ICS feed

SANS Internet Storm Center - Cooperative Cyber Security Monitor
SANS Internet Storm Center, InfoCON: green

  1. IPv4 Mapped IPv6 Addresses, (Tue, Mar 17th)

    Yesterday, in my diary about the scans for "/proxy/" URLs, I noted how attackers are using IPv4-mapped IPv6 addresses to possibly obfuscate their attack. These addresses are defined in RFC 4038. These addresses are one of the many transition mechanisms used to retain some backward compatibility as IPv6 is deployed. Many modern applications use IPv6-only networking code. IPv4-mapped IPv6 addresses can be used to represent IPv4 addresses in these cases. IPv4-mapped IPv6 addresses are not used on the network, but instead, translated to IPv4 before a packet is sent.

  2. ISC Stormcast For Tuesday, March 17th, 2026 https://isc.sans.edu/podcastdetail/9852, (Tue, Mar 17th)

  3. /proxy/ URL scans with IP addresses, (Mon, Mar 16th)

    Attempts to find proxy servers are among the most common scans our honeypots detect. Most of the time, the attacker attempts to use a host header or include the hostname in the URL to trigger the proxy server forwarding the request. In some cases, common URL prefixes like "/proxy/" are used. This weekend, I noticed a slightly different pattern in our logs:

  4. ISC Stormcast For Monday, March 16th, 2026 https://isc.sans.edu/podcastdetail/9850, (Mon, Mar 16th)

  5. SmartApeSG campaign uses ClickFix page to push Remcos RAT, (Sat, Mar 14th)

    Introduction

Security-Insider | News | RSS-Feed

  • Ermittler nehmen Computer-Betrüger fest
    Online-Banking geknackt, Verifizierungen ausgehebelt: Drei Betrüger sollen so Millionen ergaunert haben. Nun hat die Polizei die Bande auffliegen lassen.
  • Schnell statt ausgefeilt: KI macht Cyberangriffe zur Massenware
    Angreifer nutzen Künstliche Intelligenz (KI) zunehmend als Au­to­ma­ti­sie­rungs­werk­zeug. Laut aktuellem Threat Insights Report von HP Wolf Security entstehen Malware-Kampagnen immer häufiger aus modularen Bausteinen, die sich schnell kombinieren und anpassen lassen. Qualität spielt dabei eine untergeordnete Rolle. Entscheidend seien Geschwindigkeit und Skalierbarkeit.
  • Smartphone ersetzt Zugangskarten und Badges
    Smartphones lösen in der Zutrittskontrolle zunehmend klassische Plastikkarten ab. Nutzer speichern ihre Credentials in einem digitalen Wallet und öffnen damit Türen, Schließfächer oder E-Ladestationen – oft ohne das Gerät aus der Tasche zu nehmen. Secure Elements, biometrische Sperren und verschlüsselte Protokolle schaffen mehrschichtige Sicherheit bei DSGVO- und NIS2-Konformität.
  • 7 Zero Days bei Apple, 3 davon aktiv ausgenutzt
    Mit vier neuen Zero-Day-Sicherheitslücken und drei aktiv ausgenutzten Schwachstellen hat Apple derzeit alle Hände voll zu tun. Fehler in der Audio- und Bildverarbeitung sowie unzureichende Eingabevalidierung könnten zur Ausführung von Code führen.
  • Google untersucht Risiken für Rüstungsunternehmen
    Kriege und geopolitische Konflikte werden zunehmend auch im Cyberraum ausgetragen. Gerade die Rüstungsbranche ist von Cyberspionageangriffen betroffen, die meist von Russland und China ausgehen. Doch auch Zu­lie­ferer und Mitarbeitende geraten ins Visier.
  • Bundesdatenschutzbeauftragte kündigt Rückzug an
    Die Bundesbeauftragte für den Datenschutz und die Informationsfreiheit, Prof. Dr. Louisa Specht-Riemenschneider, hat heute erklärt, sich aus ge­sundheitlichen Gründen von ihrem Amt zurückzuziehen, sobald die Nach­folge geregelt ist.
  • OT-Angriffe kommen meist über kompromittierte IT-Systeme
    Die Fertigungsindustrie ist ein Top-Angriffsziel für Cyberkriminelle. OT-Angriffe beginnen meist in der IT – über Phishing, unsichere Fernzugänge oder ungepatchte Server. Von dort bewegen sich die Angreifer lateral bis in die Produktionssysteme. Windows-basierte Systeme der Purdue-Ebene 3 und darüber sind dabei besonders gefährdet.
  • SAP-Standardbenutzer als Angriffsvektor
    Standardbenutzer wie SAP*, DDIC, EARLYWATCH, TMSADM und SAPCPIC sind bei Installation, Mandantenanlage oder Systemkopie vordefiniert. Bleiben ihre Initialkennwörter unverändert oder werden die Konten nach Kopien nicht gesperrt, öffnen sie direkte Zugriffspfade. Angreifer kennen diese Eigenschaften seit Jahrzehnten und prüfen sie automatisiert, sobald ein SAP-System erreichbar ist.