Erfassen von Informationen

Forscher der Group-IB beobachteten, dass ein Bedrohungsakteur namens Bloody Wolf ab Juni 2025 eine Cyberangriffskampagne gegen Kirgisistan startete, die auf die Bereitstellung des NetSupport RAT abzielte, und Anfang Oktober 2025 den Umfang seiner Angriffe auf Usbekistan ausweitete. Die Angreifer gaben sich als kirgisisches Justizministerium aus und nutzten offiziell aussehende PDF-Dokumente und Domains, die wiederum bösartige Java-Archivdateien (JAR) enthielten, mit denen das NetSupport RAT installiert werden sollte. Der Angriff nutzt Social Engineering und leicht zugängliche Tools über Phishing-E-Mails, um die Empfänger dazu zu bringen, auf einen Link zu klicken, um eine bösartige JAR-Loader-Datei herunterzuladen und die Java Runtime zu installieren, die wiederum den Loader ausführt, um das NetSupport RAT zu erhalten und die Persistenz herzustellen. Bei dem Angriff auf Usbekistan wurden auch Geofencing-Einschränkungen hinzugefügt.

CVE-2025-47812 ist eine äußerst risikoreiche Sicherheitslücke, für die es bereits eine bestätigte Ausnutzung gibt. Aufgrund der niedrigen Schwelle für die Ausnutzung und der hohen Zerstörungskraft wird empfohlen, dass alle Unternehmen, die Wing FTP Server verwenden, diese Sicherheitslücke mit höchster Priorität beseitigen und so bald wie möglich ein Versions-Upgrade durchführen oder eine wirksame Richtlinie zur Blockierung des Datenverkehrs einführen.

Die Apple iMessage Zero-Click-Schwachstelle ermöglicht es einem Angreifer, ein Gerät aus der Ferne zu kompromittieren, indem er eine bösartig gestaltete iMessage-Nachricht ohne Benutzerinteraktion versendet. Sie wurde von der Spionagesoftware Graphite ausgenutzt, um Angriffe auf Journalisten zu starten.

Die Schwachstelle rührt von der fehlerhaften Behandlung des dynamischen Indexladens durch den V8 TurboFan-Compiler bei der Optimierung der Store-Store-Elimination her, die zu einer falschen Klassifizierung von Alias-Beziehungen führt, wodurch kritische Store-Operationen fälschlicherweise eliminiert werden, was wiederum zu einem Out-of-Bounds-Speicherzugriff führt. Angreifer können speziell gestaltete HTML-Seiten erstellen, um einen Benutzerzugriff zu erzwingen, die Ausführung von bösartigem JavaScript-Code auszulösen, die Schwachstelle zur Remotecodeausführung und zum Ausbruch aus der Sandbox auszunutzen und schließlich die vollständige Kontrolle über das Gerät des Opfers zu übernehmen.

Aim Security hat die "EchoLeak"-Schwachstelle entdeckt, die einen für RAG Copilot typischen Designfehler ausnutzt, der es einem Angreifer ermöglicht, automatisch beliebige Daten im Kontext von M365 Copilot zu stehlen, ohne auf ein bestimmtes Nutzerverhalten angewiesen zu sein. Die Hauptangriffskette besteht aus drei verschiedenen Schwachstellen, aber Aim Labs hat bei seinen Untersuchungen noch weitere Schwachstellen identifiziert, die eine Ausnutzung ermöglichen könnten.

Ein neuer Proof of Concept (PoC), identifiziert als CVE-2025-21298, wurde für eine Microsoft Outlook Zero-Click-Remotecodeausführungsschwachstelle (RCE) in Windows Object Linking and Embedding (OLE) veröffentlicht.

Apache Tomcat 9.0.0-M11 bis 9.0.43 Apache Tomcat 8.5.7 bis 8.5.63 CVE-2024-21733 Risiko der Offenlegung von Informationen durch Apache Tomcat

Ein nicht authentifizierter, entfernter Angreifer kann Remotecodeausführung erreichen, was zu einem bedrohlichen Risiko der Kompromittierung von Windwos-Servern mit aktivierten Remotedesktop-Lizenzierungsdiensten führt.

Im Dark Web wird eine Zero-Day-Schwachstelle von Windows Local Privilege Escalation (LPE) verkauft, die Berichten zufolge mehrere Versionen des Windows-Betriebssystems betrifft, darunter auch die neueste Version. Diese alarmierende Entwicklung wurde über einen Untergrundmarktplatz bekannt gegeben, auf dem Bedrohungsakteure detaillierte Spezifikationen und Fähigkeiten der Schwachstelle zur Verfügung gestellt haben.

CVE-2024-32002 ist eine Schwachstelle in Git, die RCE git clone während des Betriebs ermöglicht. durch die Gestaltung von Repositories mit Submodulen in einer bestimmten Art und Weise, kann ein Angreifer bösartige Hooks durch das Schreiben von Dateien in das Verzeichnis .git/ mit Case-insensitive symbolische Link-Handling auf dem Dateisystem auszuführen.