Den här veckan granskar vi de senaste och mest allvarliga cyberhoten. Vi ser hur AI nu används för att skapa skadlig kod, hur Nordkoreanska och kinesiska cyberoperationer infiltrerar företag, och varför supply chain-attacker blir allt svårare att upptäcka. Dessutom pratar vi om den största DDoS-attacken någonsin, nya Linux-rootkits och sårbarheter i Fortinet och Ivanti som kan ge angripare full kontroll över företagssystem.
Låt oss dyka rakt in i det!
AI som driver cyberbrott: GhostGPT
AI:s roll i cyberbrott har blivit alltmer framträdande, och nu har GhostGPT dykt upp som ett verktyg för cyberkriminella att generera skadlig kod, nätfiske-kampanjer och exploateringar.
Denna utveckling visar att AI inte bara används för försvar utan även som ett kraftfullt vapen för cyberkriminella.
Hostad på Telegram, kan denna AI automatisera skapandet av sofistikerade attacker, vilket gör det enklare även för oerfarna hotaktörer att utföra avancerade brott.
Till skillnad från traditionella skadeprogram bygger GhostGPT på dynamiska och anpassningsbara svar, vilket gör att angripare kan finjustera attackerna baserat på målmiljöer.
Största DDoS-attacken någonsin (5,6 Tbps)
En Mirai-botnet bestående av 13 000 komprometterade enheter utförde den största registrerade DDoS-attacken hittills, med en topp på 5,6 terabit per sekund (Tbps) riktad mot en internetleverantör i Östasien.
IoT-enheter används ofta i sådana botnät, vilket betyder att bristande säkerhet i uppkopplade enheter är en kritisk svaghet.
Attacken visar hur botnät blir allt kraftfullare och DDoS-attacker mer intensiva och kortvariga.
Cloudflare lyckades mildra effekterna, men attacken betonar de växande hoten mot telekommunikation och internetinfrastruktur.
Nordkoreanska IT-arbetare som insiderhot
FBI har varnat för att nordkoreanska IT-specialister infiltrerar företag genom att utge sig för att vara frilansare och utvecklare, för att sedan stjäla källkod, kunddata och affärshemligheter.
- Dessa aktörer använder AI-baserad deepfake-teknik, ansiktsförändring och virtuella skrivbordsmiljöer (VDI) för att undvika upptäckt.
- Vissa har även utpressat tidigare arbetsgivare och hotat att läcka känslig information.
- Intäkterna från dessa operationer tros användas för att finansiera Nordkoreas kärnvapenprogram.
Supply chain-attack på Chrome-tillägg
En supply chain-attack riktad mot Chrome-tillägg har upptäckts, där angripare komprometterade populära tillägg som Proxy SwitchyOmega och GraphQL Network Inspector.
- API-nycklar, autentiseringstokens och användaruppgifter stals, vilket kan ha påverkat miljontals användare.
- Angriparna använde nätfiske mot utvecklare och OAuth-manipulation för att lägga in skadliga uppdateringar i tilläggen.
- Detta visar att webbläsartillägg kan vara en svag länk i företags säkerhet.
Fortinet Zero-Day-sårbarhet (CVE-2024-55591)
En kritisk noll-dags sårbarhet i Fortinet’s FortiOS och FortiProxy gör det möjligt för angripare att kringgå autentisering och få administrativa rättigheter via skadliga WebSocket-förfrågningar.
- Fortinet är en viktig leverantör av säkerhetslösningar, vilket innebär att tusentals företag är i riskzonen.
- Exploatering av denna sårbarhet gör det möjligt att övertaga brandväggar och VPN-tjänster, vilket kan leda till storskaliga dataintrång.
- Angripare riktar sig alltmer mot själva säkerhetsverktygen för att ta kontroll över skyddade system.
Qbot återuppstår efter global nedstängning
Den ökända banktrojanen Qbot (Pinkslipbot) har återuppstått efter en global samordnad nedstängning under 2024.
- Den nya versionen använder DNS-tunnling och nya bakdörrar för att undgå upptäckt.
- Qbot har kopplats till ransomwaregruppen BlackBasta, vilket innebär att dess återkomst kan öka antalet ransomware-attacker.
- Finanssektorn och företagsmiljöer förblir huvudsakliga mål, då Qbot används för att stjäla inloggningsuppgifter och sprida sig i nätverk.
Pumakit: En Linux-rootkit riktad mot kritisk infrastruktur
Linux-baserade system är nu en större måltavla för avancerade hotaktörer, och Pumakit är det senaste exemplet på detta.
- Denna rootkit döljer sig på kernel-nivå, vilket gör att angripare kan inaktivera säkerhetsverktyg och manipulera systemanrop.
- Telekom- och finanssektorerna är särskilt utsatta eftersom dessa förlitar sig på Linux-infrastruktur för driftkritiska system.
- Pumakit visar att Linux-säkerhet har blivit en allt viktigare fråga, och företag behöver mer avancerade hotdetekteringslösningar.
Supply chain-attack på VPN-leverantör i Sydkorea
Den Kina-kopplade hackergruppen PlushDaemon komprometterade VPN-programvaran IPany, vilket resulterade i spionage mot Sydkoreanska halvledar- och mjukvaruföretag.
- SlowStepper-malware byggdes in i VPN-mjukvaran, vilket gav angriparna kontinuerlig åtkomst till offrens nätverk.
- Modulär skadlig kod med över 30 komponenter visar att detta var en sofistikerad och långsiktig operation.
