30 anläggningar drabbades av cyberattack mot Polens energiinfrastruktur - forskare avslöjar

I slutet av december riktades en samordnad cyberattack mot Polens decentraliserade energiinfrastruktur och drabbade flera anläggningar för distribuerade energiresurser, inklusive kraftvärmeverk och system för vind- och solkraft. Angriparna skadade den tekniska utrustningen så att den inte gick att reparera, men strömförsörjningen stördes inte. Den drabbade kapaciteten uppgick till totalt cirka 1,2 GW, vilket motsvarar ungefär 5 procent av den nationella energiförsörjningen.

Offentlig rapportering bekräftar att minst 12 anläggningar drabbats, men Dragos forskare tror att det verkliga antalet är närmare 30. Avsaknaden av strömavbrott ska inte ses som ett lugnande besked. Istället belyser det den växande exponeringen av decentraliserade energisystem för riktade OT-attacker.

Forskare tillskrev aktiviteten med måttligt förtroende till en rysklänkad hotaktör känd som Electrum, som skiljer sig från men överlappar APT44. Gruppen demonstrerade djup operativ kunskap, inaktiverade kommunikation, korrumperade OT-enheter och torkade Windows-system. Även om en landsomfattande blackout var osannolik, varnar forskare för att frekvensdestabilisering kunde ha utlöst kaskadfel, vilket ekar tidigare europeiska nätincidenter.

Infrastrukturen för uppdatering av antivirusprogrammet eScan komprometteras för att skicka ut en skadlig uppdatering

MicroWorld Technologies har bekräftat att en av deras regionala eScan-uppdateringsservrar utsattes för intrång och användes för att distribuera en skadlig fil till ett begränsat antal kunder under ett tvåtimmarsfönster den 20 januari 2026. Incidenten påverkade endast system som hämtade uppdateringar från det påverkade regionala klustret, och företaget betonar att eScan-produkten i sig inte var sårbar.

Enligt eScan gjorde obehörig åtkomst till uppdateringsserverns konfiguration det möjligt att placera en korrupt binär fil i uppdateringssökvägen. Den drabbade infrastrukturen isolerades inom några timmar, återuppbyggdes och inloggningsuppgifter roterades, med kundmeddelanden och åtgärder som utfärdades kort därefter.

Forskare som oberoende av varandra analyserade aktiviteten rapporterade att en modifierad uppdateringskomponent användes för att distribuera skadlig kod i flera steg, inaktivera ytterligare uppdateringar och etablera åtkomst till kommando- och kontrollfunktioner. Även om de två parterna inte är överens om tidslinjen för upptäckten, rekommenderar båda kunderna att tillämpa uppdateringar för sanering och blockera tillhörande kommando- och kontrollinfrastruktur för att minska den pågående risken.

Soundclouds dataintrång påverkar 29,8 miljoner konton

SoundCloud har bekräftat ett stort dataintrång som påverkar cirka 29,8 miljoner användarkonton, efter obehörig åtkomst till en av dess instrumentpaneler för tilläggstjänster i december. Plattformen för ljudstreaming grundades 2007 och har mer än 400 miljoner spår från över 40 miljoner artister över hela världen, vilket gör omfattningen av exponeringen betydande.

Företaget uppgav att inga lösenord eller finansiella data var åtkomliga. Den stulna informationen omfattade dock e-postadresser, namn, användarnamn, profilstatistik, avatarer och, i vissa fall, geografisk platsdata. Mycket av denna information var redan offentligt synlig på profiler, men händelsen gjorde det möjligt för angripare att kartlägga den direkt till e-postadresser i stor skala.

Anmälningstjänsten för dataintrång Have I Been Pwned bekräftade den fulla omfattningen av exponeringen den här veckan. SoundCloud har sedan dess bekräftat att utpressningsgruppen ShinyHunters var ansvarig, med angripare som försökte utpressa företaget och använda e-postöversvämningstaktik för att trakassera användare och personal.

Incidenten belyser den växande risken för storskaliga dataaggregeringsattacker, även när endast begränsade datamängder är inblandade.

Kritiska brister i SolarWinds webb-helpdesk åtgärdade

SolarWinds har släppt brådskande säkerhetsuppdateringar som adresserar flera kritiska sårbarheter i sin Web Help Desk (WHD)-programvara, inklusive brister i autentiseringsbypass och fjärrkommandoexekvering som kan utnyttjas av oautentiserade angripare. De åtgärdade problemen omfattar två sårbarheter för kringgående av autentisering och två separata brister i fjärrstyrd exekvering av kod, alla klassade som kritiska och möjliga att utnyttja i attacker med låg komplexitet.

Forskare rapporterade sårbarheterna och lyfte fram svagheter som kan göra det möjligt för angripare att utföra kommandon på distans utan giltiga referenser. SolarWinds har också åtgärdat ett allvarligt problem med hårdkodade referenser som under vissa förhållanden kan ge obehörig åtkomst till administrativa funktioner.

Administratörer uppmanas att uppgradera till Web Help Desk version 2026.1 så snart som möjligt. Varningen är särskilt akut med tanke på Web Help Desks historia av aktiv exploatering, med tidigare brister som lagts till i CISA: s kända exploaterade sårbarhetskatalog.

WHD används i stor utsträckning inom myndigheter, sjukvård, utbildning och stora företag, och uppdateringarna understryker den pågående risken med exponerade IT-hanteringsplattformar och vikten av snabb patchning.

Microsoft Office nolldagsexploaterad, nöduppdateringar distribuerade

Microsoft har släppt säkerhetsuppdateringar för att åtgärda CVE-2026-21509, en zero day-sårbarhet i Microsoft Office som utnyttjas aktivt i det vilda. Felet gör det möjligt för angripare att kringgå viktiga säkerhetsskydd som är utformade för att blockera osäkra COM- och OLE-kontroller genom att missbruka hur Office hanterar otillförlitlig inmatning under säkerhetsbeslut.

Sårbarheten är klassad som viktig med en CVSS-poäng på 7,8 och kräver användarinteraktion, vanligtvis genom nätfiske eller socialteknik som övertygar ett offer att öppna en skadlig Office-fil. Även om attacken inte kräver privilegier och är låg komplexitet, kan framgångsrikt utnyttjande få allvarliga konsekvenser för konfidentialitet, integritet och tillgänglighet.

Microsoft bekräftade utnyttjandet genom sitt Threat Intelligence Centre, vilket gör detta till den andra aktivt utnyttjade nolldagen i Office som patchats denna månad. Problemet påverkar både äldre och nuvarande Office-versioner.

Organisationer rekommenderas starkt att prioritera patchning, se till att automatiska uppdateringar är aktiverade och öka övervakningen av misstänkta Office-bilagor och avvikande COM- eller OLE-beteende.

Om du är orolig för något av de hot som beskrivs i denna bulletin eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de mest väsentliga hoten mot din organisation, vänligen kontakta din kundansvarige, eller alternativtkontakta oss för att ta reda påhur du kan skydda din organisation.

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar och som är aktuella vid publiceringsdatumet. Det ska inte betraktas som juridisk rådgivning, konsultation eller någon annan professionell rådgivning. Eventuella rekommendationer bör övervägas inom ramen för din egen organisation. Integrity360 tar inte någon politisk ställning i den information som vi delar. Dessutom behöver de åsikter som uttrycks inte nödvändigtvis vara Integrity360:s åsikter.