Security News

THN

The Hacker News • vor 3 Monaten

Microsoft Discloses DNS-Based ClickFix Attack Using Nslookup for Malware Staging

**Zusammenfassung:** Microsoft hat eine neue Variante des ClickFix-Angriffs aufgedeckt, bei der Cyberkriminelle Nutzer durch Social Engineering dazu bringen, den Windows-Befehl "nslookup" auszuführen. Dieser Befehl führt eine manipulierte DNS-Abfrage durch, um Schadsoftware aus dem Internet nachzuladen. Betroffen sind Windows-Nutzer, die auf gefälschte Fehlermeldungen oder Hilfeanweisungen hereinfallen und die vorgeschlagenen Befehle ausführen. Nutzer sollten niemals unbekannte Kommandozeilen-Befehle ausführen, die ihnen in E-Mails, Pop-ups oder auf Webseiten vorgeschlagen werden.

Weiterlesen

THN

The Hacker News • vor 3 Monaten

Google Ties Suspected Russian Actor to CANFAIL Malware Attacks on Ukrainian Orgs

Google hat eine bisher unbekannte Hackergruppe identifiziert, die vermutlich mit russischen Geheimdiensten in Verbindung steht und ukrainische Organisationen mit der Malware "CANFAIL" angreift. Betroffen sind hauptsächlich Verteidigungs-, Militär-, Regierungs- und Energieorganisationen in der Ukraine. Die Angriffe werden von Googles Threat Intelligence Group als Teil russischer Cyberoperationen gegen die Ukraine eingestuft. Ukrainische Organisationen in den genannten Sektoren sollten ihre IT-Sicherheitsmaßnahmen verstärken und nach Anzeichen dieser spezifischen Malware Ausschau halten.

Weiterlesen

THN

The Hacker News • vor 3 Monaten

Google Links China, Iran, Russia, North Korea to Coordinated Defense Sector Cyber Operations

**Zusammenfassung:** Google's Threat Intelligence Group hat koordinierte Cyber-Angriffe von staatlich unterstützten Hackern aus China, Iran, Nordkorea und Russland auf die Rüstungsindustrie aufgedeckt. Betroffen sind Unternehmen des Verteidigungssektors (Defense Industrial Base), die gezielt von verschiedenen Akteursgruppen angegriffen werden. Die Angriffe folgen vier Hauptmustern und zielen darauf ab, die Verteidigungsindustrie zu schwächen. Unternehmen des Rüstungssektors sollten ihre Cybersicherheitsmaßnahmen verstärken und besonders wachsam gegenüber staatlich geförderten Bedrohungen sein. **Kernpunkte:** Koordinierte Cyberangriffe mehrerer Staaten → Rüstungsunternehmen betroffen → Verstärkte Sicherheitsmaßnahmen erforderlich.

Weiterlesen

THN

The Hacker News • vor 3 Monaten

UAT-9921 Deploys VoidLink Malware to Target Technology and Financial Sectors

**Zusammenfassung:** Eine bisher unbekannte Hackergruppe namens UAT-9921 setzt seit 2019 eine neue modulare Malware namens "VoidLink" ein, um gezielt Unternehmen aus der Technologie- und Finanzbranche anzugreifen. Die Sicherheitsforscher von Cisco Talos haben diese Bedrohung identifiziert und warnen vor den fortgeschrittenen Angriffsmethoden der Gruppe. **Betroffene:** Unternehmen und Organisationen in der Technologie- und Finanzdienstleistungsbranche. **Empfohlene Maßnahmen:** Unternehmen in diesen Sektoren sollten ihre Sicherheitsmaßnahmen verstärken, Systeme auf verdächtige Aktivitäten überwachen und sicherstellen, dass alle Sicherheitsupdates zeitnah installiert werden.

Weiterlesen

THN

The Hacker News • vor 3 Monaten

Malicious Chrome Extensions Caught Stealing Business Data, Emails, and Browsing History

**Zusammenfassung:** Cybersicherheitsforscher haben eine bösartige Google Chrome-Erweiterung namens "CL Suite" entdeckt, die speziell darauf ausgelegt ist, Geschäftsdaten von Meta Business Suite und Facebook Business Manager zu stehlen. Die Erweiterung wird als nützliches Tool beworben, das angeblich Daten aus der Meta Business Suite extrahiert, Verifizierungs-Pop-ups entfernt und Zwei-Faktor-Authentifizierungs-Codes generiert. **Betroffen sind:** Nutzer von Facebook Business Manager und Meta Business Suite. **Empfehlung:** Sofort prüfen, ob diese Erweiterung installiert ist (ID: jkphinfhmfkckkcnifhjiplhfoiefffl) und sie umgehend entfernen, sowie Passwörter und 2FA-Einstellungen überprüfen.

Weiterlesen

THN

The Hacker News • vor 3 Monaten

npm’s Update to Harden Their Supply Chain, and Points to Consider

**Zusammenfassung:** npm hat im Dezember 2025 als Reaktion auf den Sha1-Hulud-Vorfall eine umfassende Authentifizierungs-Überholung abgeschlossen, um Supply-Chain-Angriffe zu reduzieren. Obwohl diese Änderungen ein wichtiger Fortschritt sind, machen sie npm-Projekte nicht immun gegen Supply-Chain-Attacken. npm bleibt weiterhin anfällig für Malware-Angriffe. **Wer ist betroffen:** Alle Entwickler und Unternehmen, die npm-Pakete verwenden (praktisch die gesamte Node.js-Community). **Was sollte man tun:** Weiterhin wachsam bleiben, da die Sicherheitsverbesserungen keinen vollständigen Schutz bieten - zusätzliche Sicherheitsmaßnahmen beim Umgang mit npm-Paketen sind nach wie vor erforderlich.

Weiterlesen

THN

The Hacker News • vor 3 Monaten

Researchers Observe In-the-Wild Exploitation of BeyondTrust CVSS 9.9 Vulnerability

**Zusammenfassung:** Sicherheitsforscher haben beobachtet, dass eine kritische Schwachstelle (CVSS 9.9) in BeyondTrust Remote Support und Privileged Remote Access Produkten bereits aktiv von Angreifern ausgenutzt wird. Die Bedrohungsakteure missbrauchen diese erst kürzlich entdeckte Sicherheitslücke, um Systeme zu kompromittieren. Betroffen sind alle Nutzer der genannten BeyondTrust-Produkte für Fernzugriff und privilegierte Remote-Verwaltung. Unternehmen sollten umgehend ihre BeyondTrust-Installationen überprüfen und verfügbare Sicherheitsupdates installieren.

Weiterlesen

THN

The Hacker News • vor 3 Monaten

Google Reports State-Backed Hackers Using Gemini AI for Recon and Attack Support

**Zusammenfassung:** Google hat berichtet, dass die nordkoreanische Hackergruppe UNC2970 das KI-Modell Gemini für Aufklärungsaktivitäten gegen ihre Ziele missbraucht hat. Verschiedene Hacker-Organisationen nutzen zunehmend generative KI-Tools, um Cyberangriffe zu beschleunigen, Desinformationskampagnen zu führen und Modell-Extraktionsangriffe durchzuführen. Betroffen sind potentiell alle Nutzer und Organisationen, die Ziel nordkoreanischer Cyberaktivitäten werden könnten. Unternehmen und Nutzer sollten ihre Sicherheitsmaßnahmen verstärken und sich bewusst sein, dass staatlich unterstützte Hacker nun KI-Tools für ihre Angriffe einsetzen.

Weiterlesen

THN

The Hacker News • vor 3 Monaten

Lazarus Campaign Plants Malicious Packages in npm and PyPI Ecosystems

**Zusammenfassung:** Die nordkoreanische Hackergruppe Lazarus hat eine neue Kampagne gestartet, bei der sie schädliche Pakete in die Software-Repositories npm und PyPI eingeschleust hat. Die als "graphalgo" bezeichnete Kampagne tarnt sich als gefälschte Stellenausschreibung und ist seit Mai 2025 aktiv. Betroffen sind Entwickler, die diese infizierten Pakete in ihre Projekte einbinden könnten. Entwickler sollten besonders vorsichtig bei der Installation neuer Pakete sein und diese vor der Verwendung gründlich überprüfen. **Hinweis:** Das Datum "Mai 2025" im ursprünglichen Artikel scheint ein Fehler zu sein, da wir uns derzeit noch im Jahr 2024 befinden.

Weiterlesen

THN

The Hacker News • vor 3 Monaten

ThreatsDay Bulletin: AI Prompt RCE, Claude 0-Click, RenEngine Loader, Auto 0-Days & 25+ Stories

**Zusammenfassung:** Diese Woche zeigt die Bedrohungslage einen klaren Trend: Angreifer setzen verstärkt auf bewährte Methoden statt auf spektakuläre neue Exploits. Sie missbrauchen vertrauenswürdige Tools, bekannte Arbeitsabläufe und übersehene Sicherheitslücken, die oft im Verborgenen existieren. Dabei werden die Einstiegspunkte für Angriffe einfacher, während die Aktivitäten nach einem erfolgreichen Einbruch komplexer werden. Betroffen sind Nutzer von KI-Systemen wie Claude sowie verschiedene andere Technologien - Organisationen sollten ihre bestehenden Sicherheitsmaßnahmen überprüfen und vertrauenswürdige Tools auf ungewöhnliche Aktivitäten überwachen.

Weiterlesen

THN

The Hacker News • vor 3 Monaten

The CTEM Divide: Why 84% of Security Programs Are Falling Behind

Eine neue Studie mit 128 Sicherheitsentscheidern zeigt, dass 84% der Unternehmenssicherheitsprogramme zurückfallen, weil sie das Continuous Threat Exposure Management (CTEM) Framework nicht implementiert haben. Unternehmen, die CTEM nutzen, haben eine 50% bessere Sichtbarkeit ihrer Angriffsfläche und einen 23-Punkte-Vorsprung in der Sicherheitseffektivität. Betroffen sind primär Unternehmen aller Größen und Branchen, die noch keine kontinuierliche Bedrohungsüberwachung eingeführt haben. Organisationen sollten die Implementierung von CTEM-Frameworks prüfen, um ihre Cybersicherheitslage deutlich zu verbessern.

Weiterlesen

THN

The Hacker News • vor 3 Monaten

83% of Ivanti EPMM Exploits Linked to Single IP on Bulletproof Hosting Infrastructure

**Zusammenfassung:** 83% der Angriffe auf eine kürzlich entdeckte Sicherheitslücke in Ivanti Endpoint Manager Mobile (EPMM) stammen von einer einzigen IP-Adresse, die über eine "bulletproof hosting"-Infrastruktur von PROSPERO betrieben wird. Zwischen dem 1. und 9. Februar 2026 registrierte die Threat-Intelligence-Firma GreyNoise 417 Exploit-Versuche von 8 verschiedenen IP-Adressen, wobei 346 davon auf die eine verdächtige Adresse entfielen. Betroffen sind Unternehmen, die Ivanti EPMM zur mobilen Geräteverwaltung einsetzen. Organisationen sollten umgehend verfügbare Sicherheits-Updates installieren und ihre EPMM-Systeme auf Kompromittierung überprüfen.

Weiterlesen

THN

The Hacker News • vor 3 Monaten

Apple Fixes Exploited Zero-Day Affecting iOS, macOS, and Other Devices

**Was ist passiert?** Apple hat eine kritische Sicherheitslücke (CVE-2026-20700) in seinem Dynamic Link Editor behoben, die bereits aktiv von Angreifern ausgenutzt wurde. **Wer ist betroffen?** Nutzer aller Apple-Geräte sind betroffen - iPhones, iPads, Macs, Apple TVs, Apple Watches und Vision Pro Headsets. **Was sollte man tun?** Alle verfügbaren System-Updates für iOS, iPadOS, macOS, tvOS, watchOS und visionOS sollten sofort installiert werden. Die Schwachstelle ermöglicht Speicher-Manipulationen und wurde bereits in gezielten Cyberangriffen eingesetzt, weshalb schnelles Handeln wichtig ist.

CVE-2026-20700

Weiterlesen

THN

The Hacker News • vor 3 Monaten

First Malicious Outlook Add-In Found Stealing 4,000+ Microsoft Credentials

**Zusammenfassung:** Cybersecurity-Forscher haben das erste bekannte bösartige Microsoft Outlook Add-In entdeckt, das in freier Wildbahn aktiv war. Bei diesem ungewöhnlichen Supply-Chain-Angriff übernahm ein unbekannter Angreifer die Domain eines verlassenen legitimen Add-Ins und nutzte diese, um eine gefälschte Microsoft-Anmeldeseite zu betreiben. Dadurch konnten über 4.000 Anmeldedaten von Microsoft-Nutzern gestohlen werden. **Betroffene:** Microsoft Outlook-Nutzer, die das kompromittierte Add-In verwendet haben. **Empfohlene Maßnahmen:** Nutzer sollten ihre installierten Outlook Add-Ins überprüfen, verdächtige oder nicht mehr benötigte Add-Ins entfernen und ihre Microsoft-Passwörter sicherheitshalber ändern.

Weiterlesen

Krebs

Krebs on Security • vor 3 Monaten

Kimwolf Botnet Swamps Anonymity Network I2P

**Zusammenfassung:** Das massive IoT-Botnet "Kimwolf" stört seit einer Woche das anonyme Kommunikationsnetzwerk I2P (The Invisible Internet Project), das normalerweise zur verschlüsselten und anonymen Online-Kommunikation genutzt wird. Die Betreiber des Botnets nutzen I2P, um ihre Kontrollserver vor Abschaltungsversuchen zu schützen. **Betroffen sind:** Alle I2P-Nutzer, die Störungen im Netzwerk erleben. **Empfehlung:** I2P-Nutzer sollten mit Verbindungsproblemen rechnen und gegebenenfalls alternative sichere Kommunikationswege nutzen, bis das Problem behoben ist.

Weiterlesen