<?xml version="1.0" encoding="UTF-8"?><rss version="2.0"
	xmlns:content="http://purl.org/rss/1.0/modules/content/"
	xmlns:wfw="http://wellformedweb.org/CommentAPI/"
	xmlns:dc="http://purl.org/dc/elements/1.1/"
	xmlns:atom="http://www.w3.org/2005/Atom"
	xmlns:sy="http://purl.org/rss/1.0/modules/syndication/"
	xmlns:slash="http://purl.org/rss/1.0/modules/slash/"
	>

<channel>
	<title>Cyberspionage &#8211; Grams IT &#8211; Blog</title>
	<atom:link href="https://blog.grams-it.com/tag/cyberspionage/feed/" rel="self" type="application/rss+xml" />
	<link>https://blog.grams-it.com</link>
	<description></description>
	<lastBuildDate>Mon, 22 Dec 2025 08:11:17 +0000</lastBuildDate>
	<language>de</language>
	<sy:updatePeriod>
	hourly	</sy:updatePeriod>
	<sy:updateFrequency>
	1	</sy:updateFrequency>
	
	<item>
		<title>Neuer Windows-Zero-Day wird seit 2017 von 11 staatlichen Hackergruppen ausgenutzt</title>
		<link>https://blog.grams-it.com/2025/03/20/neuer-windows-zero-day-wird-seit-2017-von-11-staatlichen-hackergruppen-ausgenutzt/</link>
		
		<dc:creator><![CDATA[]]></dc:creator>
		<pubDate>Thu, 20 Mar 2025 16:44:00 +0000</pubDate>
				<category><![CDATA[IT]]></category>
		<category><![CDATA[IT-Sicherheit]]></category>
		<category><![CDATA[Microsoft Windows 11]]></category>
		<category><![CDATA[Sicherheitslücke]]></category>
		<category><![CDATA[.LNK Datei Schwachstelle]]></category>
		<category><![CDATA[Aliakbar Zahravi]]></category>
		<category><![CDATA[APT43]]></category>
		<category><![CDATA[Command Line Arguments Exploit]]></category>
		<category><![CDATA[Cyberspionage]]></category>
		<category><![CDATA[Evil Corp]]></category>
		<category><![CDATA[Malware Erkennung umgehen]]></category>
		<category><![CDATA[Microsoft Bug Bounty]]></category>
		<category><![CDATA[Peter Girnus]]></category>
		<category><![CDATA[Shell Link Exploit]]></category>
		<category><![CDATA[Staatlich unterstützte Hacker]]></category>
		<category><![CDATA[Trend Micro ZDI]]></category>
		<category><![CDATA[Verknüpfungsdatei Tarnung]]></category>
		<category><![CDATA[Windows Sicherheitslücke ungepatcht]]></category>
		<category><![CDATA[Windows Zero-Day]]></category>
		<category><![CDATA[ZDI-CAN-25373]]></category>
		<guid isPermaLink="false">https://blog.grams-it.com/?p=256</guid>

					<description><![CDATA[<p><img width="600" height="400" src="https://blog.grams-it.com/wp-content/uploads/2025/04/0day.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" fetchpriority="high" srcset="https://blog.grams-it.com/wp-content/uploads/2025/04/0day.jpg 600w, https://blog.grams-it.com/wp-content/uploads/2025/04/0day-300x200.jpg 300w" sizes="(max-width: 600px) 100vw, 600px" /></p>Quelle: zerodayinitiative.com (Englisch) Mindestens 11 staatlich unterstützte Hackergruppen aus Nordkorea, Iran, Russland und China nutzen seit 2017 eine neue Windows-Schwachstelle für Datendiebstahl und Cyberspionage-Zero-Day-Angriffe aus. Wie die Sicherheitsforscher Peter Girnus und Aliakbar Zahravi von der Trend Micro Zero Day Initiative (ZDI) jedoch heute berichteten, stufte Microsoft die Schwachstelle Ende September als „nicht den Anforderungen entsprechend“ [&#8230;]]]></description>
										<content:encoded><![CDATA[<p><img width="600" height="400" src="https://blog.grams-it.com/wp-content/uploads/2025/04/0day.jpg" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="" decoding="async" srcset="https://blog.grams-it.com/wp-content/uploads/2025/04/0day.jpg 600w, https://blog.grams-it.com/wp-content/uploads/2025/04/0day-300x200.jpg 300w" sizes="(max-width: 600px) 100vw, 600px" /></p>
<p class="wp-block-paragraph">Quelle: <a href="https://www.zerodayinitiative.com/advisories/ZDI-25-148/">zerodayinitiative.com</a> (Englisch)</p>



<p class="wp-block-paragraph">Mindestens 11 staatlich unterstützte Hackergruppen aus Nordkorea, Iran, Russland und China nutzen seit 2017 eine neue Windows-Schwachstelle für Datendiebstahl und Cyberspionage-Zero-Day-Angriffe aus.</p>



<p class="wp-block-paragraph">Wie die Sicherheitsforscher Peter Girnus und Aliakbar Zahravi von der Trend Micro Zero Day Initiative (ZDI) jedoch heute berichteten, stufte Microsoft die Schwachstelle Ende September als „nicht den Anforderungen entsprechend“ ein und kündigte an, keine Sicherheitsupdates zu veröffentlichen.</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">„Wir haben fast tausend Shell Link (.lnk)-Samples entdeckt, die ZDI-CAN-25373 ausnutzen; es ist jedoch wahrscheinlich, dass die Gesamtzahl der Ausnutzungsversuche viel höher ist“. „Daraufhin haben wir einen Proof-of-Concept-Exploit über das Bug Bounty-Programm von Trend ZDI bei Microsoft eingereicht, das es jedoch abgelehnt hat, diese Schwachstelle mit einem Sicherheitspatch zu beheben.“</p>
</blockquote>



<p class="wp-block-paragraph">Während Microsoft dieser Schwachstelle noch keine CVE-ID zugewiesen hat, wird sie von Trend Micro intern als <a href="https://www.zerodayinitiative.com/advisories/ZDI-25-148/">ZDI-CAN-25373</a> geführt und ermöglicht Angreifern die Ausführung von beliebigem Code auf betroffenen Windows-Systemen.</p>



<p class="wp-block-paragraph">Wie die Forscher bei der Untersuchung von ZDI-CAN-25373 in the wild herausfanden, wurde die Sicherheitslücke in weit verbreiteten Angriffen von <a href="https://documents.trendmicro.com/assets/txt/Figure-1-Data---ZDI-CAN-25373-blogcU9ZZ2p.txt">vielen staatlich gesponserten Bedrohungsgruppen und Cybercrime-Gangs</a> ausgenutzt, darunter Evil Corp, APT43 (Kimsuky), Bitter, APT37, Mustang Panda, SideWinder, RedHotel, Konni und andere.</p>



<p class="wp-block-paragraph">Obwohl die Kampagnen auf Opfer in aller Welt abzielten, konzentrierten sie sich hauptsächlich auf Nordamerika, Südamerika, Europa, Ostasien und Australien. Von allen analysierten Angriffen waren fast 70 % mit Spionage und Informationsdiebstahl verbunden, während sich nur 20 % auf finanzielle Gewinne konzentrierten.</p>



<h3 class="wp-block-heading">Die ZDI-CAN-25373 Windows-Zero-Day-Schwachstelle</h3>



<p class="wp-block-paragraph">Diese neu entdeckte Windows-Schwachstelle (verfolgt als ZDI-CAN-25373) wird durch eine Schwachstelle in der Benutzeroberfläche (<a href="https://cwe.mitre.org/data/definitions/451.html">CWE-451</a>) verursacht, die es Angreifern ermöglicht, die Art und Weise auszunutzen, wie Windows Verknüpfungsdateien (.lnk) anzeigt, um die Erkennung zu umgehen und Code auf anfälligen Geräten ohne das Wissen des Benutzers auszuführen.</p>



<p class="wp-block-paragraph">Bedrohungsakteure nutzen ZDI-CAN-25373 aus, indem sie bösartige Befehlszeilenargumente in .LNK-Verknüpfungsdateien verstecken, indem sie der COMMAND_LINE_ARGUMENTS-Struktur aufgefüllte Leerzeichen hinzufügen.</p>



<p class="wp-block-paragraph">Den Forschern zufolge können diese Leerzeichen in Form von Hex-Codes für Leerzeichen (\x20), horizontale Tabulatoren (\x09), Zeilenvorschub (\x0A), vertikale Tabulatoren (\x0B), Seitenvorschub (\\x0C) und Wagenrücklauf (\x0D) vorliegen, die als Füllung verwendet werden können.</p>



<p class="wp-block-paragraph">Wenn ein Windows-Benutzer eine solche .lnk-Datei inspiziert, werden die bösartigen Argumente aufgrund der hinzugefügten Leerzeichen nicht in der Windows-Benutzeroberfläche angezeigt. Infolgedessen bleiben die von den Angreifern hinzugefügten Befehlszeilenargumente vor den Augen des Benutzers verborgen.</p>



<blockquote class="wp-block-quote is-layout-flow wp-block-quote-is-layout-flow">
<p class="wp-block-paragraph">„Um diese Schwachstelle auszunutzen, ist eine Benutzerinteraktion erforderlich, da das Ziel eine bösartige Seite besuchen oder eine bösartige Datei öffnen muss“, heißt es in einem heute veröffentlichten <a href="https://www.zerodayinitiative.com/advisories/ZDI-25-148/">Trend Micro Advisory</a>.</p>



<p class="wp-block-paragraph">„Geschickte Daten in einer .LNK-Datei können dazu führen, dass gefährliche Inhalte in der Datei für einen Benutzer unsichtbar sind, der die Datei über die von Windows bereitgestellte Benutzeroberfläche inspiziert. Ein Angreifer kann diese Sicherheitslücke ausnutzen, um Code im Kontext des aktuellen Benutzers auszuführen.“</p>
</blockquote>



<p class="wp-block-paragraph">Diese Schwachstelle ähnelt einer anderen, als CVE-2024-43461 verfolgten Schwachstelle, die es Bedrohungsakteuren ermöglichte, 26 kodierte Braille-Whitespace-Zeichen (%E2%A0%80) zu verwenden, um HTA-Dateien zu tarnen, die schädliche Nutzdaten als PDFs herunterladen können. CVE-2024-43461 wurde von Peter Girnus, einem Senior Threat Researcher bei Trend Micro&#8217;s Zero Day, entdeckt und von Microsoft während des Patch Tuesday im September 2024 gepatcht.</p>
]]></content:encoded>
					
		
		
			</item>
		<item>
		<title>Undokumentierte Befehle in Bluetooth-Chip gefunden, der von einer Milliarde Geräte verwendet wird</title>
		<link>https://blog.grams-it.com/2025/03/10/undokumentierte-befehle-in-bluetooth-chip-gefunden-der-von-einer-milliarde-geraete-verwendet-wird/</link>
		
		<dc:creator><![CDATA[]]></dc:creator>
		<pubDate>Mon, 10 Mar 2025 15:41:00 +0000</pubDate>
				<category><![CDATA[Allgemein]]></category>
		<category><![CDATA[IT]]></category>
		<category><![CDATA[IT-Sicherheit]]></category>
		<category><![CDATA[Sicherheit]]></category>
		<category><![CDATA[Sicherheitslücke]]></category>
		<category><![CDATA[Android Bluetooth Security]]></category>
		<category><![CDATA[Apple Bluetooth Bug]]></category>
		<category><![CDATA[Bluetooth Chip Schwachstelle]]></category>
		<category><![CDATA[Bluetooth Exploit]]></category>
		<category><![CDATA[Bluetooth Hacking]]></category>
		<category><![CDATA[Bluetooth Sicherheitslücke 2025]]></category>
		<category><![CDATA[Broadcom]]></category>
		<category><![CDATA[Cyberspionage]]></category>
		<category><![CDATA[Firmware Sicherheit]]></category>
		<category><![CDATA[Hardware Schwachstelle]]></category>
		<category><![CDATA[IoT Sicherheit]]></category>
		<category><![CDATA[Milliarden Geräte betroffen]]></category>
		<category><![CDATA[Qualcomm]]></category>
		<category><![CDATA[undokumentierte Befehle]]></category>
		<guid isPermaLink="false">https://blog.grams-it.com/?p=194</guid>

					<description><![CDATA[<p><img width="640" height="483" src="https://blog.grams-it.com/wp-content/uploads/2025/04/bluetooth.png" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="bluetooth" decoding="async" srcset="https://blog.grams-it.com/wp-content/uploads/2025/04/bluetooth.png 640w, https://blog.grams-it.com/wp-content/uploads/2025/04/bluetooth-300x226.png 300w" sizes="(max-width: 640px) 100vw, 640px" /></p>Quelle: nvd.nist.gov (Englisch) Der ESP32-Mikrochip des chinesischen Herstellers Espressif, der bis 2023 in mehr als 1 Milliarde Geräten verbaut wurde, enthält undokumentierte Befehle, die Sicherheitslücken schaffen. Diese Befehle ermöglichen das Spoofing vertrauenswürdiger Geräte, unbefugten Datenzugriff und die unbemerkte Steuerung anderer Netzwerkgeräte. Die spanischen Forscher Miguel Tarascó Acuña und Antonio Vázquez Blanco von Tarlogic Security entdeckten [&#8230;]]]></description>
										<content:encoded><![CDATA[<p><img width="640" height="483" src="https://blog.grams-it.com/wp-content/uploads/2025/04/bluetooth.png" class="attachment-post-thumbnail size-post-thumbnail wp-post-image" alt="bluetooth" decoding="async" srcset="https://blog.grams-it.com/wp-content/uploads/2025/04/bluetooth.png 640w, https://blog.grams-it.com/wp-content/uploads/2025/04/bluetooth-300x226.png 300w" sizes="(max-width: 640px) 100vw, 640px" /></p>
<p class="wp-block-paragraph">Quelle: <a href="https://nvd.nist.gov/vuln/detail/CVE-2025-27840">nvd.nist.gov</a> (Englisch)</p>



<p class="wp-block-paragraph">Der ESP32-Mikrochip des chinesischen Herstellers Espressif, der bis 2023 in mehr als 1 Milliarde Geräten verbaut wurde, enthält undokumentierte Befehle, die Sicherheitslücken schaffen. Diese Befehle ermöglichen das Spoofing vertrauenswürdiger Geräte, unbefugten Datenzugriff und die unbemerkte Steuerung anderer Netzwerkgeräte.</p>



<p class="wp-block-paragraph">Die spanischen Forscher Miguel Tarascó Acuña und Antonio Vázquez Blanco von Tarlogic Security entdeckten diese Sicherheitslücke und präsentierten ihre Ergebnisse auf der RootedCON in Madrid. Tarlogic Security erklärte, dass diese Hintertür im ESP32 feindlichen Akteuren ermöglicht, Identitätsdiebstahl und Infektionen sensibler Geräte wie Mobiltelefone, Computer und medizinische Geräte durchzuführen.</p>



<p class="wp-block-paragraph">Da der ESP32 einer der weltweit am häufigsten verwendeten Chips für Wi-Fi- und Bluetooth-Konnektivität in IoT-Geräten ist, ist das Risiko signifikant. Zu den potenziellen Bedrohungen gehören böswillige Implementierungen auf OEM-Ebene und Angriffe auf die Lieferkette. Die Fernausnutzung der Befehle über böswillige Firmware oder betrügerische Bluetooth-Verbindungen ist insbesondere dann möglich, wenn ein Angreifer bereits Root-Zugriff hat oder ein böswilliges Update auf das Gerät übertragen hat.</p>



<p class="wp-block-paragraph">Obwohl physischer Zugriff auf die USB- oder UART-Schnittstelle des Geräts ein realistischeres Angriffsszenario darstellt, könnte ein kompromittiertes IoT-Gerät mit einem ESP32 ermöglichen, eine Advanced Persistent Threat (APT) im Speicher zu verstecken und Bluetooth- oder Wi-Fi-Angriffe gegen andere Geräte durchzuführen.</p>



<p class="wp-block-paragraph">Die Ergebnisse von Tarlogic Security zeigen, dass die vollständige Kontrolle über die ESP32-Chips erlangt und Persistenz im Chip über Befehle erreicht werden kann, die Änderungen von RAM und Flash ermöglichen. Dies könnte es Angreifern ermöglichen, sich auf andere Geräte auszubreiten und fortgeschrittene Bluetooth-Angriffe auszuführen.</p>
]]></content:encoded>
					
		
		
			</item>
	</channel>
</rss>
