trigger arbitrary file deletion with SYSTEM privileges via leveraging the MSI rollback mechanism. To exploit this vulnerability, an attacker needs local access to the Windows system. CVE-2025-36537

https://www.teamviewer.com/de/resources/trust-center/security-bulletins/tv-2025-1002/