Senaste veckans cybersäkerhetsrapport avslöjar en mångfacetterad hotbild där statsstödda aktörer och cyberkriminella utnyttjar kritiska sårbarheter och avancerade malware-verktyg för att utföra phishing och ransomware-attacker samt kryptomining. Sektorer som telekom, finansiella institutioner och myndigheter är mål för hotaktörer som använder stealth-tekniker och modulerade RATs för att uppnå ihållande åtkomst och datastöld. Geopolitiska påverkanskampanjer från Ryssland och Iran lyfter också fram cyberhotens roll i att påverka val och samhällsförtroende.
Silent Skimmer Attack
En nordamerikansk multinationell organisation har drabbats av Silent Skimmer-kampanjen, där betalningsdata stjäls genom sårbarheter i Telerik UI, som ofta används i ASP.NET-applikationer. Angriparna använder kända sårbarheter (exempelvis CVE-2017-11317 och CVE-2019-18935) för att få fjärråtkomst till servrar och installera skadlig kod som kan samla in känslig betalningsinformation. För att bibehålla åtkomst använder de webbshells, vilket gör det möjligt för dem att styra systemen utan att upptäckas. Dessutom exfiltreras data med tunnlingstekniker som skapar säkra kommunikationskanaler utanför organisationens nätverksskydd.
Denna incident understryker vikten av att hålla webbservrar uppdaterade, stärka säkerhetsåtgärder och regelbundet granska system för att förebygga liknande hot.
CloudComputating’s Espionage Taktik
Den nordkoreanska statsstödda gruppen CloudComputating använder nu det avancerade, modulära QSC-ramverket för att köra malware direkt i minnet, vilket gör det svårare att upptäcka eftersom koden aldrig skrivs till disk. Genom detta ramverk kan gruppen anpassa sina attacker med moduler för datastöld, exfiltrering och persistens och riktar sig främst mot telekomsektorn. De utnyttjar krypterad kommunikation och specialanpassade bakdörrar för att behålla åtkomst och undgå upptäckt. Hotet visar på ett stort behov av avancerade säkerhetslösningar för att skydda känsliga data i telekomsektorn mot dessa minnesbaserade attacker.
APT37 riktar in sig på Sydkorea
APT37, också kallad ScarCruft, är en nordkoreansk statsstödd cybergrupp som riktar in sig på sydkoreanska organisationer inom mänskliga rättigheter och nationell säkerhet. Genom spear-phishing sprider de RokRAT, en skadlig programvara som möjliggör fjärråtkomst och insamling av känslig information. RokRAT använder legitima molntjänster, som Dropbox och Google Drive, för att kommunicera med sina kontrollservrar, vilket gör skadlig trafik svårare att upptäcka. APT37 använder avancerade metoder som zero-day-sårbarheter för att förbli oupptäckta, vilket understryker behovet av starka säkerhetsåtgärder och utbildning för att förhindra liknande hot.
Ryska och iranska valpåverkansoperationer
USA:s underrättelsetjänster varnar för ökade påverkanskampanjer från Ryssland och Iran inför det kommande presidentvalet, med syfte att undergräva förtroendet för valprocessen och påverka väljarnas beteende. Ryssland riktar in sig på “swing states” genom att sprida falska narrativ om valfusk, i hopp om att så misstro och minska valdeltagandet. Iran skapar falska medieplattformar och sprider vilseledande information som också syftar till att minska valdeltagandet och skapa oro bland väljare.
Båda länderna använder avancerade tekniker, inklusive AI och deepfakes, för att skapa och sprida övertygande desinformation. Myndigheterna uppmanar amerikanska väljare att vara vaksamma mot dessa kampanjer, särskilt på sociala medier, och att noggrant verifiera källor för att motverka utländska försök att manipulera valprocessen.
Synology NAS Zero-Day Vulnerability – Risk
Sårbarheten CVE-2024-10443 i Synology NAS-enheters Synology Photos-komponent möjliggör fjärrkörning av kod med root-åtkomst utan användarinteraktion, vilket kan ge angripare fullständig kontroll över enheter. Detta hot påverkar särskilt enheter med QuickConnect eller port forwarding aktiverat och innebär risk för datastöld, installation av skadlig kod och andra attacker. Synology har släppt uppdateringar för att åtgärda sårbarheten i olika versioner av Synology Photos och BeePhotos.
Rekommenderade åtgärder inkluderar att omedelbart installera säkerhetsuppdateringar, begränsa internetåtkomst genom att inaktivera QuickConnect och port forwarding om möjligt, samt att övervaka systemloggar för att upptäcka misstänkt aktivitet.
Storskalig nätfiskekampanj riktar sig till Ukraina
CERT-UA har upptäckt en phishing-kampanj riktad mot företagsrevisorer i Ukraina, där angriparna skickar e-postmeddelanden med skattetema för att efterlikna den ukrainska skattemyndigheten. Dessa meddelanden innehåller skadlig programvara, LITEMANAGER, som ger angriparna fjärråtkomst till de komprometterade systemen. Med denna åtkomst kan de övervaka aktiviteter, stjäla känslig information och utföra finansiella transaktioner utan offrets vetskap. CERT-UA varnar för att ekonomiska förluster kan ske inom en timme från komprometteringen.
För att motverka dessa attacker rekommenderas företag att stärka säkerhetsåtgärderna, utbilda personalen i att känna igen phishing, och använda säkerhetsverktyg för att upptäcka misstänkt aktivitet.
TA866 och WarmCookie Malware-kampanj
TA866, även kallad Asylum Ambuscade, är en cyberhotaktör som använder malspam och malvertising för att sprida WarmCookie-malware, som ger filmanipulation och ihållande åtkomst till infekterade system. Malspam-kampanjerna innehåller ofta e-postmeddelanden med ämnen kring fakturor eller jobberbjudanden, medan malvertising innebär att skadlig kod placeras i legitima annonser för att infektera användare som klickar på dem.
WarmCookie är avancerad med funktioner för att undvika upptäckt genom förbättrad exekvering och avancerad kommando- och kontrollkommunikation (C2). Detta gör det möjligt för skadlig programvara att utföra kommandon och kommunicera med angripare utan att upptäckas av säkerhetssystem.
För att motverka hotet rekommenderas utbildning om phishing och malvertising, regelbundna säkerhetsuppdateringar, samt implementering av avancerade säkerhetslösningar som kan identifiera och blockera misstänkt C2-kommunikation.
