End-of-Day report
Timeframe: Freitag 04-07-2025 18:00 - Montag 07-07-2025 18:00
Handler: Alexander Riepl
Co-Handler: n/a
News
Hackers abuse leaked Shellter red team tool to deploy infostealers
Shellter Project, the vendor of a commercial AV/EDR evasion loader for penetration testing, confirmed that hackers used its Shellter Elite product in attacks after a customer leaked a copy of the software.
https://www.bleepingcomputer.com/news/security/hackers-abuse-leaked-shellter-red-team-tool-to-deploy-infostealers/
Umsetzung von NIS 2 in Europa: Nur vier Länder haben geliefert
NIS 2 hätte bis zum 17. Oktober 2024 in nationales Recht umgesetzt werden müssen. Das ist nur wenigen Ländern gelungen. Wie haben sie das gemacht? Eine Analyse von Thomas Hafen
https://www.golem.de/news/umsetzung-von-nis-2-in-europa-nur-vier-laender-haben-geliefert-2507-197504.html
Auch Lücken und Bugs beseitigt: Neues 7-Zip komprimiert mit mehr als 64 CPU-Kernen
Wer 7-Zip im Einsatz hat, sollte das Packprogramm zeitnah aktualisieren. Version 25.00 verspricht mehr Leistung und behebt Bugs und Schwachstellen.
https://www.golem.de/news/jetzt-updaten-7-zip-schliesst-sicherheitsluecken-und-komprimiert-schneller-2507-197819.html
Massive spike in use of .es domains for phishing abuse
¡Cuidado! Time to double-check before entering your Microsoft creds Cybersecurity experts are reporting a 19x increase in malicious campaigns being launched from .es domains, making it the third most common, behind only .com and .ru.
https://www.theregister.com/2025/07/05/spain_domains_phishing/
Ingram Micro confirms ransomware behind multi-day outage
SafePay crew claims responsibility for intrusion at one of worlds largest tech distributors Ingram Micro, one of the world-s largest distributors, has confirmed it is trying to restore systems following a ransomware attack.
https://www.theregister.com/2025/07/06/ingram_micro_confirms_ransomware_behind/
Antivirus: Comodo Internet Security lässt sich Schadcode unterschieben
Ein IT-Sicherheitsforscher hat mehrere Sicherheitslücken im Virenschutz Comodo Internet Security entdeckt, wodurch Angreifer Schadcode einschleusen können.
https://www.heise.de/news/Antivirus-Comodo-Internet-Security-laesst-sich-Schadcode-unterschieben-10476908.html
SSB-104599 V1.0: Increasing Cyber Threats to Industrial Control Systems
The current geopolitical situation has created increased cybersecurity risks across all industrial sectors. This challenging environment also impacts the operational technology (OT) landscape, where we observe an intensification of threat activities.
https://cert-portal.siemens.com/productcert/html/ssb-104599.html
Fake-Europol-E-Mail mit dem Vorwurf der Verbreitung pornografischer Inhalte von Minderjährigen
Derzeit wird eine gefälschte E-Mail im Namen von Europol verbreitet. Darin wird den Empfänger:innen unterstellt, verbotene pornografische Darstellungen von Minderjährigen abgerufen oder verbreitet zu haben. Angeblich sei deshalb ein Strafverfahren eingeleitet worden. Die Betroffenen werden aufgefordert, per E-Mail eine Stellungnahme zu übermitteln. Antworten Sie nicht darauf, denn es handelt sich um einen Betrugsversuch!
https://www.watchlist-internet.at/news/europol-e-mail-mit-vorwurf-der-verbreitung-pornografischer-inhalte-minderjaehriger-ist-fake/
BERT Ransomware Group Targets Asia and Europe on Multiple Platforms
BERT is a newly emerged ransomware group that pairs simple code with effective execution-carrying out attacks across Europe and Asia. In this entry, we examine the group-s tactics, how their variants have evolved, and the tools they use to get past defenses and speed up encryption across platforms.
https://www.trendmicro.com/en_us/research/25/g/bert-ransomware-group-targets-asia-and-europe-on-multiple-platforms.html
SatanLock Ransomware Ends Operations, Says Stolen Data Will Be Leaked
SatanLock ransomware gang shuts down after weeks of attacks and plans to leak stolen victim data. Group linked to Babuk-Bjorka and GD Lockersec families.
https://hackread.com/satanlock-ransomware-ends-operations-stolen-data-leak/
Isolated Recovery Environments: A Critical Layer in Modern Cyber Resilience
As adversaries grow faster, stealthier, and more destructive, traditional recovery strategies are increasingly insufficient. Mandiants M-Trends 2025 report reinforces this shift, highlighting that ransomware operators now routinely target not just production systems but also backups. This evolution demands that organizations re-evaluate their resilience posture.
https://cloud.google.com/blog/topics/threat-intelligence/isolated-recovery-environments-modern-cyber-resilience/
How Much More Must We Bleed? - Citrix NetScaler Memory Disclosure (CitrixBleed 2 CVE-2025-5777)
Before you dive into our latest diatribe, indulge us and join us on a journey.Sit in your chair, stand at your desk, lick your phone screen - close your eyes and imagine a world in which things are great. It-s sunny outside, the birds are chirping, ..
https://labs.watchtowr.com/how-much-more-must-we-bleed-citrix-netscaler-memory-disclosure-citrixbleed-2-cve-2025-5777/
Lets Encrypt stellt erstes IP-Zertifikat aus
Das Lets-Encrypt-Projekt hat in der vergangenen Woche das erste Zertifikat für eine IP-Adresse ausgestellt.
https://heise.de/-10476509
Sicherheitsupdate: Dell Data Protection Advisor über viele Lücken angreifbar
Angreifer können an Schwachstellen in Dells Backuplösung Data Protection Advisor ansetzen. Der Computerhersteller stuft das Risiko als kritisch ein.
https://heise.de/-10476481
Vulnerabilities
Security updates for Monday
Security updates have been issued by Debian (thunderbird and xmedcon), Fedora (darktable, mbedtls, sudo, and yarnpkg), Mageia (catdoc and php), Red Hat (java-1.8.0-ibm, kernel, python-setuptools, python3, python3.11, python3.12, python3.9, socat, sudo, tigervnc, webkit2gtk3, webkitgtk4, xorg-x11-server, and xorg-x11-server-Xwayland), SUSE (alloy, apache-commons-fileupload, apache2-mod_security2, assimp-devel, chromedriver, clamav, clustershell, corepack22, ctdb, curl, dpkg,
https://lwn.net/Articles/1029073/