RadioCSIRT Deutsche Ausgabe – Ihre Cybersecurity-Nachrichten für Montag, 22. Dezember 2025 (Ep.58)

Willkommen zu Ihrem täglichen Cybersecurity-Podcast.


Pornhub warnt Premium-Abonnenten nach Datenexposition am
8. November 2025 über Analytics-Anbieter Mixpanel.
Cyberkriminelle drohen, betroffene Nutzer direkt per E-Mail zu
kontaktieren. Mixpanel bestreitet, dass Daten aus seinem
Sicherheitsvorfall vom 8. November stammen, und gibt an, es gebe
keine Beweise für Exfiltration aus seinen Systemen. Pornhub
bestätigt, dass Passwörter, Zahlungsdetails und
Finanzinformationen nicht kompromittiert sind, wobei die
Exposition auf eine begrenzte Menge von Analytics-Ereignissen
beschränkt bleibt. Angreifer nutzen diese Daten für
Sextortion-Kampagnen, die gezielt identifizierte Premium-Nutzer
ansprechen.


Intezer dokumentiert eine Kampagne der Goffee-Gruppe
gegen russisches Militärpersonal und
Verteidigungsorganisationen. Der im Oktober
identifizierte Angriff nutzt eine schädliche XLL-Datei, die von
der Ukraine und dann Russland auf VirusTotal hochgeladen wurde,
mit dem Titel "enemy's planned targets". Die Datei setzt die
EchoGather-Backdoor ein, um Systeminformationen zu sammeln,
Befehle auszuführen und Dateien auf einen C2-Server zu
exfiltrieren, der als Essenslieferungs-Website getarnt ist.
Phishing-Köder umfassen gefälschte Konzerteinladungen für
hochrangige Militäroffiziere und Briefe, die das russische
Ministerium für Industrie und Handel imitieren und
Preisrechtfertigungsdokumente für Verteidigungsverträge
anfordern.


CISA und NIST veröffentlichen den Entwurf des Interagency
Report 8597 zum Schutz von Identitäts-Token und Assertions gegen
Fälschung, Diebstahl und missbräuchliche Nutzung. Das
Dokument adressiert aktuelle Vorfälle bei großen Cloud-Anbietern,
die auf Diebstahl, Modifikation oder Fälschung von
Identitäts-Token zum Zugriff auf geschützte Ressourcen abzielen.
Der Bericht umfasst IAM-Kontrollen für Systeme, die digital
signierte Assertions und Token in Zugriffsentscheidungen
verwenden. NIST fordert CSPs auf, Secure by Design-Prinzipien
anzuwenden und Transparenz, Konfigurierbarkeit und
Interoperabilität zu priorisieren. Bundesbehörden müssen
Architektur und Bereitstellungsmodelle ihrer CSPs verstehen, um
Risikolage und Bedrohungsumgebung abzustimmen.


Check Point Research hat GachiLoader dokumentiert, eine
stark obfuskierte Node.js-Loader-Malware, die über das YouTube
Ghost Network verbreitet wird. Die Kampagne nutzt 39
kompromittierte Konten mit über 100 Videos, die Nutzer von
Spiele-Cheats ansprechen und seit Dezember 2024 220.000 Aufrufe
erreichten. Die Malware implementiert Anti-Analyse-Prüfungen mit
mindestens 4 GB RAM, 2 CPU-Kernen sowie Blacklists für
Benutzernamen, Hostnamen und laufende Prozesse. GachiLoader
deaktiviert Windows Defender und fügt Ausnahmen für C:\Users,
C:\ProgramData, C:\Windows und die Erweiterung .sys hinzu. Zwei
Varianten wurden beobachtet: Die erste lädt Rhadamanthys von
C2-Servern herunter, die zweite setzt Kidkadi.node ein mit
Vectored Overloading-Technik zum Abfangen von Systemaufrufen und
Laden schädlicher PE.


Quellen:


Pornhub Sextortion:
https://www.malwarebytes.com/blog/news/2025/12/pornhub-tells-users-to-expect-sextortion-emails-after-data-exposure

 Goffee APT:
https://therecord.media/cyber-spies-fake-new-year-concert-russian-phishing

 NIST/CISA Token:
https://www.cisa.gov/news-events/alerts/2025/12/22/nist-and-cisa-release-draft-interagency-report-protecting-tokens-and-assertions-tampering-theft-and

 GachiLoader:
https://research.checkpoint.com/2025/gachiloader-node-js-malware-with-api-tracing/



Nicht nachdenken, patchen!


Ihr Feedback ist willkommen.
E-Mail: radiocsirt@gmail.com
Website: https://www.radiocsirt.com/de
Wöchentlicher Newsletter:
https://radiocsirtgermanedition.substack.com/