Comretix Blog

Acht Softwareschwachstellen in der Backuplösung StoreOnce von HPE machen Systeme attackierbar. Darunter findet sich eine "kritische" Lücke. Über weitere Angriffe kann Schadcode auf PCs gelangen. Eine gegen mögliche Attacken geschützte Version steht ab sofort zum Download bereit. HPE gibt an, die Lücken in Zusammenarbeit mit den Sicherheitsforschern von Trend Micros Zero Day Initiative gemeldet zu haben.

In einer Warnmeldung sind die Schwachstellen aufgelistet. Setzen Angreifer erfolgreich an der kritischen Sicherheitslücke (CVE-2025-37093) an, können sie auf einem nicht näher beschriebenen Weg die Authentifizierung umgehen.

In mehreren Fällen können Angreifer eigenen Code auf Systeme schieben und ausführen (etwa CVE-2025-3708 "hoch"). Danach erlangen sie in der Regel die volle Kontrolle über Computer. Derartige Attacken sollen aus der Ferne möglich sein. Außerdem können Angreifer auf eigentlich abgeschottete Daten zugreifen (CVE-2025-37095 "mittel"). Auch der manipulierende Zugriff auf Dateien ist möglich, und Angreifer sollen sogar Daten löschen können.

Um den geschilderten Attacken vorzubeugen, müssen Admins HPE StoreOnce 4.3.11 installieren. Die Entwickler geben an, dass alle vorigen Versionen verwundbar sind. Bislang gibt es keine Berichte zu laufenden Attacken. Unklar ist bislang auch, an welchen Parametern Admins bereits attackierte Systeme erkennen können.

Zuletzt sorgte HPE Aruba im April dieses Jahres mit mehreren Sicherheitslücken in unter anderem Access Points für Schlagzeilen. In diesem Kontext kann es ebenfalls zu Schadcode-Attacken kommen.

Beim Pwn2Own-Wettbewerb in Dublin im vergangenen Dezember haben die Teilnehmer einige Sicherheitslücken in den Lautsprechersystemen von Sonos entdeckt. Jetzt haben die Zero-Day-Initiative (ZDI) und Sonos gemeinsam Informationen zu einer weiteren Schwachstelle veröffentlicht.

In der Sicherheitsmitteilung der ZDI führen die Autoren aus, dass Angreifer aus dem Netzwerk beliebigen Code auf betroffenen Lautsprechern Sonos Era 300 ausführen können. Eine vorherige Authentifizierung ist dazu nicht nötig.

Das Problem tritt beim Verarbeiten präparierter ALAC-Daten (Apple Lossless Audio Codec) auf. Ursache ist eine unzureichende Längenprüfung von übergebenen Daten vor einem Kopiervorgang auf einem Heap-basierten Puffer. Dabei eingeschleuster Code läuft im Kontext des anacapa-Nutzerkontos (CVE-2025-1051 / EUVD-2025-16688, CVSS 8.8, Risiko "hoch").

In der Sicherheitsmitteilung erörtern die Autoren nicht, wie Angreifer derartige manipulierte ALAC-Daten dem anvisierten Sonos-System gezielt unterschieben können. Die Sicherheitslücke schließt die Player-Software Release v16.6 (Build 83.1-61240) oder neuer, die bereits seit einigen Monaten verfügbar ist. Eine eigene Meldung von Sonos steht derzeit noch aus.

Ende April hatte Sonos eine eigene Sicherheitsmitteilung zu den damals gemeinsam mit der ZDI veröffentlichten Informationen zu vier weiteren Pwn2Own-Sicherheitslücken herausgegeben. Daraus wurde klar, dass neben der Softwareversion für die Era-300-Lautsprecher auch Updates für weitere Systeme etwa aus der S1-Reihe nötig waren, da diese ebenfalls verwundbar waren. Für diese steht die Aktualisierung auf Version Release v11.15.1 (Build 57.22-61162) oder neuer bereit, die die dort genannten Schwachstellen ausbessert. Ob dies mit der nun nachgemeldeten Lücke ebenso zutrifft, ist jedoch unklar.

Außerhalb der üblichen Zeitpläne hat Google in der Nacht zum Dienstag den Webbrowser Chrome mit einem Update bedacht. Es schließt eine Sicherheitslücke, die bereits im Internet angegriffen wird.

In der Versionsankündigung schreiben Googles Entwickler, dass die neue Version drei Sicherheitslecks abdichtet. Zu einer Lücke fehlen jedwede Informationen, was darauf hindeutet, dass die Programmierer sie intern entdeckt haben.

In der Javascript-Engine V8 von Google Chrome ermöglicht eine Schwachstelle Angreifern, außerhalb vorgesehener Speichergrenzen zu lesen und zu schreiben. Für diese Schwachstelle ist ein Exploit in freier Wildbahn aufgetaucht, sie wird daher offenbar bereits attackiert. Wie die Schwachstelle aussieht, wie Angreifer sie missbrauchen oder Attacken sich erkennen lassen, erörtert Google jedoch nicht (CVE-2025-5419 / EUVD-2025-16695, CVSS nach EUVD 8.8, Risiko "hoch").

Interessantes Detail: Googles Entwickler wollen das Problem mit einer Konfigurationsänderung entschärft haben, die sie Ende Mai an die Chrome-Browser im Stable-Zweig verteilt haben. Die Aktualisierung jetzt korrigiert das Problem jedoch korrekt und umfassend im Programmcode.

Eine weitere Schwachstelle behandelt das Update ebenfalls, eine "Use-after-free"-Lücke in der Renderengine Blink des Chrome-Browsers (CVE-2025-5068 / EUVD-2025-16694, CVSS nach EUVD 8.8, Risiko laut Google "mittel", laut EUVD "hoch"). Dabei greift Programmcode auf bereits freigegebene Ressourcen zu, deren Inhalt undefiniert ist. Häufig lassen sich derartige Fehler zum Ausführen von eingeschleustem Schadcode missbrauchen.

Microsoft und CrowdStrike haben damit begonnen, ihre jeweiligen Bezeichnungen für böswillige Cybergruppierungen untereinander abzugleichen. Erklärtes Ziel ist ein vollständiger Abgleich zwischen den Klassifikationen beider Firmen, an der sich weitere Akteure aus der IT-Sicherheitsbranche beteiligen werden. Das teilten der US-Konzern und die IT-Sicherheitsfirma jetzt mit und stellten parallel dazu das erste Ergebnis ihrer Initiative ins Netz. Daraus geht etwa hervor, dass jene Cybergruppierung, die bei CrowdStrike "Fancy Bear" heißt, von Microsoft "Forest Blizzard" genannt wird und welche weiteren Namen sie bekommen hat. Die verschiedenen Namen lassen sich auch automatisiert abrufen.

Begründet wird die Kooperation mit der Verzögerung, die durch die unterschiedlichen Namen beim Kampf gegen Cyberangriffe entstehen könne. Bei der Abwehr solcher Attacken könnten Sekunden für den Unterschied zwischen Erfolg und Misserfolg ausschlaggebend sein. Die unterschiedlichen und oft inkonsistenten Taxonomien für böswillige Cyberakteure sei ein wichtiger Grund für solch eine Verzögerung. Deshalb arbeite man jetzt daran, die Namen abzugleichen. Eine erste Version dieser Namensliste haben beide Firmen öffentlich gemacht, die IT-Sicherheitsfirmen Mandiant (von Google) und Palo Alto Networks wollen sich demnach daran beteiligen. Auf einer eigenen Seite erklärt Microsoft, wie die Namen abgerufen werden können.

Die Benennung von Cybercrime-Gruppierungen, auch Advanced Persistent Threat (APT) genannt, und staatlich gesteuerten Angreifern auf IT-Infrastruktur sorgt seit Jahren für Verwirrung. Unterschiedliche Firmen aus der Branche haben unterschiedliche Vorgehensweisen. Auch wenn die jeweils einer Logik unterliegen, haben die dabei herauskommenden Bezeichnungen nichts mit denen zu tun, die andere vergeben. So erklärt Microsoft ausführlich, wie Akteure aus bestimmten Staaten einen Namensteil bekommen, der eigentlich ein Wetterphänomen bezeichnet. Cyberakteure aus China erhalten dabei immer einen Doppelnamen inklusive "Typhoon", aus Russland solche mit "Blizzard", für den Iran ist "Sandstorm" reserviert – für Deutschland übrigens "Gale" ("Starkwind").

CrowdStrike setzt dagegen auf Tiernamen, chinesische Akteure heißen da "Panda", solche aus Russland "Bear". Hin und wieder erlangen einige dieser Namen Bekanntheit über die Branche hinaus, das gilt etwa für "Fancy Bear". Der Gruppe werden eine ganze Reihe von hochkarätigen Angriffen zugeschrieben. Bisweilen ist die Namensgebung aber auch albern, so wurde einer Gruppierung der Name "Golden Chickens" zugewiesen und der von ihr eingesetzten Backdoor der Name "More_eggs". Im Rahmen der jetzt vorgestellten Initiative von Microsoft und CrowdStrike wird sich an dem zugrunde liegenden System der Benennung nichts ändern, lediglich der Abgleich zwischen den Namen soll standardisiert werden.

Eine kriminelle Internetbande behauptet, bei Volkswagen diverse sensible Daten erbeutet zu haben. Das Unternehmen hat nach eigenen Angaben noch keine Hinweise auf unberechtigten Zugriff, will den Vorgang aber weiter prüfen.

Im Darknet behauptet StormouS/V4, bei VW Daten entwendet zu haben und droht mit deren Veröffentlichung.

(Bild: Screenshot / dmk)

Auf dem Darknet-Auftritt der Cybergang "StourmouS/V4" behaupten die Unbekannten, Nutzerkontendaten (teils versteckte E-Mails) sowie Authentifzierungstoken (OAuth und JWT-Tokens) erbeutet zu haben, darunter Identitäts- und Zugangsinformationen wie E-Mail, Profil oder Telefonnummern. Auch Log-in-Links für interne Systeme (etwa https://identity.vwgroup.io), Session-Cookies (jsessionid und weitere) sowie Authentifizierungs- und Zugriffskontroll-Details wollen die Täter erbeutet haben.

Auf der Darknet-Website zählt ein Countdown herunter und läuft zum Meldungszeitpunkt noch rund viereinhalb Tage. Danach drohen die Täter, die Daten zu veröffentlichen.

Niederländische, finnische und US-amerikanische Behörden haben gemeinsam weitere wichtige Werkzeuge der Malware-Industrie vom Netz genommen. Ihre Aktion richtete sich gegen AVCheck und zwei "Cryptor"-Sites zur Verschlüsselung von Schadsoftware.

Im stark arbeitsteiligen Malware-Ökosystem gibt es wie auch in der legalen Softwareindustrie Spezialisten für jede Aufgabe bei der Entwicklung von Schadsoftware. AVCheck diente gleichsam als "dunkles Gegenstück" zu Portalen wie VirusTotal, auf denen Administratoren und Sicherheitsforscher Malware-Dateien zur Untersuchung durch Virusscanner und Sandbox-VMs hochladen können. Während jedoch bei VirusTotal jede Datei gespeichert und somit schon einmal ein versehentlich hochgeladenes Malware-Sample identifiziert wird, konnten Malware-Autoren sich bei AVCheck auf Diskretion verlassen. Diese ließen sich die Betreiber bezahlen.

Zusätzlich zu AVcheck sind die "Cryptoren" crypt.guru und cryptor.biz ebenfalls offline. Auf diesen Domains konnten Autoren von Schadsoftware diese derart verschlüsseln lassen, dass sie für Antivirus-Software unauffindbar ist – ein weiterer Bestandteil des sogenannten "Counter Antivirus" (CAV).

Domains beschlagnahmt, Logins umgeleitet

Im Rahmen der internationalen "Operation Endgame 2.0" gingen internationale Ermittler Test-Abos bei den Malware-Dienstleistern ein und schlugen dann am 27. Mai zu. Sie stellten auch Verbindungen zu bekannten Ransomware-Gruppen fest und platzierten – wie bei derlei Aktionen üblich – Beschlagnahmungsbanner und gefälschte Login-Seiten auf den Domains der Malware-Tools.

Malware-Experte Andreas Marx ordnete die Ermittlungserfolge im Gespräch mit heise security ein: "Portale wie VirusTotal helfen bei der schnellen Identifizierung von Schädlingen und ermöglichen die Weitergabe von Wissen zu Malware. AVCheck.net hingegen diente nur dazu, die Malware und die Angriffe so zu optimieren, dass sie eben möglichst lange unentdeckt bleiben und man die infizierten PCs möglichst lange melken kann."

Beim Online-Banking der Sparkassen kam es am Sonntag des Wochenendes zu Problemen: Transaktionen ließen sich nicht ausführen, da die S-pushTAN-App Freigabeversuche lediglich mit Fehlermeldungen abwies. Das haben auch Betrüger als Chance begriffen und umgehend eine thematisch passende Phishing-Kampagne aufgesetzt.

Auf den Smartphones auch von nicht-Sparkassen-Kunden landeten bereits in der Nacht SMS mit der Nachricht: "Sparkasse: Ihre pushTAN-App läuft bald ab. Jetzt aktualisieren unter: <URL>. Vielen Dank. Ihre Sparkasse". Die angegebene URL enthält eine Browser-Weiche und führt in einem Desktop-Webbrowser ins Nichts. Auf Smartphones hingegen landen potenzielle Opfer auf einer authentisch wirkenden Webseite. Dort sollen Opfer ihre Daten eingeben, ein Download einer aktualisierten pushTAN-App findet sich dort derzeit nicht.

Auf dem Smartphone zeigt die Phishing-Seite einen echt wirkenden Nachbau einer Sparkassenseite an. Auf dem Desktop landet der Webbrowser jedoch im Nichts.

(Bild: Screenshot / dmk)

Betrugsfilter wie Safe Browsing oder der Phishing- und Malwareschutz in Firefox schlagen derzeit noch nicht an. Wer auf dieser Webseite seine Zugangsdaten eingibt, gibt sie damit an Betrüger weiter, die damit Schäden anrichten können.

Jeder unberechtigte Zugriff auf Firmennetzwerke und Systeme hinterlässt Spuren – etwa in Gestalt von Schadcode-Hashes, IP-Adressen von Angreiferservern oder Komponenten von Einbruchstools. Solche Relikte, auch Kompromittierungsindikatoren (engl. Indicators of Compromise, IoC) genannt, erfreuen sich als vielseitiges Werkzeug großer Beliebtheit bei Sicherheitsprofis. Sie helfen bei der detaillierten Beschreibung aktueller Security-Vorfälle, der Suche nach möglicherweise kompromittierten Systemen und sind darüber hinaus als Baustein zur künftigen, effektiven IT-Verteidigung nutzbar.

Bevor man IoCs sinnvoll einsetzen kann, ist jedoch meist etwas Vorarbeit nötig. Insbesondere selbst gesammelte Einbruchsspuren stecken oft zusammen mit weiteren Informationen in Logfiles verschiedenster Formate. Es gilt also erst einmal, sie zu isolieren und sicherzustellen, dass sie tatsächlich mit dem Angriffsgeschehen in Verbindung stehen. Anschließend muss man eine genauere Einschätzung der verbleibenden Kompromittierungsindikatoren vornehmen. Sie gewichten, priorisieren und zueinander in Beziehung setzen, um künftige Gefahren aufspüren, zugleich aber auch Fehlalarme minimieren zu können.

Das kostenlose Tool Cyberbro unterstützt bei diesen Arbeitsschritten. Es nimmt beliebigen Text-Input etwa aus Logs, Threat Intelligence-Feeds oder öffentlichen Sicherheitswarnungen entgegen und extrahiert potenzielle IoCs. Anschließend leitet es diese je nach Typ der Einbruchsspur gleich an mehrere externe Online-Services wie IPquery, VirusTotal, Shodan oder Phishtank weiter. Diese liefern dann zum IoC-Typ passende, öffentlich verfügbare Threat-Intelligence-Informationen zurück, die bei der Einschätzung und Gewichtung helfen. Cyberbro stellt sie zu einem übersichtlichen Report zusammen, den man in verschiedenen Formaten herunterladen und aus dem man überdies die strukturiert gespeicherten IoCs ganz einfach herauskopieren kann.

Wie gut das alles funktioniert und wie die resultierenden Reports aussehen, haben wir für Sie an ein paar Beispielen ausprobiert. Außerdem geben wir einen Überblick über die verschiedenen Nutzungsmöglichkeiten von Cyberbro – als Online-Tool, auf dem eigenen Rechner und als Browsererweiterung.

Die Entwickler von Tails haben Version 6.16 der Linux-Distribution zum anonymen Bewegen im Internet veröffentlicht. Die Änderungen gegenüber dem Notfallupdate 6.15.1 sind gering – wer jedoch noch ältere Versionen einsetzt, sollte dringend auf den aktuellen Stand wechseln.

Die Versionsankündigung zu Tails 6.16 ist äußerst dünn: Den "Tor Browser" liefert die neue Fassung nun in Version 14.5.3 mit und den Linux-Kernel auf Stand 6.1.140. Aufhorchen lässt jedoch die Zwischenversion Tails 6.15.1, die im Mai erschien. Die Tails-Maintainer bezeichneten die Fassung als Notfall-Release mit wichtigen Korrekturen zum Ausbessern von sicherheitsrelevanten Schwachstellen.

Der "Tor Browser" 14.5.2 hat als kritisches Risiko eingestufte Sicherheitslücken im Firefox-ESR-Webbrowser 128 geschlossen, auf dem die anonymisierende Software basiert. Außerdem ist Thunderbird 128.0.1 seitdem der aktuelle Stand. Die Ordner zum "Tor Browser" und "Tor Browser (persistent)" werden seit dieser Fassung entfernt, da sie durch die mit Tails 6.14.1 eingeführten Änderungen bei der "Tor Browser"-Integration nicht mehr nötig sind.

Wer also noch nicht auf Tails 6.15.1 oder neuer aktualisiert hat, sollte das nun zügig nachholen. Die aktuelle Version von Tails steht als USB-Image zum Verfrachten auf USB-Sticks zum Herunterladen bereit. Eine weitere Webseite liefert den Download als ISO-Abbild, das sich etwa auf DVD brennen oder in einer virtuellen Maschine nutzen lässt.

Anfang Mai erschien die Version 6.15 von Tails. Sie hat im Wesentlichen ebenfalls den "Tor Browser" sowie den Linux-Kernel auf aktuellen Stand gebracht. Die Programmierer hatten darin jedoch auch kleine Fehlerkorrekturen umgesetzt, die für einen besseren Schutz der Privatsphäre etwa nach einem Absturz mit Kernel Panic oder Oops sorgen sollen.

Nach Attacken auf Webforen, die mit vBulletin erstellt wurden, führen Angreifer Schadcode aus und kompromittieren Server. Die beiden mittlerweile geschlossenen Schwachstellen gelten als "kritisch". Damit erstellte Webforen sind aber nur verwundbar, wenn PHP 8.1 installiert ist.

Vor den Attacken warnt ein Sicherheitsforscher, der die Lücken (CVE-2025-48827, CVE-2025-48828) entdeckt hat. Die erste Schwachstelle ist mit dem maximal möglichen CVSS Score 10 von 10 eingestuft. In einem Beitrag zeigt er detaillierte Informationen zu den Schwachstellen auf.

Das Sicherheitsproblem findet sich in der PHP Reflection API im Zusammenspiel mit PHP 8.1. In diesem Kontext können Angreifer auf eigentlich geschützte Bereiche manipulierend zugreifen, Sicherheitsfunktionen umgehen und am Ende Schadcode ausführen.

Der Forscher gibt an, dass Angreifer derzeit nur die erste Lücke ausnutzen, um eine Hintertür zu installieren. Angriffe sollen ohne Authentifizierung möglich sein. In welchem Umfang die Attacken ablaufen, ist derzeit unklar. Ihm zufolge sind die Versionen 5.0.0 bis einschließlich 5.7.5 und 6.0.0 bis einschließlich 6.0.3 verwundbar.

Um Attacken vorzubeugen, müssen Webadmins sicherstellen, dass vBulletin 5.7.5 Patch Level 3 oder 6.x Patch Level 1 installiert sind. Die Sicherheitsupdates sind bereits seit mehr als einem Jahr verfügbar, aber offensichtlich bisher nicht flächendeckend installiert.

"Überprüfen Sie die URL vor dem Anklicken des Links" lautet eine goldene Regel, um sich vor Cyberangriffen verschiedener Art zu schützen – gegen eine neue Bande namens "Hazy Hawk" hilft sie leider nur bedingt: Cyberkriminellen ist es gelungen, zahlreiche Subdomains namhafter Unternehmen zur Verbreitung von Malware und Co zu nutzen. Das Einfallstor waren offenbar falsch konfigurierte DNS-Einträge – wahrscheinlich wurden diese vielfach einfach von ihren rechtmäßigen Inhabern vergessen.

Betroffen sind laut einem Bericht des IT-Sicherheitsunternehmens Infoblox unter anderem Bose, Panasonic und sogar die US-Seuchenbehörde Centers for Disease Control and Prevention (CDC). Die Entdeckung von Hazy Hawk geht laut Infoblox auf IT-Journalist Brian Krebs zurück. "Er machte uns darauf aufmerksam, dass die CDC-Domäne cdc[.]gov plötzlich Dutzende von URLs enthielt, die auf Pornovideos verwiesen", schreiben die Autoren. Diese seien in den Suchmaschinenergebnissen zu sehen gewesen und trugen demnach in den Suchmetadaten Verweise auf die CDC. Die Seiten sehen also in Suchergebnissen so aus, als stammten sie wirklich von der Behörde. Auch anderes, wie zum Beispiel falsche Antivirus-Software, versuchen die Kriminellen über die Subdomains ihrer Opfer zu verbreiten.

Anstatt auf Bruteforce oder Phishing zu setzen, um Kontrolle über die Netzwerke seiner Opfer zu erlangen, nutzt Hazy Hawk anscheinend alte, nicht mehr genutzte Cloud-Ressourcen aus, die mit falsch konfigurierten DNS CNAME-Einträgen verbunden sind, auch "Dangling"-Einträge genannt.

Sie entstehen, wenn ein Unternehmen seine Kapazitäten bei Cloud-Diensten wie Azure oder AWS außer Betrieb nimmt, aber nicht den DNS-Eintrag, der auf ihn verweist, aktualisiert oder löscht. Oft werden diese Einträge von den Inhabern einfach vergessen – doch sie werden zu gefährlichen Angriffszielen, mit denen die Cyberkriminellen ihre schädlichen Inhalte verbreiten können. Besonders gefährlich an dieser Masche: Viele gängige Sicherheitssysteme weisen gar nicht auf solche Fehlkonfigurationen hin.

Die Hazy Hawk-Akteure gingen noch weiter: Von den gekaperten Subdomains leiten sie die Besucher häufig automatisch auf schädliche Webseiten um. Sie nutzten dazu sogenannte Traffic Distribution Systems (TDS). Diese sind darauf ausgelegt, je nach Endgerät, Standort und Nutzungsverhalten die passenden Betrugsseiten zu liefern. Die Weiterleitung beginnt häufig von seriös anmutenden Blogs oder Entwicklerseiten, bevor die Odyssee durch ein Netz von Betrügerseiten beginnt. Erlauben Nutzer Push-Benachrichtigungen von solchen Seiten, erhöht sich das Risiko noch weiter. Daher gilt umso mehr, was ohnehin schon gilt: Nicht vertrauenswürdigen Seiten sollte man Push-Benachrichtigungen nicht erlauben.

Im Zusammenhang mit der groß angelegten Polizeiaktion "Operation Endgame 2.0" sucht das Bundeskriminalamt (BKA) zahlreiche Cyberkriminelle – unter ihnen ist auch Vitalii Nikolaevich Kovalev, vor allem bekannt als "Stern". Er soll der Kopf der berüchtigten Trickbot-Bande sein, eine Organisation, deren Struktur stark an ein herkömmliches Unternehmen erinnerte, "Stern" soll dabei sozusagen der CEO gewesen sein. Jetzt sucht das BKA auch mit seiner Identität und Fotos nach ihm.

Kovalev ist russischer Staatsbürger und steht laut Fahndungsausschreibung im Verdacht, als Gründer der Gruppe hinter der gleichnamigen Schadsoftware einen wesentlichen Tatbeitrag zur Durchführung von globalen Cyberattacken geleistet zu haben. Demnach ist er verdächtig, unter den Pseudonymen <stern> und <ben> die Gruppierung gegründet und als deren Anführer fungiert zu haben. Mindestens seit 2016 soll die Gruppe Hunderttausende PCs mit schädlicher Software wie Malware oder Ransomware infiziert haben.

Laut BKA erlangte sie durch ihre illegalen Aktivitäten Geldbeträge im dreistelligen Millionenbereich. Zu den Opfern zählen laut BKA Krankenhäuser, öffentliche Einrichtungen, Unternehmen, Behörden und Privatpersonen. Allein in Deutschland soll die Gruppierung einen Schaden in Höhe von mindestens 6,8 Millionen Euro verursacht haben. Bei Endgame 2.0 gingen insgesamt 300 Server offline, 50 davon in Deutschland, sie werden Trickbot und Qakbot, einer anderen Cybercrime-Gruppe, zugeordnet.

Das Bemerkenswerte am Gesuchten Kovalev ist, dass er die Organisation hinter Trickbot wirklich ähnlich wie ein normales Softwareunternehmen führte. Vor rund drei Jahren lieferte ein Bericht spannende Details zu Arbeitsweise und Organisation der Bande. Zum Beispiel, dass es zu diesem Zeitpunkt innerhalb der Organisation viele Spezial-Teams wie die Crypter gab, die sich in eigenen Chat-Gruppen austauschten. Die Crypter bauten ausschließlich Tools, mit denen sich Malware so verschleiern lässt, dass sie von Antiviren- und Sicherheits-Software nicht mehr entdeckt wird.

Jede Arbeitsgruppe hatte ihren eigenen Teamleader, darüber gab das Management Strategie und Richtung vor – mutmaßlich vor allem Kovalev, der heute als Anführer der Bande gesucht wird. Klingt erstmal nach herkömmlichem organisierten Verbrechen – doch in dem Bericht ist auch von regelmäßigen, zweiwöchentlichen Zahlungen, Krankengeld und Urlaub und einem 13. Monatsgehalt die Rede. Das geht aus Kommunikationsverläufen der Gruppe hervor, die den Urhebern vorlagen. Die für Cyberkriminalität eher neuartigen Strukturen sorgten damals für Aufsehen – der heute identifizierte und gesuchte Kovalev dürfte so etwas wie ein Vorreiter gewesen sein.

Anfang des Jahres wurde Corplife, eine Plattform für Mitarbeiterbenefits, auf ein Datenleck aufmerksam gemacht. Da sie nicht reagiert haben, hatte sich der Hinweisgeber an den Chaos Computer Club (CCC) gewandt. Die Daten waren bis Mitte Februar 2025 zugänglich, da die Lücke erst nach Meldung des CCC geschlossen wurde. Ob die Betroffenen informiert wurden, ist noch unklar. Eine diesbezügliche Anfrage von heise online an das Unternehmen ist noch unbeantwortet.

Die Plattform ist sowohl als Web- als auch als App-Version verfügbar. Darüber erhalten Mitarbeiter Zugang zu einem Marktplatz mit über 1500 regionalen und internationalen Marken in Bereichen wie Shopping, Sport, Reisen, Gastronomie und mehr. Neben klassischen Rabatten gibt es über Corplife auch digitale Essenszuschüsse, die steuerfrei und ohne Papierkram genutzt werden können. Firmen wie Siemens, Microsoft, IBM, Casio, Dyson und Rituals nutzen Corplife bereits. Seit seiner Gründung ist das Unternehmen Marktführer in Österreich und unter anderem auch nach Deutschland expandiert.

Offen zugänglich waren nach Hinweisen des CCC etwa 7800 pkpass-Dateien, CSV-Dateien mit rund 145.000 Namen, E-Mail-Adressen und Unternehmenszugehörigkeiten, dem Quellcode und ein Datenbank-Backup. Stichproben lassen vermuten, dass es sich nicht um reine Testdaten handelt. In einem 7 Gigabyte großem Datenbank-Backup, das online wegen aktivierter Directory Listings abrufbar war, zählten nach Angaben des CCC rund 165.000 Benutzerkonten inklusive Namen, E-Mail-Adressen, Anschrift, Unternehmenszugehörigkeit, Passworthash und zehntausende Bestellungen. In Teilen lässt sich das über einen archivierten Link nachvollziehen.

Laut Corplife habe es sich bei der Sicherheitslücke jedoch um einen Zugang zu internen Testservern gehandelt, die lediglich für Entwicklungszwecke genutzt würden und "keine live Daten enthalten". Das geht aus einer Stellungnahme des Unternehmens an die österreichische Datenschutzbehörde hervor. Nach Erhalt der Information habe das Unternehmen umgehend reagiert und die Sicherheitslücke geschlossen und weitere Maßnahmen ergriffen, wie "veraltete und nicht unbedingt notwendig Files und Ordner von dem Testserver vollständig entfernt".

Darüber hinaus informiert der CCC über mehrere Datenlecks. Demnach waren unter anderem Lieferdienste des Software-Unternehmens Tom & Poolee betroffen, die sich ein Backend teilten. Ein Login war ohne Passwort möglich. Durch Hochzählen der ID konnte man sich mit einem von rund 200.000 Kundenzugängen einloggen. Ähnliches war bei Rechnungsnummern möglich, die beim Anbieter Karvi Solutions hochgezählt werden konnte. Betroffen waren 399 Lieferdienste in ganz Deutschland. Vollständig geschlossen ist die Lücke nach Angaben des CCC noch nicht.

Tausende Router von Asus sind von Unbekannten übernommen worden, der unerlaubte Zugriff kann nicht einmal durch einen Neustart oder Firmware-Updates unterbunden werden. Das hat GreyNoise ermittelt und erklärt, dass es sich womöglich um die ersten Schritte beim Aufbau eines Botnets handelt.

Laut dem IT-Sicherheitsunternehmen gehen Angreifern beim Erstzugriff heimlich vor und greifen auf integrierte Systemfunktionen zu, um sich tief im System festzusetzen. Das deute auf einen "äußerst fähigen" Verantwortlichen, der sehr gut ausgestattet ist, hin. Für nicht kompromittierte Router stehen Patches bereit.

Wie GreyNoise in einem Blogeintrag ausführt, erlangen die Unbekanten den Zugriff über massenhafte Login-Versuche ("Brute Force") und umgehen dabei Authentifizierungsvorgaben. Dabei würden Lücken ausgenutzt, die keine CVE-Kennzeichnung erhalten haben, aber inzwischen geschlossen seien. Danach wird eine weitere Lücke (CVE-2023-39780) ausgenutzt, die Asus inzwischen ebenfalls gepatcht habe. Schließlich würde der weitere Zugriff von außen ermöglicht. Die Hintertür selbst werde in nicht-flüchtigem NVRAM abgelegt, weshalb sie weder durch einen Neustart noch durch ein Firmware-Update geschlossen werden könne. Malware werde nicht installiert und die Logging-Funktion der Router werde deaktiviert.

Entdeckt hat GreyNoise die Kampagne demnach Mitte März mithilfe einer KI, die auf anomalen Traffic angesprungen ist. Am 23. März wurde Asus informiert, es folgten die Patches. Zuletzt waren laut GreyNoise fast 9000 Router kompromittiert, die Zahl wachse weiter. Welche Modelle betroffen sind, schreibt die Firma zwar nicht, aufgelistet werden aber mit dem Angriff verbundene IP-Adressen. Außerdem empfiehlt GreyNoise eine Prüfung, ob auf eigenen Asus-Routern der SSH-Zugriff auf den Port TCP/53282 erlaubt wurde. In der Datei "authorized_keys" sollten außerdem nicht autorisierte Einträge gesucht werden. Ist ein Gerät kompromittiert, helfe nur das Zurücksetzen auf die Werkseinstellung und die manuelle Neukonfiguration.

Wenn das WordPress-Plug-in TI WooCommerce Wishlist installiert ist, können Angreifer mit vergleichsweise wenig Aufwand Schadcode hochladen und Internetseiten kompromittieren. Bislang ist kein Sicherheitsupdate verfügbar. WordPress-Installationen sind aber nur unter einer bestimmten Voraussetzung attackierbar.

Die Sicherheitslücke (CVE-2025-47577) ist mit dem Bedrohungsgrad "kritisch" und dem höchstmöglichen CVSS Score 10 von 10 eingestuft. Auf die Schwachstelle sind Sicherheitsforscher von Patchstack gestoßen. Websites sind ihrem Bericht zufolge aber nur verwundbar, wenn die WooCommerce-Erweiterung WC Fields Factory aktiv und mit TI WooCommerce Wishlist verknüpft ist.

Ist das gegeben, können Angreifer an der defekten Uploadfunktion tinvwl_upload_file_wc_fields_factory ansetzen und mit der Angabe 'test_type' => false die Dateiüberprüfung umgehen, um so eigenen Code hochzuladen und auszuführen. Das kann etwa aus der Ferne über den Upload einer präparierten PHP-Datei passieren. Bislang haben die Sicherheitsforscher eigenen Angaben zufolge keine Attacken beobachtet.

Auf der Website des Plug-ins steht, dass es mehr als 100.000 aktive Installationen aufweist. Von der Lücke sollen alle Versionen bis inklusive der aktuellen Ausgabe 2.9.2 betroffen sein. Die Sicherheitsforscher geben an, die Entwickler Ende März dieses Jahres kontaktiert zu haben. Bislang haben sie dazu kein Feedback bekommen. Wann ein Sicherheitsupdate erscheint, bleibt somit unklar. Admins sollten bis Erscheinen eines Patches das Plug-in aus Sicherheitsgründen deaktivieren.

Mit jedem Modelljahr werden Autos digitaler, smarter – und zu echten Datensammlern auf Rädern. Sie erfassen Fahrverhalten, Batteriestatus, Standorte und vieles mehr. Was dabei an persönlichen Informationen im Fahrzeug, in der Cloud oder beim Hersteller landet, bleibt für viele Autofahrer unklar.

Hans Steege beim Podcasten in der Auslegungssache

In der aktuellen Episode des c't-Datenschutz-Podcasts diskutieren Redakteur Holger Bleich und Verlagsjustiziar Joerg Heidrich mit Dr. Dr. Hans Steege über die Herausforderungen, die moderne Fahrzeuge für den Datenschutz mit sich bringen. Steege ist seit 2021 im Bereich Datenschutz bei der Volkswagen-Tochter Cariad tätig. Außerdem ist er seit 2022 Lehrbeauftragter am Institut für Volkswirtschaftslehre und Recht an der Universität Stuttgart und lehrt dort in den Bereichen Recht der Digitalisierung, Autonomes Fahren und Künstliche Intelligenz.

Wie Steege erläutert, fallen in modernen Fahrzeugen Daten aus vielen Quellen an – von Ultraschallsensoren über Kameras bis zu Car-to-Car-Kommunikation. Einiges davon landet aus technischen Gründen oder aufgrund gesetzlicher Vorgaben in den Systemen der Hersteller. Andere Informationen wie Standortdaten oder Fahrprofile werden für Komfortfunktionen und Dienste erhoben – meist auf Basis einer Einwilligung der Nutzer.

Doch genau hier liegt ein Problem: Kaum jemand liest sich die ellenlangen Datenschutzerklärungen durch, bevor er ein neues Auto startet. Zudem ist oft unklar, welche Daten genau erhoben und wie lange sie gespeichert werden. Auch die Tatsache, dass Autos oft von mehreren Personen genutzt werden, erschwert die Sache.

Professionell agierende internationale Diebesbanden haben eine neue Masche entwickelt, um gestohlene iPhones möglichst teuer weiterverkaufen zu können: Sie versuchen, ihre Opfer mit professionell aufgemachten Phishing-Seiten zu überreden, ihre Geräte-PIN zu verraten. Wie Mac & i-Leser Michael Kania berichtet, der einen IT-Service betreibt, ist ihm ein solcher Fall kürzlich in Barcelona bei einem Kunden vorgekommen. Diesem war auf dem Markt in La Rambla sein iPhone entwendet worden. Das Gerät wurde gesperrt und die Polizei verständigt. Wie man es üblicherweise tut, war auf dem Sperrbildschirm eine Kontaktinformation zu lesen – in diesem Fall die von seiner Frau.

Nach Verständigung der Polizei ließ sich das iPhone bis in ein bestimmtes Viertel in Barcelona verfolgen. "Kurz darauf erhielt die Frau meines Kunden eine SMS angeblich von Apple als Absender", so Kania. Diese enthielt einen Link samt der korrekten Gerätebezeichnung iPhone 15 Pro Max. Unter dem Link sei die Lokalisierung möglich. "Das Ganze war ganz gut gefälscht und für den Laien nicht sofort erkennbar, dass es keine Apple-Domain war." Nach dem Öffnen des Links erschien ein bis auf Rechtschreibfehler perfekt gefälschter Sperrbildschirm des iPhone im Browser. Hier hofften die Diebe wohl, dass der Nutzer den echten Sperrcode eingibt.

Das tat das Opfer dann aber natürlich nicht, sondern gab einen falschen Code ein, um die Diebe weiter zu beschäftigen – in der Hoffnung, dass sie damit online gehen. Über die folgenden Tage kamen weitere SMS mit angeblichen Standortmeldungen und dem gleichen Link – immer wieder im Versuch, dem Opfer die PIN zu entlocken. Die Polizei konnte nichts mehr tun. Schließlich fand sich das gestohlene iPhone über "Wo ist?" im chinesischen Shenzhen wieder, wo es wohl in Einzelteile zerlegt wurde. Glücklicherweise gelang es zumindest, die Daten auf dem Gerät fernzulöschen.

Dass Diebe nachträglich versuchen, an die Geräte-PIN zu gelangen, ist bekannt. So soll es in Shenzhen iPhone-Recycler geben, die Nutzer "erpressen": Sie schicken über die Kontaktadresse auf dem gesperrten iPhone die Botschaft, man werde das Gerät an "Hacker" weiterverkaufen, wenn man es dank PIN nicht löschen könne. In der Metropole nahe Hongkong soll es ein ganzes Haus voller Unternehmen geben, die sich auf die Entsperrung und Zerlegung geklauter Apple-Smartphones spezialisiert haben. Für Diebstahlopfer heißt das, dass man nach dem Klau sehr vorsichtig sein muss: Botschaften der Diebe darf man nicht trauen, merkwürdige Links dürfen nicht geklickt werden.

Die iPhone-PIN hat noch mehr Bedeutung als nur für die Entsperrung des Geräts: Sie war lange auch wichtiges Zugangsmedium für den Apple-Account, an dem praktisch alles hängt. Seit iOS 17.3 hat Apple hier einen neuen Anti-Diebstahl-Modus implementiert.