End-of-Day report
Timeframe: Montag 06-07-2026 18:00 - Dienstag 07-07-2026 18:00
Handler: Michael Schlagenhaufer
Co-Handler: Guenes Holler
News
Angreifer können Balkonkraftwerke aus der Ferne abschalten
Geräte des chinesischen Herstellers Hoymiles lassen sich durch eine Sicherheitslücke fernsteuern.
https://futurezone.at/digital-life/balkonkraftwerk-sicherheitsluecke-hoymiles-pv-anlage-passwort/403174823
Air-Gapped-Systeme: Malware leitet Daten über Monitorkabel aus
Air Gapping schützt vor einer unerwünschten Datenausleitung. Ein neuartiger Angriff umgeht diesen Schutz über das Monitor-Kabel - und das ziemlich performant.
https://www.golem.de/news/air-gapped-systeme-malware-leitet-daten-ueber-monitorkabel-aus-2607-210592.html
Geheimdienstbericht in Kanada: Cyberoperationen im Ausland
Kanadas Nachrichtendienst führt Cyberangriffe gegen Drogenhändler, Extremisten und Cyberkriminelle durch. Ungewöhnlich ist das öffentliche Bekenntnis.
https://www.heise.de/news/Geheimdienstbericht-in-Kanada-Cyberoperationen-im-Ausland-11355701.html
OpenSSH bringt erstmals hybride Post-Quantum-Signaturen
OpenSSH 10.4 behebt mehrere Sicherheitslücken in SSH, SCP und SFTP. Zudem gibt es Protokollverschärfungen und experimentelle Post-Quantum-Signaturen.
https://www.heise.de/news/OpenSSH-bringt-erstmals-hybride-Post-Quantum-Signaturen-11356381.html
Woodruff: You shouldnt trust trusted publishing
Trusted Publishing is a mechanism for establishing trust between an external machine identity (like a CI/CD workflow) and one or more projects on a package index/registry. The "trust" in "Trusted Publishing" refers to that trust relationship, and not to anything else. It is not, and cannot be, a signal for package trust or quality. You cannot use it to determine whether a package is safe or "good," and PyPI consciously stymies attempts to misuse it for that purpose by not rendering it as a "green checkmark" or anything else of the sort. Or as another framing: Trusted Publishing is just a form of authentication. It doesn't tell you anything other than that an upload was authenticated, which all uploads to PyPI are.
https://lwn.net/Articles/1081690/
Scattered Spider-Mitglied Peter Stokes durch Windows GUID identifiziert und überführt
Vor einiger Zeit wurde Peter Stokes als mutmaßliches Mitglied der Cybergang Scattered Spider in Finnland verhaftet und ist inzwischen in die USA ausgeliefert worden. Aus Gerichtsdokumenten geht nun hervor, dass die von Windows vergebene eindeutige GDID, per Telemetrie - samt weiteren Daten - an Microsoft übertragen, Stokes bei seinen Aktivitäten, die er bestmöglich verschleierte, verraten und zu seiner Identifizierung geführt hat.
https://borncity.com/blog/2026/07/06/scattered-spider-mitglied-peter-stokes-durch-windows-guid-identifiziert-und-ueberfuehrt/
Joomla Helix3-Lücke: Hacked by Antonkill
Kurzer Hinweis für Leute, die eine Joomla-Instanz betreiben oder eine solche Installation in ihrem Umfeld kennen. Eine Schwachstelle im Helix3-Framework von JoomShaper wird durch ein Botnetz ausgenutzt, um Joomla-Instanzen zu infizieren. Dort taucht dann die Meldung "Hacked by AntonKill" oder auch "Hacked by trenggalek6etar" auf.
https://borncity.com/blog/2026/07/07/joomla-helix3-luecke-hacked-by-antonkill/
Reducing Microsoft Sentinel Costs Without Compromising Detection - Part 2: The Firewall Quest
Continuing our journey through Sentinel ingestion cost reduction, this part focuses on one of the most expensive log sources: firewalls, and more specifically, network traffic events.
https://blog.nviso.eu/2026/07/07/reducing-microsoft-sentinel-costs-without-compromising-detection-part-2-the-firewall-quest/
UAT-7810 continues building ORB networks using new malware
Talos assesses with high confidence that UAT-7810 is a China-nexus threat actor based on the infrastructure that it provides to secondary China-nexus APTs such as UAT-5918. Open-source reporting has also illustrated overlapping tooling between UAT-5918 and UAT-7810. However, at this time, Talos considers UAT-5918 and UAT-7810 separate APT actors tasked with their own set of objectives and targets.
https://blog.talosintelligence.com/uat-7810/
Software vom BSI und Fraunhofer: Wie KI ihre eigenen Deepfakes entlarvt
Forschende vom Fraunhofer-Institut und Bundesamt für Sicherheit haben ein neues Verfahren entwickelt, um Deepfakes zu erkennen. Doch es bietet noch mehr.
https://heise.de/-11355899
Sicherheitsalbtraum Wechselrichter: Hoymiles lässt Nachbarschaften verstummen
Schwere Funkschwachstellen bei Hunderttausenden PV-Anlagen erlauben laut Forschern das Abschalten im Vorbeifahren und sogar die physische Zerstörung der Geräte.
https://heise.de/-11357067
Entra Agent ID: Protect, detect, respond
This post continues and concludes our series on Agent ID, by outlining steps that an administrator or security team can take to secure blueprints and agent identities created in their local Entra ID tenant.
https://securitylabs.datadoghq.com/articles/agent-id-protect-detect-respond/
KYC : Bypass age verification using generative video models
Historically reserved for the banking sector, the KYC (Know Your Customer) process is now making its way into many online services, driven by increasingly strict legislation on anonymity and age verification. To comply, platforms deploy significant measures aimed at guaranteeing the "proof of life" of the user behind their webcam or smartphone. However, the meteoric rise of generative video AI models completely reshuffles the deck, offering attackers formidable and accessible tools to fool these systems. The French PVID framework aims to counter this new threat.
https://www.synacktiv.com/en/publications/kyc-bypass-age-verification-using-generative-video-models.html
Phishing poses as big-brand job interview to steal Google accounts
A phishing campaign is impersonating more than 30 well-known brands, including Adobe, Netflix, Coca-Cola, and OpenAI, in fake job interviews to steal Google account credentials from marketing professionals.
https://www.bleepingcomputer.com/news/security/phishing-poses-as-big-brand-job-interview-to-steal-google-accounts/
Vulnerabilities
BeyondTrust warns of critical flaws in remote access software
BeyondTrust warned customers to patch two critical security flaws in its Remote Support (RS) and Privileged Remote Access (PRA) software that could allow attackers to bypass authentication.
https://www.bleepingcomputer.com/news/security/beyondtrust-warns-of-critical-flaws-in-remote-access-software/
Tenda firmware (multiple versions) contains hidden authentication backdoor
Several versions of Tenda firmware contain an undocumented authentication backdoor that grants administrative access to the devices' web management interfaces. An attacker can expoit this vulnerability, tracked as CVE-2026-11405, to bypass the password verification process and obtain full administrative control without valid credentials.
https://kb.cert.org/vuls/id/213560
Samsung-Sicherheitsupdate: Juli-Patches für Galaxy-Geräte
Samsung hat sein Security-Bulletin für Juli 2026 veröffentlicht und verteilt wichtige Sicherheitspatches vor allem für die Topmodelle der Galaxy-Reihe.
https://www.heise.de/news/Samsung-Sicherheitsupdate-Juli-Patches-fuer-Galaxy-Geraete-11356339.html
Zimbra Collaboration Suite: Kritische Lücke macht Classic Web Client angreifbar
Die Zimbra-Entwickler haben im Zuge eines Patch Release Updates auf Version 10.1.19 der Zimbra Collaboration Suite (ZCS) auf ein mögliches Sicherheitsrisiko aufmerksam gemacht. Laut Patch Release Notes kann die zugrundeliegende Schwachstelle ausschließlich über die Komponente Classic Web Client missbraucht werden, wird in diesem Kontext allerdings als -kritisch- bezeichnet.
https://www.heise.de/news/Zimbra-Collaboration-Suite-Kritische-Luecke-macht-Classic-Web-Client-angreifbar-11356522.html
Cloudsysteme gefährdet: 16 Jahre alte KVM-Lücke ermöglicht VM-Ausbruch unter Linux
Eine seit 2010 bestehende Lücke im KVM-Code des Linux-Kernels gefährdet unter anderem Cloudsysteme. Angreifer können damit VM-Hosts kapern.
https://www.golem.de/news/cloudsysteme-gefaehrdet-16-jahre-alte-kvm-luecke-ermoeglicht-vm-ausbruch-unter-linux-2607-210581.html
LWN Security updates for Tuesday
https://lwn.net/Articles/1081644/