ICS feed

SANS Internet Storm Center - Cooperative Cyber Security Monitor
SANS Internet Storm Center, InfoCON: green

  1. GSocket Backdoor Delivered Through Bash Script, (Fri, Mar 20th)

    Yesterday, I discovered a malicious Bash script that installs a GSocket backdoor on the victim's computer. I don't know the source of the script not how it is delivered to the victim.

  2. ISC Stormcast For Friday, March 20th, 2026 https://isc.sans.edu/podcastdetail/9858, (Fri, Mar 20th)

  3. ISC Stormcast For Thursday, March 19th, 2026 https://isc.sans.edu/podcastdetail/9856, (Thu, Mar 19th)

  4. Interesting Message Stored in Cowrie Logs, (Wed, Mar 18th)

    This activity was found and reported by BACS student Adam Thorman as part of one of his assignments which I posted his final paper [1] last week. This activity appeared to only have occurred on the 19 Feb 2026 where at least 2 sensors detected on the same day by DShield sensor in the cowrie logs an echo command that included: "MAGIC_PAYLOAD_KILLER_HERE_OR_LEAVE_EMPTY_iranbot_was_here". My DShield sensor captured activity from source IP 64.89.161.198 between 30 Jan - 22 Feb 2026 that included portscans, a successful login via Telnet (TCP/23) and web access that included all the activity listed below captured by the DShield sensor (cowrie, webhoneypot & iptables logs).

  5. Scans for "adminer", (Wed, Mar 18th)

    A very popular target of attackers scanning our honeypots is "phpmyadmin". phpMyAdmin is a script first released in the late 90s, before many security concepts had&#;x26;#;xc2;&#;x26;#;xa0;been discovered. It&#;x26;#;39;s rich history of vulnerabilities made it a favorite target. Its alternative, "adminer", began appearing about a decade later (https://www.adminer.org). One of its main "selling" points was simplicity. Adminer is just a single PHP file. It requires no configuration. Copy it to your server, and you are ready to go. "adminer" has a much better security record&#;x26;#;xc2;&#;x26;#;xa0;and claims to prioritize security in its development.

Security-Insider | News | RSS-Feed

  • Confidential Computing und die Quanten-Bedrohung
    Confidential Computing schützt Daten während der Verarbeitung durch hardwarebasierte Trusted Execution Environments. Angreifer speichern inzwischen aber verschlüsselte Daten, um sie später mit Quantencomputern zu entschlüsseln („Harvest Now, Decrypt Later“). Hyperscaler wie AWS, Azure und Google bieten dagegen zwar Lösungen an, doch Attestierung und Schlüsselverwaltung bleiben außerhalb der Kundenkontrolle.
  • Investitionen allein garantieren keine Sicherheit
    Kleine und mittelständische Unternehmen (KMU) nehmen Cyberrisiken durchaus ernst und investieren vermehrt in Schutzmaßnahmen und Schulungen. Doch das Zusammenspiel von Tools, Richtlinien und der praktischen Umsetzung läuft oft nicht rund.
  • Quantensicherheit beginnt mit einer Bestandsaufnahme
    Das Szenario „Harvest Now, Decrypt Later“ ist real: Angreifer speichern verschlüsselte Daten, um sie später mit Quantencomputern zu ent­schlüs­seln. Doch bevor Unternehmen ihre Kryptografie härten können, müssen sie wissen, wo sie überhaupt im Einsatz ist. Discovery Tools durchleuchten IT-Umgebungen automatisiert und schaffen die Transparenz, die für Krypto-Agilität unverzichtbar ist.
  • Hacker können mit nur einem Klick in iPhones eindringen
    Die neu entdeckte Exploit-Kette „DarkSword“ betrifft viele iPhone-Nutzer. Ein Klick kann ausreichen, um potenziell schäd­liche Soft­ware auf das Gerät zu übertragen. Dahinter stecken Google zufolge sechs Sicherheitslücken.
  • VMware-Sicherheitslücke von 2021 heute aktiv ausgenutzt
    Derzeit laufen aktive Cyberangriffe, bei denen Hacker jahrealte Si­cher­heits­lücken ausnutzen, darunter auch in VMware Workspace One UEM. Alle iden­ti­fizierten Schwachstellen haben eine enorm hohe Ausnutzungs­wahr­schein­lich­keit, was auf unzureichendes Patch-Management schließen lässt.
  • Palo Alto Networks enttarnt neue Cyberspionage-Gruppe
    TGR-STA-1030 ist eine neu entdeckte Cyberspionage-Gruppe, die 2025 Re­gierungsorganisationen in 37 Ländern angegriffen hat. Die vermutlich staat­lich unterstützten Akteure nutzen Phishing-Kampagnen und bekannte Schwach­stellen aus.
  • Zeitfaktor entscheidet über Schadens­begrenzung bei Cyberangriffen
    Viele isolierte Sicherheitstools erzeugen eine Flut von Warnmeldungen und erschweren die Korrelation von Ereignissen. SIEM-Plattformen brechen diese Silos auf: Sie führen Daten aus EDR, XDR, NDR und Identity-Ma­nage­ment zentral zusammen, korrelieren Bedrohungen und ermöglichen au­to­ma­ti­sie­rte Reaktionen durch SOAR – das verkürzt MTTD und MTTR messbar.
  • Welche Incident-Response-Strategie passt zu Ihrem Unternehmen?
    Cyberversicherungen bieten oft einen zügigen Vertragsabschluss, doch im Ernstfall kann es schnell kompliziert werden. Incident Response Retainer ermöglichen dagegen intensive Vorbereitung, kontinuierliche Anpassung und direkte Kontrolle durch definierte SLAs – mit Kompensation bei keinem Notfall.