Senaste veckans cybersäkerhetsrapport belyser hur statsstödda och cyberkriminella aktörer intensifierar attacker genom phishing, ransomware och utnyttjande av IoT- och brandväggssårbarheter, med fokus på sektorer som myndigheter och telekom. Kryptomining-attacker och avancerade datastölder visar aktörernas ökade anpassningsförmåga.
Jumpy Pisces ransomware-samarbete
Nordkoreanska hackergruppen Jumpy Pisces (även känd som Onyx Sleet eller Andariel) har, enligt en rapport från Unit 42, samarbetat med Play ransomware i en attack mot ospecificerade organisationer. Attacken inleddes i maj 2024 och använde verktyg som Sliver, DTrack och PsExec för att bibehålla åtkomst och eskalera behörigheter. I september övergick de till att distribuera Play ransomware, vilket resulterade i kryptering av flera system. Detta samarbete markerar en potentiell trend där nordkoreanska aktörer involverar sig mer i ransomware-kampanjer, vilket kan signalera en ökad global cyberhotbild.
Kinesiska hot mot brandväggar
Sophos X-Ops har identifierat Kina-baserade cybergrupper som Volt Typhoon, APT31 och APT41 som utnyttjar brandväggssårbarheter för att få tillgång till kärnkraftssektorn, telekom och statliga myndigheter. Detta markerar ett skifte mot mer diskreta, högriskmål i Indo-Pacific-regionen, där angriparna fokuserar på långsiktiga och dolda operationer för att extrahera känslig information snarare än att orsaka omedelbar skada. Dessa aktiviteter understryker en ökande cyberhotbild som kan destabilisera hela sektorer, vilket betonar behovet av förstärkta säkerhetsåtgärder och internationellt samarbete.
FakeCall vishing-malware på Android
Zimperium-forskare har identifierat FakeCall, ett avancerat Android-malware som använder vishing-tekniker för att stjäla bankuppgifter. FakeCall installerar sig som standarduppringare och kan avlyssna samtal, omdirigera banknummer till angriparkontrollerade nummer och visa en falsk uppringningsskärm som imiterar Androids dialer. Malwaren kan också övervaka Bluetooth, skärmtillstånd och använda Androids tillgänglighetstjänster för att bevilja sig själv behörigheter och utföra bedrägerier utan att användaren märker något. Användare uppmanas att ladda ner appar från betrodda källor och använda säkerhetsprogramvara för skydd.
IoT-kamera sårbarheter
GreyNoise har upptäckt två allvarliga sårbarheter i NDI-aktiverade IoT-kameror från tillverkare som PTZOptics, Multicam Systems SAS och SMTAV Corporation, som används i sektorer som hälso- och sjukvård och tillverkning. Dessa sårbarheter gör det möjligt för angripare att få full kontroll över kamerorna, manipulera videoströmmar, stänga av kameror och använda dem i botnät-attacker, vilket kan leda till obehörig övervakning och störningar i verksamheter. GreyNoise identifierade dessa sårbarheter genom sitt AI-drivna system, Sift. Organisationer uppmanas att uppdatera firmware och utföra regelbundna säkerhetsgranskningar för att skydda sig.
Atlassian Confluence kryptomining-exploatering
Trend Micro har upptäckt att en allvarlig sårbarhet i Atlassian Confluence (CVE-2023-22527) används för att installera Titan-noder för kryptomining på komprometterade system inom AWS-miljöer. Angriparna får ihållande åtkomst och kan sprida sig lateralt via verktyg som SSH, vilket utsätter infrastrukturen för långsiktiga hot. För att skydda sig uppmanas organisationer att omedelbart uppdatera Confluence till den senaste versionen, genomföra säkerhetsgranskningar och övervaka nätverkstrafik för att förhindra obehörig åtkomst.
Skadliga CAPTCHA-distributioner
Cyberkriminella använder falska CAPTCHA-sidor för att sprida Lumma Stealer och Amadey Trojan, som riktar sig mot känsliga data och kryptovalutor. Användare omdirigeras från annonser till falska CAPTCHA-sidor som instruerar dem att köra skadliga kommandon, vilket resulterar i infektion. Kampanjen är global och har särskilt drabbat användare i Brasilien, Spanien, Italien och Ryssland. För att skydda sig rekommenderas användare att undvika misstänkta annonser, inte köra okända kommandon, använda säkerhetsprogramvara och öka medvetenheten om dessa attacker.
APT28 exploaterar nätverksutrustning
Den ryska statsstödda cybergruppen APT28 (Fancy Bear), kopplad till GRU, använder credential stuffing och exploaterar sårbara VPN-servrar och routrar för att få tillgång till nätverk i NATO-länder. De använder läckta inloggningsuppgifter och utnyttjar kända sårbarheter i enheter som Cisco-routrar. För att skydda sig rekommenderas starka, unika lösenord, flerfaktorsautentisering, regelbundna uppdateringar samt robust övervakning för att upptäcka misstänkt aktivitet och minska risken för intrång.
