01.06.2025

Heise Security 30.05.2025 18:52
Bei einer Plattform für Mitarbeiterbenefits gab es ein Datenleck. Darüber und über weitere unfreiwillige Datenspenden informiert der Chaos Computer Club.

Infosecurity Magazine 30.05.2025 16:45
Australian firms with an annual turnover of AUS $3m are now required to report any payments to ransomware groups to authorities

CSO Online 30.05.2025 14:38

A newly uncovered botnet is targeting Asus routers — specifically models RT-AC3100 and RT-AC3200 — to hijack and repurpose a built-in, AI-powered security feature.

The campaign, detected by GreyNoise in March 2025, employs a multi-stage approach to compromise devices and establish persistent unauthorized access.

“We are observing an ongoing wave of exploitation targeting ASUS routers, combining both old and new attack methods,” GreyNoise researchers said in a blog post. “After an initial wave of generic brute-force attacks targeting ‘login.cgi,’ we observe subsequent attempts exploiting older authentication bypass vulnerabilities.”

GreyNoise said its in-house AI tool, SIFT, flagged suspicious traffic aimed at disabling and exploiting a TrendMicro-powered security feature, AiProtection, enabled by default on Asus routers.

Trojanizing the safety net

Asus’ AiProtection, developed with TrendMicro, is a built-in, enterprise-grade security suite for its routers, offering real-time threat detection, malware blocking, and intrusion prevention using cloud-based intelligence.

After gaining administrative access on the routers, either by brute-forcing or exploiting known authentication bypass vulnerabilities of “login.cgi” — a web-based admin interface, the attackers exploit an authenticated command injection flaw (CVE-2023-39780) to create an empty file at /tmp/BWSQL_LOG.Doing this activates the BWDPI (Bidirectional Web Data Packet Inspection) logging feature, a component of Asus’ AiProtection suite aimed at inspecting incoming and outgoing traffic. With logging turned on, attackers can feed crafted (malicious) payloads into the router’s traffic, as BWDPI is not meant to handle arbitrary data.In this particular case, the attackers use this to enable SSH on a non-standard port and add their own keys, creating a stealthy backdoor. “Because this key is added using the official Asus features, this config change is persisted across firmware upgrades,” GreyNoise researchers said. “If you’ve been exploited previously, upgrading your firmware will NOT remove the SSH backdoor.”While GreyNoise did not specify a particular CVE used as an authentication bypass for initial access, Asus recently acknowledged a critical authentication bypass vulnerability, tracked as CVE-2025-2492, affecting routers with the AiCloud feature enabled.

Monitoring SSH access is the only protection

As upgrading the fir

CSO Online 30.05.2025 13:40

srcset="https://b2b-contenthub.com/wp-content/uploads/2025/05/vju-ruegen-hotel-ausblick.jpg?quality=50&strip=all 1742w, https://b2b-contenthub.com/wp-content/uploads/2025/05/vju-ruegen-hotel-ausblick.jpg?resize=300%2C168&quality=50&strip=all 300w, https://b2b-contenthub.com/wp-content/uploads/2025/05/vju-ruegen-hotel-ausblick.jpg?resize=768%2C432&quality=50&strip=all 768w, https://b2b-contenthub.com/wp-content/uploads/2025/05/vju-ruegen-hotel-ausblick.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https://b2b-contenthub.com/wp-content/uploads/2025/05/vju-ruegen-hotel-ausblick.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https://b2b-contenthub.com/wp-content/uploads/2025/05/vju-ruegen-hotel-ausblick.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https://b2b-contenthub.com/wp-content/uploads/2025/05/vju-ruegen-hotel-ausblick.jpg?resize=150%2C84&quality=50&strip=all 150w, https://b2b-contenthub.com/wp-content/uploads/2025/05/vju-ruegen-hotel-ausblick.jpg?resize=854%2C480&quality=50&strip=all 854w, https://b2b-contenthub.com/wp-content/uploads/2025/05/vju-ruegen-hotel-ausblick.jpg?resize=640%2C360&quality=50&strip=all 640w, https://b2b-contenthub.com/wp-content/uploads/2025/05/vju-ruegen-hotel-ausblick.jpg?resize=444%2C250&quality=50&strip=all 444w" width="1024" height="576" sizes="(max-width: 1024px) 100vw, 1024px">In den Hotels der Arcona Gruppe kommt es aktuell zu Einschränkungen. Ursache ist ein Cyberangriff. arcona.de

Die Hotelgruppe Arcona wurde Opfer einer Cyberattacke. Der Vorfall hat sich nach eigenen Angaben bereits am Freitag vergangener Woche ereignet (23. Mai). “Wir haben schnell festgestellt, dass es sich um einen Angriff mit Ransomware handelte. Daraufhin wurden vorsorglich alle Standorte von den zentralen IT-Diensten getrennt und weitere Sicherheitsmaßnahmen eingeleitet, um eine mögliche Ausbreitung und weitere Schäden zu begrenzen”, erklärt Alexander Winter, Geschäftsführer bei Arcona Hotels & Resorts gegenüber CSO.

In den zur Gruppe gehörenden Hotels Vju und Koopmanns auf Rügen, im Hotel Elephant in Weimar und in der Zentrale in Rostock kommt es deshalb nach wie vor zu Einschränkungen.

Laut Winter sind von dem Angriff unter anderem Schnittstellen zu einzelnen Systemen betroffen. So seien derzeit zum Beispiel Kassensysteme und Telefone nur eingeschränkt nutzbar. “Der allgemeine Hotelbetrieb läuft jedo

Golem 30.05.2025 13:24
Forscher warnen vor einer Sicherheitslücke in Microsofts File Picker für Onedrive. Apps wie ChatGPT können weitaus mehr lesen, als Anwender erwarten. (Sicherheitslücke, Datenschutz)

The Hacker News 30.05.2025 13:12
The China-linked threat actor behind the recent in-the-wild exploitation of a critical security flaw in SAP NetWeaver has been attributed to a broader set of attacks targeting organizations in Brazil, India, and Southeast Asia since 2023.
"The threat actor mainly targets the SQL injection vulnerabilities discovered on web applications to access the SQL servers of targeted organizations," Trend

Golem 30.05.2025 11:04
Ein KI-Tool soll die Herkunft von Youtube-Nutzern auf Basis ihrer Kommentare erraten können. Die Kosten: 20 US-Dollar pro Monat. (Datenschutz, Video-Community)

CSO Online 30.05.2025 9:02

srcset="https://b2b-contenthub.com/wp-content/uploads/2025/05/shutterstock_2420504331.jpg?quality=50&strip=all 4997w, https://b2b-contenthub.com/wp-content/uploads/2025/05/shutterstock_2420504331.jpg?resize=300%2C168&quality=50&strip=all 300w, https://b2b-contenthub.com/wp-content/uploads/2025/05/shutterstock_2420504331.jpg?resize=768%2C432&quality=50&strip=all 768w, https://b2b-contenthub.com/wp-content/uploads/2025/05/shutterstock_2420504331.jpg?resize=1024%2C576&quality=50&strip=all 1024w, https://b2b-contenthub.com/wp-content/uploads/2025/05/shutterstock_2420504331.jpg?resize=1536%2C864&quality=50&strip=all 1536w, https://b2b-contenthub.com/wp-content/uploads/2025/05/shutterstock_2420504331.jpg?resize=2048%2C1152&quality=50&strip=all 2048w, https://b2b-contenthub.com/wp-content/uploads/2025/05/shutterstock_2420504331.jpg?resize=1240%2C697&quality=50&strip=all 1240w, https://b2b-contenthub.com/wp-content/uploads/2025/05/shutterstock_2420504331.jpg?resize=150%2C84&quality=50&strip=all 150w, https://b2b-contenthub.com/wp-content/uploads/2025/05/shutterstock_2420504331.jpg?resize=854%2C480&quality=50&strip=all 854w, https://b2b-contenthub.com/wp-content/uploads/2025/05/shutterstock_2420504331.jpg?resize=640%2C360&quality=50&strip=all 640w, https://b2b-contenthub.com/wp-content/uploads/2025/05/shutterstock_2420504331.jpg?resize=444%2C250&quality=50&strip=all 444w" width="1024" height="576" sizes="(max-width: 1024px) 100vw, 1024px">Die EU macht chinesische Hacker für eine bösartige Cyberkampagne gegen das Außenministerium in Tschechien verantwortlich.Andrii Yalanskyi – shutterstock.com

Ein mutmaßlicher chinesischer Hackerangriff gegen das Außenministerium in Tschechien alarmiert die Nato und die EU. In einer gemeinsamen Erklärung der 32 Nato-Staaten heißt es, man beobachte mit wachsender Besorgnis die zunehmenden böswilligen Cyberaktivitäten, die von der Volksrepublik China ausgehen und sei entschlossen, diese zu bekämpfen. Die EU teilte zeitgleich mit, sie stehe bereit, bei Bedarf weitere Maßnahmen zu ergreifen. Dazu hatten in der Vergangenheit auch Sanktionen gezählt.

Die Attacke gegen das Außenministerium des Nato- und EU-Staats hat nach offiziellen Informationen bereits 2022 begonnen. Nach Informationen des tschechischen Nachrichtenportals Seznamzpravy.cz konnte China dadurch mutmaßlich jahrelang E-Mails tschechischer Dipl

The Hacker News 29.05.2025 15:16
Cybersecurity researchers have taken the wraps off an unusual cyber attack that leveraged malware with corrupted DOS and PE headers, according to new findings from Fortinet.
The DOS (Disk Operating System) and PE (Portable Executable) headers are essential parts of a Windows PE file, providing information about the executable.
While the DOS header makes the executable file backward compatible

Infosecurity Magazine 29.05.2025 11:00
EasyDMARC found that just 7.7% of the world’s top 1.8 million email domains have implemented the most stringent DMARC policy