Breach FM - der Infosec Podcast

Robert Wortmann, Max Imbiel

Breach FM taucht tief in die Welt der Cybersicherheit, digitalen Konflikte und ihrer explosiven geopolitischen Folgen ein. Moderiert von Robert Wortmann und Max Imbiel, nimmt der Podcast aktuelle Bedrohungen, innovative Technologien und clevere Strategien unter die Lupe. Mit hochkarätigen Gästen aus Forschung, Industrie und Politik werden brisante Themen wie staatliche Cyberangriffe, Krisenmanagement und die Schattenseiten der Cyberkriminalität aufgedeckt. Spannend, praxisnah und voller wertvoller Perspektiven – hier wird die digitale Frontlinie hörbar.

  1. Flurfunk - Law Firms physisch angegriffen, Scattered Spider / Microsoft GDID & BSI-BND-Schwachstellenmeldepflicht

    vor 2 Tagen

    Flurfunk - Law Firms physisch angegriffen, Scattered Spider / Microsoft GDID & BSI-BND-Schwachstellenmeldepflicht

    🎙️ Nach dem Chaos der letzten Woche, sind wir diese Woche wieder wie gewohnt zurück und besprechen neben der üblichen Laberei auch drei wichtige Themen: CNN berichtet über eine Kampagne der Silent Ransom Group gegen US-Anwaltskanzleien. Die Gruppe, auch als Luna Moth bekannt, beginnt mit klassischem Vishing – gefälschter IT-Support, Remote-Access, Credential-Harvesting. Wenn das mehrfach scheitert, schicken sie laut FBI angeheuerte Personen physisch vor Ort, die sich als IT-Dienstleister ausgeben und Daten über externe Speichermedien oder legitime Cloud-Dienste exfiltrieren. Keine Verschlüsselung, nur Exfiltration. Vermeintliches Ziel: M&A-Unterlagen, Litigation-Strategien, Ermittlungsakten – Material mit hohem Erpressungspotenzial. Ein Verdächtiger wurde abgewiesen, weil die Rezeption die Identität verifizieren wollte.  Max bringt eine Festnahme im Umfeld von Scattered Spider mit: Peter Stokes, 19, US-estnischer Doppelstaatsbürger mit dem Alias "Bouquet", wurde im April in Helsinki verhaftet und in die USA ausgeliefert. Er soll seit seinem 16. Lebensjahr zur Gruppe gehören und an Angriffen mit über 100 Millionen Dollar Lösegeldzahlungen beteiligt gewesen sein. Was die Community aber fast mehr beschäftigt: Microsoft hat dem FBI per GDID – Global Device Identifier, ein eindeutiger Identifier jeder Windows-Installation – ein vollständiges Telemetrie-Profil geliefert: IP-Adressen, Browsing-Verhalten, Gaming-Daten, Standorthistorie. VPN half nichts. Das sind zwei verschiedene Diskussionen: Stokes wurde überführt, weil er seine privaten Geräte nicht sauber trennte – und Microsoft erhebt offenbar deutlich granularere Daten als den meisten bewusst war. Zum Abschluss: Dr. Sven Herpig hat einen Referentenentwurf zum BNDG publik gemacht, der das BSI verpflichten würde, Zero-Day-Schwachstellen proaktiv an den BND zu melden. Wir diskutieren, was das für den CVD-Prozess (und auch für den Cyber Ressilience Act) und das Vertrauen in das BSI bedeutet – und warum die Frage, ob der Schaden größer ist als der Nutzen, keine einfache Antwort hat. Silent Ransom Group / Law Firm Angriffe (CNN)https://edition.cnn.com/2026/06/28/tech/russian-hackers-law-firms-physical-intrusions/ Peter Stokes / Scattered Spider Festnahme (DOJ)https://www.justice.gov/opa/pr/alleged-member-criminal-cyber-hacking-group-scattered-spider-arrested-finland-and-extradited Microsoft GDID und Stokes (CyberScoop)https://cyberscoop.com/scattered-spider-peter-stokes-cybercrime-extradition/ Sven Herpig / BSI-BND Referentenentwurf (LinkedIn)https://www.linkedin.com/posts/dr-sven-herpig-88b253209_geht-es-nach-der-bundesregierung-soll-das-share-7479612717675384832-Dy5c/?utm_source=share&utm_medium=member_ios&rcm=ACoAAAszVHYBem6zEypapXgyFPowmzrtLXZ_bzc

    57 Min.
  2. Flurfunk - Chinas Mythos-Antwort & GSM-R-Ausfall der Deutschen Bahn

    30. Juni

    Flurfunk - Chinas Mythos-Antwort & GSM-R-Ausfall der Deutschen Bahn

    🎙️ Eine Solo-Folge von Max diese Woche – wir haben es zeitlich nicht zusammen geschafft. Erstes Thema: Auf der ISC.AI-2026-Konferenz in Beijing hat 360 Security Technology unter dem Namen Yitian Tulong zwei KI-Systeme vorgestellt – Tulongfeng für automatische Schwachstellenentdeckung, von Gründer Zhou Hongyi explizit als "chinesisches Mythos" bezeichnet, und Yitianzhen für automatisierte Cyberabwehr und Incident Response. Laut eigenen Angaben hat Tulongfeng bereits 3.432 Schwachstellen gefunden, 105 davon von chinesischen Behörden bestätigt – unabhängig verifizierbar ist das für westliche Medien bisher nicht. Bemerkenswert: Nicht Alibaba oder Tencent, sondern eine vergleichsweise unbekannte Security-Firma kommt hier zuerst. Meine Einordnung: Die europäische Souveränitätsdebatte, die das wieder befeuert, greift zu kurz – wahrscheinlich stecken hier eher Distillation-Angriffe auf US-Modelle dahinter als eigene Forschung von Grund auf. Entscheidender finde ich die Frage, was wir selbst tun, um mit Defense at Machine Speed mitzuhalten, wenn jetzt auch chinesische Angreifer auf Frontier-Capabilities zugreifen können. Zweites Thema: der GSM-R-Ausfall der Deutschen Bahn am 23. Juni. Ein geplanter Switch-Tausch im digitalen Zugfunknetz löste einen einzelnen Softwarefehler aus, der keine Fehlermeldung erzeugte – wodurch das eigentlich vorhandene redundante Backup-System nicht automatisch aktiviert wurde. Folge: bundesweiter Zugstillstand für rund anderthalb bis zwei Stunden, da ohne Zugfunk kein sicherer Bahnbetrieb möglich ist. Die DB hat als Sofortmaßnahmen weitere Komponententausche vorerst gestoppt, Wartungsarbeiten künftig nur noch nachts zwischen 0 und 4 Uhr und nur in der inaktiven Redundanz angesetzt. GSM-R bleibt mindestens zehn weitere Jahre im Einsatz, da der 5G-Nachfolgestandard FRMCS auf EU-Ebene noch nicht final spezifiziert ist. Das Incident Response selbst lief solide – Taxi- und Hotelgutscheine, schnelle Kommunikation. Was bleibt: ein Lehrstück über Single Points of Failure, ungetestete Failover-Mechanismen und warum Playbooks ohne echte Tests wenig wert sind. 360 Security Technology / Yitian Tulong (TechRadar) https://www.techradar.com/pro/security/chinese-cybersecurity-company-360-unveils-chinas-version-of-mythos-and-yitianzhen-to-automate-cyber-defense Deutsche Bahn GSM-R-Ausfall, Ursachenanalyse (DB Newsblog) https://www.deutschebahn.com/de/presse/Newsblog-12829716

    28 Min.
  3. Flurfunk - SearchLeak, Google AI Threat Defense, NPM 12 & Apple Private Cloud Compute

    24. Juni

    Flurfunk - SearchLeak, Google AI Threat Defense, NPM 12 & Apple Private Cloud Compute

    Erstes Thema: SearchLeak (CVE-2026-42824). Varonis Threat Labs hat eine dreistufige Angriffskette in Microsoft 365 Copilot Enterprise Search entdeckt: Ein präparierter Microsoft-Link, dessen URL-Parameter Copilot als Prompt interpretiert, kombiniert mit einer HTML-Rendering-Race-Condition und Bings Search-by-Image-Endpunkt als unfreiwilligem Exfiltrationsproxy. Ein Klick reicht – E-Mails, MFA-Codes, Kalendereinträge, alles was der User sehen darf, fließt ab. Microsoft hat server-seitig gepatcht. Das Muster – KI-Assistent wird durch Prompt Injection zur Datenwaffe – ist strukturell: EchoLeak, Reprompt, jetzt SearchLeak, drei Angriffe derselben Klasse. Max bringt einen Blogpost von Google Cloud CISO Chris Betz, der beschreibt, wie Google seine eigene KI intern wie einen Insider behandelt: mit Least Privilege, Monitoring, Auditing und Segmentierung. Was mich interessiert: auch Google musste dafür erst mal sein Asset Management nachziehen und konsolidieren. Die Kernbotschaft bleibt trotzdem richtig – wenn Angreifer mit Machine Speed arbeiten, muss die Verteidigung das auch. Für CISOs bedeutet das: Model Security, Agent Security, Data Governance werden zur Pflicht, nicht zur Kür. Dann Robert über NPM 12: Install Scripts von Dependencies laufen nicht mehr automatisch, bestimmte Remote-Dependencies werden blockiert. Überfällig und sinnvoll – aber 30-40% der NPM-Malware läuft erst beim Import, nicht bei der Installation. Wer einen Maintainer kompromittiert, kommt weiterhin durch. Gute Iteration, kein Allheilmittel. Zum Abschluss: Apple erweitert Private Cloud Compute auf die Google Cloud. Dasselbe Zero-Trust-Prinzip wie bisher – selbst Google soll keinen Zugriff auf verarbeitete Nutzerdaten bekommen. Clevere Partnerschaft statt Frontier-Rennen. SearchLeak / CVE-2026-42824 (Varonis)https://www.varonis.com/blog/searchleak Google Cloud CISO Chris Betz: AI Threat Defensehttps://cloud.google.com/blog/products/identity-security/how-google-cloud-is-applying-ai-to-threat-defense NPM 12 / Risky Business Soapbox mit Paul McCartyhttps://risky.biz/soapbox_npm12 Apple Private Cloud Compute auf Google Cloudhttps://security.apple.com/blog/private-cloud-compute-google-cloud

    1 Std. 4 Min.
  4. Flurfunk - Claude Fable Drama & Phishing for Lobsters

    17. Juni

    Flurfunk - Claude Fable Drama & Phishing for Lobsters

    Breach FM diese Woche mit einer Premiere und zugleich Ausnahme. Da sich Max Imbiel noch im wohlverdienten Urlaub befinde, nehme ich aus Oslo eine kurze Solo Folge auf.Am Sonntag früh kam die Meldung: Anthropic hat Fable 5 – die öffentliche, mit Guardrails versehene Version von Mythos – sowie Mythos selbst abgeschaltet, auf Anweisung des US-Handelsministeriums per Export-Control-Direktive. Da die Order auch Anthropics eigene nicht-US-amerikanische Mitarbeiter traf, blieb Anthropic keine Wahl, als beide Modelle global zu deaktivieren.Zur Einordnung: Aus Regierungskreisen heißt es, Guardrails von Fable ließen sich jailbreaken. Anthropic selbst hat das als engen, nicht-universellen Jailbreak eingestuft, der auch bei anderen Modellen möglich ist. Ich sehe drei mögliche Erklärungen: echte Sicherheitsbedenken, wirtschaftlicher Protektionismus – oder der andauernde Kleinkrieg zwischen White House und Anthropic. Wahrscheinlich eine Mischung. Was mich am meisten beschäftigt: Wenn es wirklich um Sicherheit geht, warum wurde es nicht auch für US-Bürger gesperrt? Die EU-Souveränitätsdebatte bespreche ich lieber nächste Woche mit Max.Zweites Thema: Ein Varonis-Report, den ich unbedingt empfehlen möchte. Varonis hat einen OpenClaw-Agenten in einer realistischen Google-Workspace-Umgebung mit internen E-Mails, AWS-Credentials und CRM-Daten klassischem Phishing ausgesetzt. Ergebnis: Der Agent hat auf Social Engineering fast immer reagiert – Credentials rausgegeben, Kundendaten extern verschickt. Nicht weil das LLM ausgetrickst wurde, sondern weil es ein Trust-Problem ist. Wer gerade agentische Systeme im Backoffice aufbaut, sollte diesen Report lesen. Anthropic Statement zur Abschaltunghttps://www.anthropic.com/news/fable-mythos-access Hintergrund: Amazon-CEO löste Abschaltung aus (Fortune)https://fortune.com/2026/06/14/how-a-warning-from-amazon-led-the-white-house-to-shut-down-anthropics-mythos-model/ Varonis: KI-Agenten und Phishing https://www.varonis.com/blog/openclaw-phishing

    19 Min.
  5. Flurfunk - Palantir CTO zur CISA? Microsoft CVD-Eklat, Meta Instagram Chatbot “Hack”

    10. Juni

    Flurfunk - Palantir CTO zur CISA? Microsoft CVD-Eklat, Meta Instagram Chatbot “Hack”

    In der neuen Folge von Breach FM melde ich mich aus Helsinki, wo es derzeit nicht dunkel wird, Max Imbiel darf glücklicherweise wieder im Homeoffice sein.  The Record from Recorded Future News berichtet, dass Shyam Sankar, CTO von Palantir und seit über 20 Jahren im Unternehmen, als führender Kandidat für die seit Januar 2025 vakante CISA-Direktorenstelle gilt. Das White House dementierte mit "at this time this is not accurate" – was kein Dementi ist. Relevant wird die Personalie vor allem im zeitlichen Zusammenhang mit der neuen KI-Executive-Order, die die CISA erstmals mit durchsetzungsfähigen Binding Operational Directives ausstattet. Von Cyber-Koordinator zur KI-Governance-Behörde – wir haben da kein gutes Bauchgefühl. Das Kernthema bringt Max: der Nightmare-Eclipse-Eklat bei Microsoft. Der Researcher hat zwischen April und Mitte Mai sechs Windows-Zero-Days veröffentlicht – BlueHammer, RedSun, UnDefend, YellowKey, GreenPlasma und MiniPlasma – alle ohne vorherige Koordination. Microsoft reagierte mit juristischen Drohungen, ruderte nach Community-Aufschrei zurück. Drei Exploits wurden aktiv ausgenutzt und ins KEV aufgenommen. Adam Shostack, Mitbegründer von Microsofts eigenem Threat-Modeling-Ansatz, kritisierte den Umgang offen. Der Kernvorwurf: Microsoft hält sich selbst nicht an seinen CVD-Prozess – Researcher spielen Bugs jetzt lieber untereinander weiter. Der Schaden trifft alle Nutzer. Dann der Meta-Instagram-"Hack": Angreifer nutzten den Meta-KI-Support-Chatbot, um einfach eine neue E-Mail-Adresse am Zielkonto zu hinterlegen – der Bot schickte den Reset-Code dorthin, ohne zu verifizieren. Mindestens 20.225 Konten betroffen, darunter der Obama-White-House-Account. Angriffsfenster: sieben Wochen. Moral: Schreibrechte gehören nicht in Chatbots im Authentifizierungsflow – und 2FA aktivieren. Shyam Sankar / CISA-Nominierung (The Record) https://therecord.media/trump-considers-palantir-exec-to-lead-cisa Nightmare Eclipse: alle sechs Zero-Days im Überblick https://cipherssecurity.com/nightmare-eclipse-microsoft-windows-zero-day/ Microsoft Statement zu CVD und Nightmare Eclipse https://cybersecuritynews.com/microsoft-clarifies-nightmare-eclipse-controversy/ Meta Instagram Chatbot-Hack (404 Media) https://www.404media.co/hackers-simply-asked-meta-ai-to-give-them-access-to-high-profile-instagram-accounts-it-worked/ Meta bestätigt 20.225 betroffene Konten https://this.weekinsecurity.com/meta-confirms-thousands-of-instagram-accounts-were-hacked-by-abusing-its-ai-chatbot/

    1 Std. 14 Min.
  6. Flurfunk - KimWolf-Botnet, Portraitbox-Breach, GitHub-Supply-Chain & Anbieterkonzentration

    2. Juni

    Flurfunk - KimWolf-Botnet, Portraitbox-Breach, GitHub-Supply-Chain & Anbieterkonzentration

    Jacob Butler, 23, online bekannt als "Dort", wurde in Ottawa verhaftet. Ihm wird vorgeworfen, das DDoS-for-Hire-Botnet KimWolf mit über einer Million kompromittierten Geräten betrieben zu haben. Angriffe bis 30 Terabit/s dokumentiert, darunter auf das US Department of Defense Information Network. Brian Krebs hatte ihn im Februar öffentlich identifiziert, woraufhin Butler ihn mit DDoS, Doxing und Swatting anging. Ich nutze das als Aufhänger für eine Diskussion mit Max über IoT-Botnet-Verantwortung und wo die Grenze zwischen Provider-Pflicht und Konsumentenverantwortung liegt. Dann der Portraitbox-Breach – von dem ich selbst betroffen war. Angreifer erlangten am 16./17. Mai Zugriff auf den Paderborner Fotodienstleister, luden Daten herunter und löschten sie. Betroffen: Fotos, Namen, E-Mail-Adressen, Bestellhistorien – darunter massenhaft Kita- und Schulfotos von Kindern. Zahlungsdaten nicht betroffen. Die Benachrichtigungspflicht liegt strukturell bei den Fotografen. Die ZAC NRW ermittelt. GitHub hat einen Breach gemeldet: Ein Mitarbeiter installierte eine kompromittierte Version der NX-Konsole VS Code Extension – Teil der TeamPCP-Kampagne, über die wir in den letzten Wochen mehrfach berichtet haben. Betroffen: rund 3.800 interne GitHub-Repositories. Keine Kunden-Repos kompromittiert, aber wer Zugriff auf interne Engineering-Repos hat, hat deutlich mehr als nur Code. Das führt Max und mich zu einer längeren Debatte über Anbieterkonzentration: Es ist nicht gesund, Produktivität, Entwicklung und Security beim gleichen Anbieter zu konsolidieren – und das sage ich mit vollem Bewusstsein meiner eigenen Befangenheit. Zum Abschluss: CISA hat eine externe Nominierungsmöglichkeit für den KEV-Katalog eingeführt. Meine These: Das "Known Exploited"-Flag wird für Patch-Priorisierung zunehmend irrelevant – wenn die Zeit von Vulnerability zu Exploit bei unter 30 Minuten liegt, muss man ohnehin von sofortiger Ausnutzung ausgehen. KimWolf-Botnet-Festnahme (KrebsOnSecurity) https://krebsonsecurity.com/2026/05/alleged-kimwolf-botmaster-dort-arrested-charged-in-u-s-and-canada/ KimWolf-Botnet-Festnahme (DOJ) https://www.justice.gov/usao-ak/pr/canadian-man-arrested-international-authorities-charged-administrating-kimwolf-ddos Portraitbox-Breach (heise online) https://www.heise.de/news/Sicherheitsvorfall-bei-Fotoanbieter-Wird-Portraitbox-erpresst-11304453.html GitHub Breach / NX-Konsole Supply Chain (TeamPCP) https://github.blog/security/supply-chain-security/security-incident-nx-console-extension/ CISA KEV Nomination Process https://www.cisa.gov/known-exploited-vulnerabilities-catalog

    1 Std. 9 Min.
  7. Flurfunk - MuddyWater Ransomware-False Flag, Mythos in der Praxis & Echtzeit-Deepfakes

    19. Mai

    Flurfunk - MuddyWater Ransomware-False Flag, Mythos in der Praxis & Echtzeit-Deepfakes

    In der neuen Folge von Breach FM melde ich mich aus dem ICE mit einem kurzen Canvas-Update zum Einstieg: Instructure hat an ShinyHunters gezahlt und dafür digitale Shredlogs als Löschbestätigung erhalten. Interessante Formulierung für "wir haben gezahlt". Das erste Hauptthema: Rapid7 hat einen Vorfall analysiert, der zunächst wie ein klassischer Chaos-Ransomware-Angriff aussah – bis auffiel, dass trotz Erpressung und Leak-Seite keine einzige Datei verschlüsselt wurde. Mit moderater Confidence attribuieren die Forscher den Angriff an MuddyWater, eine iranische APT-Gruppe des Geheimdienstministeriums MOIS. Einstieg: Microsoft-Teams-Social-Engineering, Screensharing, Credential-Harvesting, MFA-Manipulation, Persistenz via DWAgent und AnyDesk. Das Fazit: Spionageoperation mit Ransomware-Kulisse. Iran läuft in der breiten Cyberöffentlichkeit immer noch unter ferner liefen – dabei agiert die Gruppe zunehmend aggressiv und methodisch. Dann bringt Max zwei Berichte zu Mythos Preview in der Praxis: Mozilla beschreibt, wie sie Firefox mit Mythos-Zugang gehärtet haben – weniger Rauschen, vollständige Exploit-Ketten statt isolierter Bug-Hinweise, aber trotzdem über 100 Menschen, die den finalen Code geprüft haben. xbow nutzte Mythos aus Red-Team-Perspektive für Pentesting. Wir diskutieren, wo die Diskrepanz zwischen technisch Machbarem und vertrauenswürdig Auslieferbarem noch liegt – und warum das für Hersteller eine andere Frage ist als für interne Teams. Kurzes Update von Max: Grafana Labs bestätigt unautorisierten Zugriff auf Teile ihres Repositories. Noch wenig Details, aber relevant angesichts der weiten Verbreitung des Tools. Dann unser Ausflug ins Boulevard-Segment: Das OLG Hamm hat entschieden, dass Unternehmen für Falschangaben ihrer KI-Chatbots haften – auch wenn korrekte Ausgangsdaten geliefert wurden. Anlass: der Chatbot der Aesthetify GmbH (Dr. Rick & Dr. Nick) hatte den Ärzten frei erfundene Facharzttitel angedichtet. Kläger war die Verbraucherzentrale NRW. Das Gericht: Ein Chatbot ist kein Dritter, sondern Teil der Unternehmensorganisation. Revision zum BGH zugelassen. Für alle, die heute einen Chatbot kommerziell betreiben, ist das ein erster wichtiger Präzedenzfall. Zum Abschluss ein 404-Media-Artikel von Joseph Cox: Er konnte chinesische Echtzeit-Deepfake-Software für rund 500 Dollar kaufen – kommerziell angeboten, läuft auf Gaming-Hardware, umgeht staatliche Erkennungsmodelle zu fast 100 Prozent. Der Markt für Deepfake-Betrug ist längst kein Darknet-Phänomen mehr. Canvas/Instructure zahlt Lösegeld https://www.insidehighered.com/news/tech-innovation/administrative-tech/2026/05/11/instructure-pays-ransom-canvas-hackers MuddyWater / Chaos Ransomware False Flag (Rapid7) https://www.rapid7.com/blog/post/tr-muddying-tracks-state-sponsored-shadow-behind-chaos-ransomware/ Mozilla Firefox & Mythos Preview https://blog.mozilla.org/attack-and-defense/2026/05/06/mythospreview-firefox/ xbow & Mythos Preview https://xbow.com/blog/mythos-preview Grafana Labs Breach https://grafana.com/blog/2026/05/12/grafana-security-incident/ OLG Hamm – Chatbot-Haftung Dr. Rick & Dr. Nick https://www.heise.de/news/Dr-Rick-Dr-Nick-Aerzte-verlieren-wegen-KI-Halluzinationen-vor-Gericht-11293866.html Echtzeit-Deepfake-Software (404 Media) https://www.404media.co/chinese-realtime-deepfake-software-sold-commercially/

    54 Min.
  8. Flurfunk - Canvas/Instructure-Breach, Linux CopyFail, MiniShai-Hulud & DENIC-Ausfall

    13. Mai

    Flurfunk - Canvas/Instructure-Breach, Linux CopyFail, MiniShai-Hulud & DENIC-Ausfall

    Erstes Thema ist der Canvas-Breach von Instructure. ShinyHunters behauptet 3,65 Terabyte aus über 8.800 Institutionen gestohlen zu haben – Namen, E-Mail-Adressen, private Nachrichten. Einfallstor: Free-for-Teacher-Accounts. Passwörter und Finanzdaten sollen nicht betroffen sein. Was mich beschäftigt: Eine Einrichtung, die selbst nichts falsch gemacht hat, sitzt ohne eigene Handlungsmöglichkeit da und wartet auf Informationsbrösel vom Hersteller. Wir diskutieren, wie man trotzdem strukturiert kommuniziert – und warum Team-Vertrauen wichtiger ist als ein 90-Punkte-Notfallplan. Dann bringt Max zwei Linux-Kernel-Schwachstellen in schneller Folge: CopyFail (CVE-2026-31431), entdeckt von Theori mit ihrem KI-Tool XINT – eine Privilege-Escalation-Lücke im Krypto-Subsystem, neun Jahre unentdeckt. Tückisch: nur die In-Memory-Version wird manipuliert, Integritätstools wie Tripwire merken nichts. Kurz danach folgte DirtyFrag, ein verwandter Bug derselben Klasse mit öffentlichem PoC, bevor Patches für alle Distributionen fertig waren. Während der Aufnahme kuratiere ich noch eine heiße Supply-Chain-News: MiniShai-Hulud – mutmaßlich wieder TeamPCP – hat über 170 NPM-Pakete kompromittiert, darunter TanStack, Mistral AI, Guardrails AI und OpenSearch. Bei TanStack hatten die manipulierten Pakete trotzdem gültige Build-Provenance-Attestation. Und die Malware enthält einen Deadman-Switch: wird der Token widerrufen, kann eine destruktive Löschroutine ausgelöst werden. Als Leseempfehlung bringe ich einen Report meines Arbeitgebers Trend Micro über Earth Shadow 53, eine vorläufig China-attribuierte Kampagne gegen Regierungs- und Verteidigungsziele in Südostasien und Polen. Initial Access: ungepatchte Exchange- und IIS-Server via ProxyLogon-Kette von 2021. Persistenz via ShadowPad, wenig Lärm, klassisches Prepositioning. Zum Abschluss Max über den DENIC-DNSSEC-Ausfall vom 5. Mai: Ein einzelner fehlerhafter Config-Change ließ alle DE-Domains kurzzeitig unerreichbar werden – in unter einer halben Stunde zurückgerollt. Aber ein guter Anlass, mal zu prüfen, ob im eigenen BCM auch steht, was passiert, wenn der DNS-Provider ausfällt. Canvas/Instructure-Breach https://thehackernews.com/2026/05/instructure-reaches-ransom-agreement.html Linux CopyFail (CVE-2026-31431) https://xint.io/blog/copy-fail-linux-distributions MiniShai-Hulud / TanStack Supply-Chainhttps://www.stepsecurity.io/blog/mini-shai-hulud-is-back-a-self-spreading-supply-chain-attack-hits-the-npm-ecosystem SHADOW-EARTH-053 (Trend Micro Report)https://www.trendmicro.com/en_us/research/26/d/inside-shadow-earth-053.html DENIC DNSSEC-Ausfallhttps://blog.denic.de/analyse-des-dns-ausfalls-vom-5-mai-2026/

    1 Std.
4,8
von 5
69 Bewertungen

Info

Breach FM taucht tief in die Welt der Cybersicherheit, digitalen Konflikte und ihrer explosiven geopolitischen Folgen ein. Moderiert von Robert Wortmann und Max Imbiel, nimmt der Podcast aktuelle Bedrohungen, innovative Technologien und clevere Strategien unter die Lupe. Mit hochkarätigen Gästen aus Forschung, Industrie und Politik werden brisante Themen wie staatliche Cyberangriffe, Krisenmanagement und die Schattenseiten der Cyberkriminalität aufgedeckt. Spannend, praxisnah und voller wertvoller Perspektiven – hier wird die digitale Frontlinie hörbar.

Das gefällt dir vielleicht auch