End-of-Day report
Timeframe: Freitag 21-11-2025 18:00 - Montag 24-11-2025 19:30
Handler: Felician Fuchs
Co-Handler: Michael Schlagenhaufer
News
Shai-Hulud 2.0: Ongoing Supply Chain Attack
Detect and mitigate malicious npm packages linked to the recent Shai-Hulud-style campaign. Over 25,000 affected repositories across ~350 unique users.
https://www.wiz.io/blog/shai-hulud-2-0-ongoing-supply-chain-attack
How to know if your Asus router is one of thousands hacked by China-state hackers
So far, the hackers are laying low, likely for later use.
https://arstechnica.com/security/2025/11/thousands-of-hacked-asus-routers-are-under-control-of-suspected-china-state-hackers/
CrowdStrike catches insider feeding information to hackers
American cybersecurity firm CrowdStrike has confirmed that an insider shared screenshots taken on internal systems with hackers after they were leaked on Telegram by the Scattered Lapsus$ Hunters threat actors.
https://www.bleepingcomputer.com/news/security/crowdstrike-catches-insider-feeding-information-to-hackers/
Ausgesperrt aus dem eigenen Körper: Zauberkünstler vergisst Passwort für Hand-Chip
Ein Magier hat sich durch ein vergessenes Passwort dauerhaft aus dem RFID-Chip in seiner eigenen Hand ausgesperrt.
https://www.golem.de/news/ausgesperrt-aus-dem-eigenen-koerper-zauberkuenstler-vergisst-passwort-fuer-hand-chip-2511-202487.html
ShadowPad Malware Actively Exploits WSUS Vulnerability for Full System Access
A recently patched security flaw in Microsoft Windows Server Update Services (WSUS) has been exploited by threat actors to distribute malware known as ShadowPad.
https://thehackernews.com/2025/11/shadowpad-malware-actively-exploits.html
ShinyHunters does not like Salesforce at all, claims the crew accessed Gainsight 3 months ago
Shiny talks to The Reg EXCLUSIVE ShinyHunters has claimed responsibility for the Gainsight breach that allowed the data thieves to snarf data from hundreds more Salesforce customers.
www.theregister.com/2025/11/21/shinyhunters_salesforce_gainsight_breach/
Amazon Is Using Specialized AI Agents for Deep Bug Hunting
Born out of an internal hackathon, Amazon-s Autonomous Threat Analysis system uses a variety of specialized AI agents to detect weaknesses and propose fixes to the company-s platforms.
https://www.wired.com/story/amazon-autonomous-threat-analysis/
DHL-Phishing zur Online-Handel-Blütezeit
Mit der "Cyber-Week" startet der Online-Handel in den Jahresendspurt. Online-Betrüger wollen Opfer mit angeblichen Nachzahlungen ködern.
https://www.heise.de/news/DHL-Phishing-zur-Online-Handel-Bluetezeit-11088448.html
Fahrradhersteller Woom: IT-Einbruch durch Cybergang INC Ransom
Vor zwei Wochen gab es einen IT-Einbruch beim Kinderradhersteller Woom. Die Cybergang INC Ransom droht mit Datenveröffentlichung.
https://www.heise.de/news/Fahrradhersteller-Woom-IT-Einbruch-durch-Cybergang-INC-Ransom-11089829.html
IT-Sicherheit: BSI will Webmail-Anbieter stärker in die Pflicht nehmen
Die E-Mail-Sicherheit lastet größtenteils auf den Schultern der Anwender, moniert das BSI. Es sieht die Betreiber etwa bei der Anmeldung in der Verantwortung.
https://www.heise.de/news/IT-Sicherheit-BSI-will-Webmail-Anbieter-staerker-in-die-Pflicht-nehmen-11090143.html
Matrix Push C2 abuses browser notifications to deliver phishing and malware
Attackers can send highly realistic push notifications through your browser, including fake alerts that can lead to malware or phishing pages.
https://www.malwarebytes.com/blog/news/2025/11/matrix-push-c2-abuses-browser-notifications-to-deliver-phishing-and-malware
Vorsicht vor gefälschten Rückerstattungen der ÖGK!
Derzeit verbreitet sich erneut eine Phishing-Welle, die viele Österreicher:innen betrifft. In betrügerischen E-Mails wird behauptet, man habe Anspruch auf eine Rückerstattung der Österreichischen Gesundheitskasse (ÖGK). Wer der Aufforderung folgt, führt jedoch eine Überweisung an Kriminelle durch.
https://www.watchlist-internet.at/news/vorsicht-vor-gefaelschten-rueckerstattungen-der-oegk/
Kundendaten von US-Banken nach Cyberattacke womöglich kompromittiert
Ein Cyberangriff auf den Dienstleister SitusAMC könnte Kundendaten großer US-Banken wie JPMorgan Chase, Citi und Morgan Stanley kompromittiert haben.
https://www.derstandard.at/story/3000000297610/kundendaten-von-us-banken-nach-cyberattacke-womoeglich-kompromittiert
SmbCrawler - SMB Share Discovery and Secret-Hunting
SmbCrawler is a credentialed SMB share crawler for red teams that discovers misconfigured shares and hunts secrets across Windows networks.
https://www.darknet.org.uk/2025/11/smbcrawler-smb-share-discovery-and-secret-hunting/
GhostAd: Hidden Google Play Adware Drains Devices and Disrupts Millions of Users
Check Point researchers uncover a large-scale Android adware campaign that silently drains resources and disrupts normal phone use through persistent background activity. During an internal threat-hunting investigation, Check Point Harmony Mobile Detection Team identified a network of Android applications on Google Play masquerading as harmless utility and emoji-editing tools.
https://blog.checkpoint.com/research/ghostad-hidden-google-play-adware-drains-devices-and-disrupts-millions-of-users/
SesameOp: Neuartige Backdoor in OpenAI API für C&C missbraucht
Sicherheitsforscher von Microsoft sind auf eine neuartige Backdoor in der OpenAI Assistant API gestoßen, und haben diese SesameOp genannt. Diese neuartige Backdoor, die von einem Angreifer verwendet wurde, nutzt die API des OpenAI Assistant, um Befehls- und Kontrollfunktionen für Cyberangriffe zu implementieren.
https://www.borncity.com/blog/2025/11/22/sesameop-neuartige-backdoor-in-openai-api-fuer-cc-missbraucht/
Smartmeter: Daten wecken Begehrlichkeiten (der Polizei in Sacramento)
Smartmeter erfassen ja den Stromverbrauch in Haushalten, und es gibt große Bedenken, dass diese neue Technologie missbraucht werden könnte. In den USA hat die Stadt Sacramento einen entsprechenden Skandal, bei dem der Betreiber der intelligenten Stromzähler ohne richterlichen Beschluss an die örtliche Polizei weitergegeben hat. Die Praxis wurde jetzt von einem Richter gestoppt.
https://www.borncity.com/blog/2025/11/23/smartmeter-daten-wecken-begehrlichkeiten-der-polizei-in-sacramento/
WTF: Schlüssel weg - Kryptologen kommen nicht an ihre Wahlergebnisse
Eine renommierte Gruppe von Kryptologie-Forschern nutzt ein ausgefeiltes Schutzsystem - und fällt ihm schließlich selbst zum Opfer.
https://heise.de/-11088550
A Reverse Engineer-s Anatomy of the macOS Boot Chain & Security Architecture
The security of the macOS platform on Apple Silicon is not defined by the kernel; it is defined by the physics of the die. Before the first instruction of kernelcache is fetched, a complex, cryptographic ballet has already concluded within the Application Processor (AP). This section dissects the immutable hardware logic that establishes the initial link in the Chain of Trust.
http://stack.int.mov/a-reverse-engineers-anatomy-of-the-macos-boot-chain-security-architecture/
Vulnerabilities
Grafana warns of max severity admin spoofing vulnerability
Grafana Labs is warning of a maximum severity vulnerability (CVE-2025-41115) in its Enterprise product that can be exploited to treat new users as administrators or for privilege escalation.
https://www.bleepingcomputer.com/news/security/grafana-warns-of-max-severity-admin-spoofing-vulnerability/
CISA warns Oracle Identity Manager RCE flaw is being actively exploited
The U.S. Cybersecurity & Infrastructure Security Agency (CISA) is warning government agencies to patch an Oracle Identity Manager tracked as CVE-2025-61757 that has been exploited in attacks, potentially as a zero-day.
https://www.bleepingcomputer.com/news/security/cisa-warns-oracle-identity-manager-rce-flaw-is-being-actively-exploited/
Malware im Anmarsch: Kritische Windows-Lücke ermöglicht Angriffe über JPEG-Daten
Forscher warnen vor einer kritischen Sicherheitslücke in einer Windows-Bibliothek. Angreifer können über JPEG-Bilddaten Schadcode einschleusen.
https://www.golem.de/news/malware-im-anmarsch-kritische-windows-luecke-ermoeglicht-angriffe-ueber-jpeg-daten-2511-202528.html
Jetzt patchen! Schadcode-Attacken auf Oracle Identity Manager beobachtet
Es gibt Hinweise, dass Angreifer Oracle Identity Manager bereits seit August dieses Jahres attackieren. Ein Sicherheitsupdate ist vorhanden.
https://www.heise.de/news/Jetzt-patchen-Schadcode-Attacken-auf-Oracle-Identity-Manager-beobachtet-11088896.html
HCL BigFix: Sicherheitsprobleme bei SAML-Authentifizierung
Die Endpoint-Management-Plattform BigFix von HCL ist verwundbar. Nun haben die Entwickler eine kritische Sicherheitslücke geschlossen.
https://www.heise.de/news/HCL-BigFix-Sicherheitsprobleme-bei-SAML-Authentifizierung-11089368.html
Security updates for Monday
Security updates have been issued by Fedora (calibre, chromium, cri-o1.32, cri-o1.33, cri-o1.34, dotnet10.0, dovecot, gnutls, gopass, gopass-hibp, gopass-jsonapi, kubernetes1.31, kubernetes1.32, kubernetes1.33, kubernetes1.34, and linux-firmware), Mageia (ffmpeg, kernel, kmod-xtables-addons & kmod-virtualbox, kernel-linus, konsole, and redis), Red Hat (bind and bind-dyndb-ldap and kernel), SUSE (act, alloy, amazon-ssm-agent, ansible-12, ansible-core, blender, chromium, cups-filters, curl, elfutils, expat, firefox, glib2, grub2, helm, kernel, libipa_hbac-devel, libxslt, nvidia-container-toolkit, ongres-scram, openexr, podman, poppler, runc, samba, sssd, thunderbird, and tomcat), and Ubuntu (cups-filters, linux, linux-aws, linux-gcp, linux-hwe-6.14, linux-oracle, linux-realtime, linux-oem-6.14, and linux-realtime-6.14).
https://lwn.net/Articles/1047682/
Synology-SA-25:14 DSM (PWN2OWN 2025)
Synology has released a security update for the DSM to address ZDI-CAN-28409: CVE-2025-13392 allows remote attackers to bypass authentication with prior knowledge of the distinguished name (DN).Please refer to the Affected Products table for the corresponding updates.
https://www.synology.com/en-global/support/security/Synology_SA_25_14
VU#761751: fluentbit contains stack buffer overflow, authentication bypass, and path traversal flaws
https://kb.cert.org/vuls/id/761751
F5: K000157948, BIND vulnerability CVE-2025-40780
https://my.f5.com/manage/s/article/K000157948