Microsoft identifierar Medusa Ransomware Affiliate till Zero Day Attacks

Microsoft har identifieratStorm-1175, enKina-baseradekonomiskt motiverad cyberkriminell grupp, som aktören bakom en seriesnabbrörligaattacker som distribuerar Medusa ransomware. Gruppen är känd för att utnyttja bådenolldagars-och nyligen avslöjade (n-dagars)sårbarheter i hög hastighet för att få initial åtkomst till offrets nätverk.

Storm-1175växlar snabbt från inledande intrång till exfiltrering av data och utplacering av utpressningstrojaner, och slutför ibland hela angreppskedjan på mindre än 24 timmar. Deras operativa tempo beskrivs som "hög hastighet", och gruppen utnyttjar ofta sårbarheter inom en dag efter att de blivit kända och i vissa fall upp till en vecka innan korrigeringar blir tillgängliga.

Gruppen har riktat in sig på organisationer inom hälso- och sjukvård, utbildning, professionella tjänster och finanssektorn i Australien, Storbritannien och USA. Deras kampanjer har omfattat utnyttjande av mer än 16 sårbarheter i allmänt använda företagsprodukter, inklusive Microsoft Exchange, PaperCut, Ivanti Connect Secure, ConnectWise ScreenConnect, JetBrains TeamCity, SimpleHelp, CrushFTP, SmarterMail och BeyondTrust. Anmärkningsvärda utnyttjadezero-daysinkluderarCVE-2025-10035(GoAnywhere MFT),CVE-2026-23760(SmarterMail) och CVE-2026-1731 (BeyondTrust).

Detta visar att organisationer, även de med välutvecklade patchningsprogram, är sårbara, vilket breddar riskbilden och försvårar defensiva strategier. Eftersom hotaktörer utnyttjar nolldagssårbarheter innan det finns patchar.

Europeiska kommissionens molnhack påverkar 30 EU-enheter

Europeiska unionens cybersäkerhetstjänst (CERT-EU)har bekräftat att EU-kommissionensAWS-molnmiljö utsattes för ett intrång av hotgruppen TeamPCP, som exponerade känsliga uppgifter som tillhörde både kommissionen och minst 29 andra EU-enheter.

Intrånget började den 10 mars när angripare använde en komprometterad AWS API-nyckelmed behörigheterpåledningsnivå, som stulits underTrivy-leverantörskedjanskompromiss, för att komma åt kommissionensmolnsystem. Väl inne använde angriparna TruffleHog för att söka efter ytterligare hemligheter, skapade en ny åtkomstnyckel för att undgå upptäckt och fortsatte med intern rekognosering och datastöld.

Den 28 mars släppte utpressningsgruppen ShinyHunters ett komprimerat arkiv på 90 GB (ca 340 GB okomprimerat) på den mörka webben, innehållande: Namn, e-postadresser, e-postinnehåll, tiotusentals filer med personuppgifter och organisationsdata. De exfiltrerade uppgifterna påverkar upp till 71 kunder hos EU:s webbhotell Europa: 42 interna kunder hos Europeiska kommissionen och minst 29 andra unionsenheter.

TeamPCP är kopplat till bredareangrepppåleverantörskedjansom involverar ekosystemen GitHub, PyPI, NPM och Docker. De har tidigare äventyrat LiteLLM PyPI-paketet och distribuerat sin TeamPCP Cloud Stealer-malware över tiotusentals drabbade system.

Denna incident följer en serie händelser som nämns ovan, som länkar till en bredare attack i försörjningskedjan och avslöjar hur komprometterade verktyg från^tredje part eller öppen källkod direkt kan leda till intrång på institutionell nivå. Dessutom skapar den offentliga publiceringen av denna dataset långsiktiga exponeringsrisker, inklusive nätfiske, missbruk av referenser och underrättelseinsamling av fientliga aktörer.

Nordkoreanska hackare distribuerar 1 700+ skadliga Open Source-paket

En Nordkorea-anknuten cyberkampanj känd som "Contagious Interview" har avsevärt utökat sinverksamhet inomprogramvaruförsörjningskedjangenom att distribuera mer än 1 700 skadliga paket över fleraekosystem för öppen källkod, inklusive npm, PyPI, Go, Rust och Packagist. Dessa paket var utformade för att efterlikna legitima utvecklarverktyg, vilket gjorde det möjligt för angripare att infiltrera utvecklingsmiljöer via betrodda kanaler. Forskare noterade att motståndarna inbäddade laddare för skadlig kod i dessa paket, vilket gjorde det möjligt för dem att levereraplattformsspecifikanyttolasteriandrastegetutformade för spionage och ekonomisk vinning.

De skadliga nyttolasterna som distribueras via dessa paket har en rad farliga funktioner. Många fungerar som infostealers och samlar in webbläsardata, lösenord och information om kryptovalutaplånböcker. Vissa varianter, särskilt de som levereras via PyPI-paketetlicense-utils-kit, fungerar som fullständigaimplantatefterkompromisser, vilket möjliggör fjärrkommandoexekvering, keylogging, datautfiltrering, webbläsarmanipulation, filuppladdningar och installation avfjärråtkomstverktyg som AnyDesk.

Det som gör denna kampanj särskilt smygande är angriparnas teknik för att bädda in skadlig kod ifunktioner somser normalautochsom utvecklare rutinmässigt kan använda. Till skillnad från konventionella skadliga paket som kör skadlig kod omedelbart efter installationen, döljer dessa paket logik inuti legitim funktionalitet

Den fullständiga listan över identifierade paket är som följer -

• npm: dev-log-core, logger-base, logkitx, pino-debugger, debug-fmt, debug-glitz
• PyPI: logutilkit, apachelicense, fluxhttp, license-utils-kit
• Go: github[.]com/golangorg/formstash, github[.]com/aokisasakidev/mit-license-pkg
• Rust: logtrace
• Packagist: golangorg/logkit

upptäckten av mer än 1 700 skadliga paket sedan början av 2025 visar på ett mycket samordnat ochresursstarkthot ileverantörskedjansom är utformat för att kompromissa med utvecklare i stor skala. Genom att rikta in sig på allmänt använda utvecklingsekosystem strävar de nordkoreanska operatörerna efter att infiltrera organisationer under de tidigaste stadierna av programvarans livscykel, vilket underlättar både spionage och ekonomisk stöld.

BKA identifierar REvil-ledare bakom 130 tyska ransomware-attacker

Tysklands federala kriminalpolis (BKA) har identifierat och avslöjat två nyckelmedlemmar i dennunedlagdaREvil (Sodinokibi)ransomware-as-a-service-gruppen och kopplat dem till 130 ransomware-attacker över hela Tyskland mellan 2019 och 2021. Den första, som tidigare var känd under aliaset UNKN, har avslöjats som Daniil Maksimovich Shchukin, en31-årigrysk medborgare som också använde flera online-moniker som Oneiilk2, Oneillk2, Oneillk22 och GandCrab. Shchukin fungerade som representant för operationen, gjorde reklam för REvil på cyberbrottsforum och hjälpte till att rekrytera affiliates. Den andra personen, Anatoly Sergeevitsch Kravchuk, tros ha varit en av REvils utvecklare under den aktuella perioden.

Enligt BKA resulterade de två misstänktas aktiviteter i 1,9 miljoner euro i lösensummor i 25 bekräftade fall, medan de totala skadorna som orsakades av de 130 attackerna översteg 35,4 miljoner euro, med hänsyn tagen till avbrott i verksamheten, dataförlust och återställningskostnader. REvil, en utveckling av GandCrab ransomware, var en av de mest produktiva ransomware-operationerna och ansvarade för stora globala incidenter innan den plötsligt försvann i juli 2021. Gruppen dök upp igen en kort tid men kollapsade så småningom efter internationellabrottsbekämpandeåtgärder.

Rumänien hade tidigare gripit två medlemmar, och ryska FSB rapporterade i januari 2022 att man hade gripit flera REvil-medlemmar och avvecklat delar av gruppen. I oktober 2024 hade fyra REvil-medlemmar dömts till fängelse, enligt ryska medier.

Qilin & Warlock Ransomware-operationer: BYOVD-baserad EDR-dödskedja

Hotaktörerna bakom Qilin- och Warlock-ransomwareoperationerna har använt en mycket avancerad undvikande teknik som kallas Bring Your Own Vulnerable Driver (BYOVD) för att inaktivera säkerhetsverktyg på infekterade system. Enligt forskning från Cisco Talos och Trend Micro använder båda grupperna signerade men sårbarakärnlägesdrivrutiner för att kringgå moderna Endpoint Detection and Response (EDR) -skydd, vilket effektivt avslutar mer än 300 olika EDR-drivrutiner från stora leverantörer. Denna teknik gör det möjligt för ransomware-operatörerna att fåsystemåtkomstpålågnivåoch demontera defensiva lager innan de distribuerar sina nyttolaster, vilket gör detektering och förebyggande betydligt svårare

I Qilins fall börjar attacken med en skadlig DLL med namnet msimg32.dll, levererad viaDLL-sidoladdning, som utlöser enflerstegsladdareutformad för att köras smygande i minnet. Denna laddare neutraliseraranvändarlägeskrokar, undertrycker Windows händelseloggning och döljer API-anrop för att undvika upptäckt. När den skadliga programvaran har körts laddar den två sårbara drivrutiner: rwdrv.sys, en omdöpta version av ThrottleStop.sys som ger rå åtkomst till fysiskt minne, och hlpdrv.sys, som avslutar EDR-processer. Dessa drivrutiner har också tidigare setts i Akira och Makop ransomware-incidenter och används för att rensa vägen för slutlig ransomware-distribution genom att inaktivera säkerhetskomponenter på kärnnivå.

Warlock (även känt som Water Manaul) använder ett liknande tillvägagångssätt men med en egen drivrutin påkärnnivå, NSecKrnl.sys, och utnyttjar sårbarheter för att inaktivera säkerhetsverktyg innan ransomware distribueras över ett nätverk. Warlock bryter sig vanligtvis in i organisationer genom att utnyttja ouppdaterade Microsoft SharePoint-servrar och tillbringar upp till 15 dagar i offrens miljöer för att genomföra rekognosering, exfiltrera data och positionera sig för maximal skada.

Sammantaget signalerar det utbredda antagandet av BYOVD av flera ransomware-grupper, särskilt Qilin och Warlock, ett kritiskt skifte i hotlandskapet.EDR-bypass-tekniker påkärnnivåsom en gång ansågs vara avancerade är nu vanliga i hela ekosystemet för ransomware, vilket gör att organisationer som är beroende av EDR-verktyg blir alltmer sårbara om de inte implementerar striktlistaöver tillåtna drivrutiner,hårdvarubaseradeskydd som HVCI och snabb patchning av sårbaradrivrutinerfråntredje part

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kundansvarige, eller alternativtkontakta oss för att ta reda påhur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar och som är aktuella vid publiceringsdatumet. Det ska inte betraktas som juridisk rådgivning, konsultation eller någon annan professionell rådgivning. Eventuella rekommendationer bör övervägas inom ramen för din egen organisation. Integrity360 tar inte någon politisk ställning i den information som vi delar. Dessutom behöver de åsikter som uttrycks inte nödvändigtvis vara Integrity360:s åsikter.