Buggen ”CitrixBleed 2” hotar NetScaler Gateways – experter uppmanar till omedelbar patchning

En nyligen upptäckt kritisk sårbarhet i Citrix NetScaler ADC och Gateway — nu kallad “CitrixBleed 2” — väcker oro i cybersäkerhetsvärlden på grund av dess likhet med den allvarligt utnyttjade CitrixBleed-sårbarheten från 2023. Denna nya sårbarhet, CVE-2025-5777, tillåter obehöriga angripare att läsa utanför tillåtna minnesgränser i publikt exponerade enheter, vilket kan läcka sessionstokens, inloggningsuppgifter och annan känslig data.

Säkerhetsforskaren Kevin Beaumont jämförde buggen med CitrixBleed 2023 och varnade för att angripare kan kapa aktiva sessioner och kringgå multifaktorautentisering. En andra sårbarhet, CVE-2025-5349, påverkar även NetScalers administrationsgränssnitt.

Citrix har släppt uppdateringar och uppmanar alla att patcha omedelbart. Administratörer bör avsluta alla ICA- och PCoIP-sessioner efter uppdatering för att förhindra att stulna tokens används — en åtgärd som många ignorerade 2023, vilket ledde till ransomware och cyberspionage.

Över 56 500 NetScaler-endpoints är exponerade online just nu. Äldre versioner som inte längre stöds kommer inte att få några säkerhetsfixar.

Hacktivistgruppen Noname057(16) attackerar NATO och allierade med ny DDoS-kampanj

Den proryska hacktivistgruppen Noname057(16) har den 24 juni 2025 publicerat en ny lista över mål för distribuerade överbelastningsattacker (DDoS) via sin Telegram-kanal. Listan omfattar över 20 webbplatser kopplade till regeringar, försvar, NGO:er och kommersiella sektorer i USA, Belgien, Israel, Nederländerna, Ukraina, Norge och Italien.
Bland målen finns flera NATO-relaterade domäner som nato-pa.int, cmre.nato.int och sto.nato.int, samt kommunala webbplatser i Israel och NGO-plattformar i Nederländerna och Ukraina.
Gruppen använder ofta Check Host för att visa att målsidor är otillgängliga. Trots att effekterna verkar begränsade till tillfälliga avbrott, lyfter kampanjen fram den ökade aktiviteten från hacktivister riktad mot NATO och dess allierade.
Dessa politiskt motiverade DDoS-attacker är en del av större påverkanskampanjer kopplade till geopolitiska spänningar.

BlueNoroff utger sig för att vara Zoom-kontakter för att angripa kryptoföretag

Forskare rapporterar om en avancerad social ingenjörskampanj från den Nordkorea-kopplade gruppen BlueNoroff (APT38), som riktar in sig på kryptoföretag och finansinstitut via Zoom. Sedan mars utger sig gruppen för att vara kända kontakter i videosamtal och lurar offer att installera skadlig kod maskerad som ljudfixverktyg.
I ett fall den 28 maj riktades ett angrepp mot ett kanadensiskt spelbolag, där en falsk Zoom SDK-uppdatering innehöll dolda kommandon som installerade infostealer-malware. Skriptet skapar persistens via LaunchDaemon och maskerade komponenter som “icloud_helper” och stjäl wallet-data och webbläsaruppgifter.
Kampanjen omfattar Nordamerika, Europa och Asien-Stillahavsområdet och fokuserar på sektorer inom krypto, fintech och gaming. Trots dess sofistikering kräver angreppen måttlig teknisk skicklighet och utgör ett hot på medelnivå.
Rekommendation: bekräfta Zoom-deltagares identitet, utbilda personal i imitationsmetoder och blockera obehöriga skript på klientnivå.

Nordkoreanska hackare riktar in sig på utvecklare med skadliga npm-paket

En ny våg av Nordkoreas “Contagious Interview”-kampanj riktar sig mot jobbsökande utvecklare med skadliga npm-paket avsedda att infektera system med infostealers och bakdörrar.
Forskare har upptäckt 35 npm-paket från 24 konton, nedladdade över 4 000 gånger. De utger sig för att vara legitima bibliotek (t.ex. react-plaid-sdk, vite-plugin-next-refresh) och distribuerar BeaverTail och InvisibleFerret – båda kopplade till DPRK-hotaktörer.
Kampanjen börjar med falska rekryterare på LinkedIn som skickar kodtester via Bitbucket. Offren uppmanas att köra inbäddad kod – ofta medan de delar skärm. Infektionskedjan innehåller HexEval Loader (för fingeravtryck och leverans), BeaverTail (för stöld av webbläsardata och wallets), InvisibleFerret (ihållande bakdörr), samt en nyckelavläsare för realtidsövervakning.
Detta är en del av en pågående attackserie från Lazarus-gruppen som använder npm som leveranskanal. Utvecklare bör vara försiktiga med oombedda jobberbjudanden och köra okänd kod i säkra miljöer.

Nucor bekräftar datastöld i cyberattack mot stålsektorn

Nucor, Nordamerikas största stålproducent och återvinnare, har bekräftat att cyberbrottslingar bakom ett nyligt intrång även har stulit data från dess IT-system. Företaget, som sysselsätter över 32 000 personer och rapporterade intäkter på 30,73 miljarder dollar förra året, avslöjade intrånget i maj efter att ha stoppat produktionen vid vissa anläggningar.
I en färsk SEC-anmälan avslöjade Nucor att begränsad data exfiltrerats. Det är fortfarande oklart vilken typ av data som stulits och om några system krypterats, men företaget undersöker situationen och kommer att underrätta drabbade parter enligt lag.
Nucor säger att alla påverkade system och produktionslinjer är återställda och att angriparna inte längre har tillgång till nätverket. Ingen ransomware-grupp har ännu tagit på sig ansvaret, men experter noterar att datastöld ofta ingår i så kallade dubbelutpressningsmetoder. Utredningen pågår i samarbete med experter och brottsbekämpande myndigheter.

Om ni är oroliga för något av hoten som beskrivs i detta nyhetsbrev eller behöver hjälp med att avgöra vilka åtgärder ni bör vidta för att skydda er organisation mot de mest väsentliga hoten, vänligen kontakta er kundansvarige eller alternativt kontakta oss för att ta reda på hur ni kan skydda er organisation.

Threat Intel Roundup har sammanställts av Integrity360 och sammanfattar hotnyheter som vi observerar, aktuella vid publiceringstillfället. Den ska inte betraktas som juridisk, konsultativ eller annan professionell rådgivning. Alla rekommendationer bör beaktas i sammanhanget för er egen organisation. Integrity360 intar ingen politisk ståndpunkt i den information vi delar. Dessutom är de åsikter som uttrycks inte nödvändigtvis Integrity360:s åsikter.