Innehåll

01. Nyhetsnotiser
  • CISA lägger till fyra aktivt utnyttjade sårbarheter till KEV

  • Hackare med kopplingar till Kina riktar in sig på indiska skattebetalare med ett skadligt verktyg för skattedeklarationer som sprider DcRAT

  • En amerikansk offentlig organisation ska enligt uppgift ha betalat 1 miljon dollar i utpressningspengar i samband med dataintrånget hos Kairos

  • Ubiquiti åtgärdar flera kritiska UniFi-sårbarheter som påverkar centrala plattformskomponenter

  • Hotaktörer missbrukar npm och PyPI med bedrägliga betalningspaket

02. Slutsats

Korta nyheter

CISA lägger till fyra aktivt utnyttjade sårbarheter i KEV

CISA har lagt till fyra aktivt utnyttjade sårbarheter i sin KEV-katalog (Known Exploited Vulnerabilities), vilket belyser en förhöjd hotbild som påverkar Adobe ColdFusion, Joomla-tillägg och AI-arbetsflödesplattformen Langflow. Det allvarligaste problemet, CVE-2026-48282 (CVSS 10,0), är en sårbarhet för sökvägsöverskridning i Adobe ColdFusion som kan leda till fjärrkörning av kod och som enligt uppgift utnyttjades inom några timmar efter att den offentliggjorts. Dessutom utnyttjas två sårbarheter i Joomla-komponenter – CVE-2026-56290 i Page Builder CK och CVE-2026-48908 i SP Page Builder – av hotaktörer för att ladda upp webbskal och uppnå oautentiserad fjärrkörning av kod, vilket ger bestående åtkomst till komprometterade webbservrar. Att sårbarheten CVE-2026-55255 i Langflow har inkluderats visar ytterligare på angriparnas växande fokus på AI-infrastruktur, där observerad utnyttjande möjliggör åtkomst mellan olika kunder, stöld av inloggningsuppgifter för molntjänster och LLM-API:er samt underlättar uppföljande attacker som involverar RCE, kryptojacking och distribution av skadlig programvara.

Organisationer som använder dessa tekniker bör prioritera att installera säkerhetsuppdateringar, genomföra hotjakt efter webbskal och obehöriga administratörskonton, granska utsatta AI-applikationer samt övervaka misstänkt åtkomstaktivitet med inloggningsuppgifter, eftersom aktivt utnyttjande tyder på att dessa sårbarheter redan används i verkliga attacker.

Kina-anknutna hackare riktar in sig på indiska skattebetalare med ett skadligt verktyg för skattedeklarationer som sprider DcRAT

En misstänkt hotaktör med kopplingar till Kina har observerats genomföra en riktad phishingkampanj mot indiska skattebetalare, skatterådgivare och ekonomipersonal på företag genom att använda falska meddelanden från inkomstskatteverket för att sprida fjärråtkomsttrojanen DcRAT. Operationen, som fått namnet DragonReturn, använder sig av mycket skräddarsydda skatterelaterade lockbeten, skadliga PDF-bilagor och nedladdningar av falska verktyg för skattedeklarationer för att inleda en infektionskedja i flera steg som innefattar sidladdning av DLL-filer, utökning av behörigheter, kringgående av sandlådor, mekanismer för beständighet samt körning av skadlig kod i minnet.

Forskare har identifierat användningen av DcRAT tillsammans med funktioner för datastöld, vilket möjliggör insamling av inloggningsuppgifter, skärmdumpning och potentiell informationsinsamling. Infrastrukturkopplingar till ChinaNet-IP-utrymmet, kinesiskspråkiga kontrollpaneler samt överlappningar med tidigare observerade Silver Fox-metoder tyder på en möjlig koppling till Kina, även om tillskrivningen fortfarande är obekräftad. Kampanjen visar på en hög operativ mognad genom användning av bildbaserad döljning av nyttolast i flera språk, redundanta RAT-distributioner och flera kommando- och kontrollkanaler utformade för att öka persistensen och undvika upptäckt.

En organisation inom den amerikanska offentliga sektorn ska enligt uppgift ha betalat 1 miljon dollar i utpressningspengar efter ett dataintrång utfört av Kairos

En nyligen offentliggjord fallstudie har belyst den växande övergången från traditionell ransomware till utpressning genom datastöld, efter att en amerikansk myndighet enligt uppgift betalade cirka 1 miljon dollar (9,44 BTC) till hotgruppen Kairos för att förhindra att stulna data offentliggjordes. Till skillnad från konventionella ransomware-operationer fann forskarna inga bevis för att Kairos använde filkrypterande skadlig programvara eller störde systemen; istället förlitade sig gruppen uteslutande på stölden av känslig information som påtryckningsmedel under en månadslång utpressningsförhandling. En analys av läckta förhandlingschattar och blockkedjetransaktioner tyder på att offret kan ha varit Union County i Ohio, där angriparna hävdade att de hade stulit mer än 2 TB data bestående av 1,6 miljoner filer, inklusive mycket känsliga myndighetshandlingar.

Händelsen riktar uppmärksamheten mot ett hotlandskap i förändring där cyberbrottslingar i allt högre grad föredrar diskret men kraftfull dataexfiltrering framför kryptering, vilket minskar den operativa komplexiteten samtidigt som ett betydande tryck upprätthålls på offren. Fallet understryker också den begränsade trygghet som lösenbetalningar ger, eftersom det inte finns någon tillförlitlig mekanism för att verifiera att stulna data raderas efter att de överförts till hotaktörerna.

Ubiquiti åtgärdar flera kritiska sårbarheter i UniFi som påverkar centrala plattformskomponenter

Ubiquiti har släppt säkerhetsuppdateringar för att åtgärda sju kritiska sårbarheter som påverkar flera UniFi-produkter, däribland UniFi Connect, Talk, Access, Protect och UniFi OS, där flera brister har CVSS-poäng mellan 9,0 och 10,0. Sårbarheterna kan göra det möjligt för angripare med nätverksåtkomst att utföra kommandon på distans, eskalera behörigheter, utföra SQL-injektion, utnyttja SSRF samt göra obehöriga ändringar på enheter, vilket potentiellt kan leda till att de drabbade systemen komprometteras fullständigt. Särskilt oroande är sårbarheterna för kommandoinjektion i UniFi Connect, UniFi Access och UniFi OS, som kan möjliggöra körning av godtycklig kod på värdenheter, samt sårbarheter för utökning av behörigheter som påverkar installationer av UniFi Talk, Access och Protect. Även om det för närvarande inte finns några bevis för aktiv utnyttjande, gör allvarlighetsgraden hos dessa sårbarheter, i kombination med att hotaktörer historiskt sett har riktat in sig på Ubiquitis infrastruktur och den senaste tidens utnyttjande av andra UniFi-relaterade brister, att omedelbara åtgärder är nödvändiga.

Organisationer som använder de drabbade UniFi-produkterna bör prioritera att installera de senaste säkerhetsuppdateringarna och övervaka om det förekommer ovanlig aktivitet som kan tyda på försök till utnyttjande

Hotaktörer missbrukar npm och PyPI med bedrägliga betalningspaket

En nyligen identifierad kampanj riktad mot mjukvaruförsörjningskedjan har riktat in sig på utvecklare genom 17 skadliga paket som publicerats på npm och PyPI, förklädda som legitima SDK:er för betalningsplattformarna Paysafe, Skrill och Neteller. Paketen var utformade för att imitera äkta bibliotek för betalningsintegration samtidigt som de i hemlighet samlade in känslig information, inklusive API-nycklar, AWS-inloggningsuppgifter, GitHub-tokens, npm-tokens, användarnamn och systemmetadata, och exfiltrerade data till angriparkontrollerad infrastruktur som är värd på AWS. Forskare fann att de skadliga paketen exponerade förväntade API:er och returnerade falska bekräftelser, vilket gjorde det svårt för utvecklare som integrerar betalningstjänster i sina applikationer att upptäcka dem.

Kampanjen visar på ett växande hot mot ekosystemet för mjukvaruutveckling, där hotaktörer i allt högre grad utnyttjar betrodda open source-arkiv för att kompromettera utvecklingsmiljöer och få tillgång till värdefulla inloggningsuppgifter som kan möjliggöra ytterligare intrång i molntjänster, källkod och finansiella tjänster.

Det rekommenderas att organisationer tar bort alla drabbade paket, byter ut exponerade inloggningsuppgifter och granskar CI/CD-loggar för tecken på intrång.

Sammanfattning av avslutningen

Om du är orolig för något av de hot som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig mot de allvarligaste hoten mot din organisation, vänligen kontakta din kundansvarige ellerta kontaktmed oss för att få reda på hur du kan skydda din organisation.

Ansvarsfriskrivning

”Threat Intel Roundup” har sammanställts av Integrity360 och sammanfattar nyheter om hot utifrån våra observationer, aktuella vid publiceringstillfället. Den ska inte betraktas som juridisk rådgivning, konsultation eller någon annan form av professionell rådgivning. Eventuella rekommendationer bör beaktas utifrån din egen organisations specifika sammanhang. Integrity360 intar ingen politisk ståndpunkt i den information som vi delar. Dessutom är de åsikter som uttrycks inte nödvändigtvis Integrity360:s egna.