NCSC varnar brittiska organisationer för DOS-hot från hacktivistgrupper

National Cyber Security Centre (NCSC), en del av GCHQ, har utfärdat en ny varning om att brittiska organisationer fortsätter att vara måltavla för hacktivistgrupper med koppling till den ryska staten. Aktiviteten är inriktad på störningar snarare än ekonomisk vinning, med överbelastningsattacker som syftar till att överbelasta nätverk och onlinetjänster.

Lokala myndigheter och operatörer av kritisk nationell infrastruktur hör till dem som är mest utsatta. DoS-attacker är ofta tekniskt enkla, men NCSC betonar att de kan få allvarliga konsekvenser och orsaka avbrott i tjänster, driftstörningar och betydande kostnader för återställning.

Varningen följer på en gemensam internationell rådgivning som utfärdades i december 2025 och som belyste ihållande riktade attacker mot NATO-medlemsländer och europeiska organisationer som uppfattades stödja Ukraina.

Jonathon Ellison, Director of National Resilience vid NCSC, uppmanade organisationer att agera nu genom att se över sitt försvar och utarbeta effektiva responsplaner.

Kritiska brister i AI-ramverk avslöjade

Säkerhetsforskare har identifierat två kritiska sårbarheter i Chainlit, ett allmänt använt AI-applikationsramverk med öppen källkod, vilket innebär allvarliga risker för organisationer som påskyndar införandet av AI. Resultaten sammanfaller med lanseringen av Project DarkSide, ett initiativ som fokuserar på att avslöja svagheter i byggstenar för AI-utveckling.

Bristerna har spårats som CVE-2026-22218 och CVE-2026-22219 och gör det möjligt för oautentiserade angripare att läsa godtyckliga filer och utföra förfalskning av begäran på serversidan. Exploatering kräver ingen användarinteraktion och kan leda till läckage av molnuppgifter, databasinnehåll, miljövariabler och proprietär källkod. I molnmiljöer kan detta möjliggöra förflyttning i sidled och kompromettering av hela infrastrukturen.

Med uppskattningsvis 700 000 nedladdningar per månad och aktiva företags- och akademiska implementeringar är exponeringen betydande. Chainlit har släppt version 2.9.4 för att ta itu med båda problemen.

Fram till dess att patchningen är klar har detekteringsvägledning delats, tillsammans med varningar om att osäkra AI-grunder snabbt utökar organisationens attackytor.

Zendesk-system missbrukas för skräppost

En storskalig global spamvåg har kopplats till missbruk av osäkra Zendesk-supportsystem, där mottagare rapporterat att hundratals e-postmeddelanden anlänt inom några minuter. Kampanjen inleddes den 18 januari och uppmärksammades snabbt i sociala medier på grund av meddelandenas stora volym och ovanliga karaktär.

E-postmeddelandena genereras när angripare skickar in falska supportärenden med hjälp av overifierade e-postadresser. Zendesks automatiska bekräftelsesvar förvandlar sedan legitima kundtjänstplattformar till en omedveten mass-spam-motor. Även om meddelandena inte verkar innehålla skadliga länkar eller direkta phishing-lockbeten, har deras kaotiska och ibland alarmerande ämnesrader orsakat förvirring och oro.

Bland de drabbade organisationerna finns Discord, Dropbox, NordVPN, Riot Games och flera offentliga organ. Ämnena sträcker sig från falska meddelanden om brottsbekämpning till erbjudanden om gratistjänster, ofta skrivna med dekorativ Unicode-text.

Incidenten belyser hur grundläggande verifieringsluckor i allmänt använda plattformar kan utnyttjas i stor skala, även utan att använda traditionell skadlig kod eller nätfisketekniker.

Fortinet patch bypass under attack

Fortinet-kunder rapporterar aktivt utnyttjande av en patch-bypass som påverkar en tidigare fixad FortiGate-autentiseringssårbarhet, CVE-2025-59718. Angripare missbrukar bristen för att kompromissa med brandväggar som kör patched FortiOS-versioner, inklusive 7.4.9 och 7.4.10, vilket väcker oro för att den ursprungliga fixen var ofullständig.

Flera administratörer har observerat obehöriga administratörskonton som skapats via skadliga FortiCloud SSO-inloggningar, aktivitet som överensstämmer med exploateringstekniker som tidigare dokumenterats av Arctic Wolf i december 2025. Fortinet förbereder enligt uppgift ytterligare uppdateringar, inklusive FortiOS 7.4.11, för att helt ta itu med problemet.

Sårbarheten har lagts till i CISA: s katalog över aktivt utnyttjade brister, medan Shadowserver fortsätter att spåra tusentals exponerade enheter.

Administratörer rekommenderas att inaktivera FortiCloud SSO där det är möjligt tills en fullständig fix är tillgänglig, eftersom angripare också riktar in sig på andra opatchade Fortinet-produkter, inklusive FortiSIEM.

Fortune 500-företag exponerade av felkonfigurerade testappar

Hotaktörer utnyttjar aktivt felkonfigurerade säkerhetstestapplikationer för att bryta sig in i live molnmiljöer, enligt nya resultat från Pentera. Avsiktligt sårbara verktyg som DVWA, OWASP Juice Shop, Hackazon och bWAPP missbrukas när de lämnas exponerade på det offentliga internet och distribueras med överdrivna molnprivilegier.

Pentera identifierade 1 926 sårbara instanser över AWS, Azure och GCP, många kopplade till alltför tillåtande IAM-roller och standardautentiseringsuppgifter. De exponerade applikationerna tillhörde flera Fortune 500-organisationer, inklusive Cloudflare, F5 och Palo Alto Networks, som alla sedan dess har åtgärdat problemen.

Forskarna fann tydliga bevis på aktivt utnyttjande, inklusive Monero-kryptoutvinning via XMRig, ihållande bakdörrar och PHP-webbshells som möjliggör full systemkontroll. Resultaten understryker hur osäkra icke-produktionstillgångar kan bli mycket effektiva ingångspunkter i företagens molnmiljöer.

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kundansvarige, eller alternativtkontakta oss för att ta reda påhur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar och som är aktuella vid publiceringsdatumet. Det ska inte betraktas som juridisk rådgivning, konsultation eller någon annan professionell rådgivning. Eventuella rekommendationer bör övervägas inom ramen för din egen organisation. Integrity360 tar inte någon politisk ställning i den information som vi delar. Dessutom behöver de åsikter som uttrycks inte nödvändigtvis vara Integrity360:s åsikter.