End-of-Day report
Timeframe: Freitag 29-08-2025 18:00 - Montag 01-09-2025 18:00
Handler: Felician Fuchs
Co-Handler: Alexander Riepl
News
Transparenz und Kommunikation: BSI rät indirekt von weiterer Paypal-Nutzung ab
Was passiert mit den Daten, werden bei Ausfällen Gründe genannt? Ohne Paypal zu nennen, ruft das BSI auf, nicht nur nach der Usability auszuwählen.
https://www.golem.de/news/transparenz-und-kommunikation-bsi-raet-indirekt-von-weiterer-paypal-nutzung-ab-2508-199663.html
AWS warnt: Russische Hacker bei Attacken auf Microsoft-Nutzer erwischt
Die berüchtigte Hackergruppe APT29 soll bestehende Webseiten mit Schadcode verseucht haben, um an die Microsoft-Konten der Besucher zu gelangen.
https://www.golem.de/news/aws-warnt-russische-hacker-bei-attacken-auf-microsoft-nutzer-erwischt-2509-199679.html
Attackers Abuse Velociraptor Forensic Tool to Deploy Visual Studio Code for C2 Tunneling
Cybersecurity researchers have called attention to a cyber attack in which unknown threat actors deployed an open-source endpoint monitoring and digital forensic tool called Velociraptor, illustrating ongoing abuse of legitimate software for malicious purposes.
https://thehackernews.com/2025/08/attackers-abuse-velociraptor-forensic.html
Traffic to government domains often crosses national borders, or flows through risky bottlenecks
Sites at yourcountry.gov may also not bother with HTTPs Internet traffic to government domains often flows across borders, relies on a worryingly small number of network connections, or does not require encryption, according to new research.
https://www.theregister.com/2025/09/01/isoc_government_domain_traffic_measurement/
SSA Whistleblower-s Resignation Email Mysteriously Disappeared From Inboxes
Less than 30 minutes after the Social Security Administration-s chief data officer resigned following a whistleblower complaint, recipients could no longer access the resignation email.
https://www.wired.com/story/charles-borges-resignation-email-disappearance/
Hintertür-Bericht: Britische Regierung will Vollzugriff auf iCloud
Noch immer ist nicht final entschieden, ob Apple britischen Strafverfolgern Zugriff auf iCloud geben muss. Nun wurde die ganze Datenbreite bekannt.
https://www.heise.de/news/Hintertuer-Bericht-Britische-Regierung-will-Vollzugriff-auf-iCloud-10626855.html
Nach Kritik: Ameos Kliniken wollen proaktiv über Datenleak informieren
Nach einem erfolgreichen Cyberangriff hatte der Klinikkonzern Ameos ein Auskunftsformular bereitgestellt. Nach Kritik wurde selbiges jetzt geändert.
https://www.heise.de/news/Ameos-Kliniken-Nach-IT-Angriff-steht-Auskunftsformular-fuer-Datenschutz-bereit-10623655.html
IT-Infrastruktur des Innenministeriums "gezielt und professionell" gehackt
Polizeiliche Daten oder Anwendungen sollen nach eigenen Angaben nicht betroffen sein. Der Angriff fand vor einigen Wochen statt, wurde aber erst jetzt kommuniziert.
https://www.derstandard.at/story/3000000285630/cyberangriff-auf-it-infrastruktur-des-innenministeriums-aufgedeckt
Sweden scrambles after ransomware attack puts sensitive worker data at risk
Municipal government organisations across Sweden have found themselves impacted after a ransomware attack at a third-party software service supplier.
https://www.bitdefender.com/en-us/blog/hotforsecurity/sweden-scrambles-after-ransomware-attack-puts-sensitive-worker-data-at-risk
Merkwürdige Spam-Mail; Accenture gehackt?
Ein Blog-Leser hat mich vor einigen Tage darauf hingewiesen, dass er eine merkwürdige Spam-Mail bekam, die von einer Accenture-Domain verschickt wurde. Inzwischen ist die Domain nicht mehr erreichbar - was die Frage nach dem Hintergrund aufwirft.
https://www.borncity.com/blog/2025/08/31/accenture-gehackt-merkwuerdige-phishing-mail/
Starker Anstieg der Cyberangriffe auf den Bildungssektor
Sicherheitsanbieter Check Point warnt vor einem starken Anstieg von Cyber-Angriffen im Bildungssektor: Weltweit um 41 Prozent, in Deutschland sogar plus 56 Prozent. Bildungseinrichtungen verzeichnen im Schnitt mehr als 4300 Angriffe pro Woche, getrieben von saisonalen Phishing-Kampagnen zum Schul- und Semesterstart.
https://www.borncity.com/blog/2025/08/31/starker-anstieg-der-cyberangriffe-auf-den-bildungssektor/
PromptLock: Erste KI-gestützte Malware von ESET entdeckt
ESET-Sicherheitsforscher haben die ihrer Meinung nach "erste bekannte KI-gestützte Ransomware" mit dem Namen PromptLock entdeckt.
https://www.borncity.com/blog/2025/08/31/promptlock-erste-ki-gestuetzte-malware/
Citrix Netscaler backdoors - Part One - May 2025 activity against governments
This is a follow up post to the prior one, part of a series looking at different Netscaler vulnerabilities that have been exploited in the wild as zero days.
https://doublepulsar.com/citrix-netscaler-backdoors-part-one-may-2025-activity-against-governments-f48037199c3f
8 Malicious NPM Packages Stole Chrome User Data on Windows
JFrog researchers found eight malicious NPM packages using 70 layers of obfuscation to steal data from Chrome browser users on Windows. The attack highlights a growing threat to developers.
https://hackread.com/malicious-npm-packages-stole-chrome-user-data-windows/
Widespread Data Theft Targets Salesforce Instances via Salesloft Drift
Update (August 28) Based on new information identified by GTIG, the scope of this compromise is not exclusive to the Salesforce integration with Salesloft Drift and impacts other integrations.
https://cloud.google.com/blog/topics/threat-intelligence/data-theft-salesforce-instances-via-salesloft-drift/
ShadowSilk Data Exfiltration Attack
Nearly three dozen organizations across Central Asia and the Asia-Pacific region, predominantly government agencies, have been compromised in data exfiltration campaigns attributed to the Russian and Chinese-speaking threat group known as ShadowSilk, according to Group-IB.
https://fortiguard.fortinet.com/threat-signal-report/6190
Vishing: So gelingt der Angriff per Telefon selbst auf Großunternehmen
Auf der Def Con konnte man sich live ansehen, wie Vishing funktioniert. Erstaunlich oft ergattern Angreifer per Telefon selbst wichtigste Firmeninformationen.
https://heise.de/-10625451
A16-FuseBypass: Debug Logic Enabled on Production Apple Silicon
This repository documents a critical hardware-level vulnerability in the Apple A16 Bionic chip used in iPhone 14 Pro Max and related devices.
https://github.com/JGoyd/A16-FuseBypass
KernelSnitch: Side-Channel Attacks on Kernel Data Structures
In this paper, we present a novel generic software side-channel attack, KernelSnitch, targeting kernel data structures such as hash tables and trees.
https://lukasmaar.github.io/papers/ndss25-kernelsnitch.pdf
Client-side RCE via CSS Injection in Google Web Designer for Windows
After my recent discovery of two client-side remote code execution vulnerabilities in Google Web Designer (previously disclosed in my articles earlier this year: CVE-2025-1079, CVE-2025-4613), in April 2025 I've found yet another serious issue in the app.
https://balintmagyar.com/articles/google-web-designer-css-injection-client-rce
Passkeys are incompatible with open-source software
After reading more of the spec authors- comments on open-source Passkey implementations, I cannot support this tech. In addition to what I covered at the bottom of this blog post, I found more instances where the spec authors have expressed positions that are incompatible with open-source software and user freedom.
https://www.smokingonabike.com/2025/01/04/passkey-marketing-is-lying-to-you/
Wallet-Draining npm Package Impersonates Nodemailer to Hijack Crypto Transactions
Socket-s Threat Research Team identified a malicious npm package, nodejs-smtp, that impersonates the popular email library nodemailer, which averages roughly 3.9 million weekly downloads, while implanting code into desktop cryptocurrency wallets on Windows.
https://socket.dev/blog/wallet-draining-npm-package-impersonates-nodemailer
The CISO-s Codex - Leo and the Laws of Security
A a storytelling approach to cybersecurity, where a new CISO named Leo guides his company through foundational security models like Bell-LaPadula, Biba, Clark-Wilson, Brewer-Nash, and Graham-Denning/HRU.
https://thecyberthrone.in/2025/08/30/the-cisos-codex-leo-and-the-laws-of-security/
Nevada Faces Unprecedented Ransomware Attack
On August 24, 2025, Nevada made headlines as the victim of a historic cyberattack that forced a near-total shutdown of state government operations.
https://thecyberthrone.in/2025/08/31/nevada-faces-unprecedented-ransomware-attack/
Vulnerabilities
IT-Sicherheitslösung Acronis Cyber Protect Cloud Agent ist verwundbar
Ein Sicherheitsupdate schließt eine Schwachstelle in Acronis Cyber Protect Cloud Agent.
https://www.heise.de/news/IT-Sicherheitsloesung-Acronis-Cyber-Protect-Cloud-Agent-ist-verwundbar-10627091.html
Qnap: Teils hochriskante Lücken in QTS und QuTS hero geschlossen
Aktualisierungen für die QTS- und QuTS-hero-Firmwares von Qnap-Geräten schließen als hochriskant eingestuft Sicherheitslücken.
https://www.heise.de/news/Qnap-Update-schliesst-teils-hochriskante-Luecken-in-QTS-und-QuTS-hero-10627426.html
Security updates for Monday
Security updates have been issued by AlmaLinux (postgresql16, postgresql:16, python3.11, and thunderbird), Debian (firebird4.0, libcommons-lang3-java, mbedtls, nodejs, openvpn, and ruby-saml), Fedora (cef, chromium, docker-buildx, exiv2, firefox, rocm-rpp, and udisks2), Oracle (postgresql:16), Red Hat (fence-agents, firefox, gdk-pixbuf2, httpd, kernel, kernel-rt, libarchive, libxml2, multiple packages, postgresql, postgresql16, postgresql:15, postgresql:16, python3.11, python3.12, python39:3.9, and thunderbird), Slackware (udisks2), SUSE (go-sendxmpp, helm, ImageMagick, javamail, jq, kea, kernel, libarchive, libsoup, libssh, libxml2, openssl-3, postgresql14, postgresql15, python, python-future, systemd, and xz), and Ubuntu (open-vm-tools and python2.7).
https://lwn.net/Articles/1036084/
Authenticated Attackers Could Exploit IBM Watsonx Vulnerability to Access Sensitive Data
A newly disclosed security vulnerability, tracked as CVE-2025-0165, has been reported, specifically concerning the users of the IBM Watsonx Orchestrate Cartridge within the IBM Cloud Pak for Data platform.
https://thecyberexpress.com/decoding-cve-2025-0165-flaw/