Skadliga Rust Crates stjäl Solana- och Ethereum-nycklar — 8 424 nedladdningar bekräftade

Forskare upptäckte två skadliga Rust Crates — faster_log och async_println — som utgav sig för att vara det legitima biblioteket fast_log för att stjäla Solana- och Ethereum-plånboksnycklar. De skadliga Rust Crates publicerades den 25 maj 2025 av alias “rustguruman” och “dumbnbased” och laddades ned över 8 400 gånger innan de togs ner från crates.io. Paketen innehöll funktionell loggningskod som täckmantel, men även rutiner som skannade Rust-källfiler efter privata nycklar och exfiltrerade dem via HTTP POST till en Cloudflare Workers-domän som imiterade Solanas RPC.

UNC5221 använder BRICKSTORM Backdoor för att infiltrera amerikanska juridik- och tekniksektorer

En hotgrupp kopplad till Kina känd som UNC5221, har använt BRICKSTORM backdoor mot amerikanska organisationer inom juridik-, SaaS-, BPO- och tekniksektorerna. Kampanjen, som pågått sedan åtminstone 2022, är utformad för att få långvarig dold åtkomst – i genomsnitt 393 dagar utan att upptäckas – genom att utnyttja kantutrustning och apparater som saknar slutpunktsdetektering. Den Go-baserade skadliga programvaran erbjuder funktioner som filmanipulation, körning av shell-kommandon, SOCKS-proxying och fungerar som en webbserver, samtidigt som den kommunicerar med kommando- och kontrollservrar via WebSockets. Dess mål inkluderar att få tillgång till känsliga e-postmeddelanden, stjäla inloggningsuppgifter och samla in information kopplad till nationell säkerhet, handel och immateriella rättigheter, samt att utnyttja SaaS-leverantörer för att nå kunder längre ner i kedjan.

Angripare gör intrång genom Ivanti Connect Secure zero-day-sårbarheter och etablerar sig genom att modifiera startskript, distribuera JSP-webbshells eller använda giltiga inloggningsuppgifter för att ta sig in i VMware-infrastrukturen. De har också observerats använda BRICKSTEAL, ett skadligt Apache Tomcat-filter, för att samla in vCenter-inloggningsuppgifter och klona kritiska servrar för att nå djupare åtkomst. Sårbarheten är under aktiv utveckling, och vissa varianter fördröjer exekveringen för att undvika upptäckt. Mandiant och Google varnar för att BRICKSTORM utgör ett mycket sofistikerat hot för cyberspionage och uppmanar organisationer att proaktivt leta efter dolda bakdörrar på Linux, BSD och andra apparater utanför traditionell EDR-täckning.

Ny YiBackdoor-skadlig kod delar stora kodöverlappningar med IcedID och Latrodectus

Forskare vid Zscaler har upptäckt en ny skadlig programvara som kallas YiBackdoor, som delar stora kodlikheter med IcedID och Latrodectus. Den upptäcktes i juni 2025 och kan utföra kommandon, samla in systeminformation, ta skärmdumpar och ladda ner plugins för ytterligare funktioner, samtidigt som den undviker upptäckt med anti-analystekniker och persistens via Windows Run-registernyckeln. Dess begränsade användning hittills tyder på att den fortfarande testas eller utvecklas.

Parallellt har nya versioner av ZLoader (2.11.6.0 och 2.13.7.0) dykt upp med förbättrad anti-analys, LDAP-baserad upptäckt för lateral rörelse och uppgraderad DNS/WebSocket C2-kommunikation, vilket speglar den pågående utvecklingen mot mer dolda och riktade attacker.

ShadowV2 Botnet utnyttjar felkonfigurerade AWS Docker-containrar för DDoS-tjänster

Forskare har upptäckt ShadowV2, ett nytt DDoS-botnät som utnyttjar felkonfigurerade Docker-containrar på AWS för att distribuera en Go-baserad RAT, som hanteras via en Python C2 på GitHub Codespaces. De använder sig av avancerade attackmetoder som HTTP/2 Rapid Reset-översvämningar och Cloudflare-förbikopplingsförsök, vilket understryker dess design likt en "cybercrime-as-a-service-platform". Upptäckten kommer mitt i rekordstora DDoS-attacker, inklusive en attack på 22,2 Tbps som mildrades av Cloudflare, och uppkomsten av AISURU-botnätet, som har infekterat nästan 300 000 IoT-enheter över hela världen.

Microsoft åtgärdar kritisk Entra ID-brist som möjliggör global administratörsimitation mellan hyresgäster

Forskare upptäckte en kritisk brist i Microsoft Entra ID (CVE-2025-55241, CVSS 10.0) som kunde ha gjort det möjligt för angripare att imitera vilken användare som helst, inklusive globala administratörer, över alla hyresgäster utan tidigare åtkomst. Problemet uppstod på grund av osäker hantering av service-till-service-aktörstoken och ett valideringsfel i det äldre Azure AD Graph API, vilket möjliggjorde kompromettering över flera hyresgäster. Utnyttjandet skulle ha kringgått MFA, villkorad åtkomst och loggning utan att lämna några spår, samtidigt som angripare skulle ha fått full kontroll över Azure- och Microsoft 365-tjänster. Microsoft åtgärdade bristen den 17 juli 2025 utan att kunderna behövde vidta några åtgärder och avvecklade Graph API den 31 augusti.

Felet upptäcktes av Dirk-jan Mollema och belyser riskerna med beroenden av äldre API:er i molnmiljöer. Den följer på en våg av nya upptäckter inom molnsäkerhet som påverkar Microsoft och AWS, inklusive felkonfigurationer av OAuth, läckage av inloggningsuppgifter och API-missbruk som leder till åtkomst mellan olika kunder, dataexfiltrering och privilegieeskalering. Sammantaget visar dessa brister hur felkonfigurationer och otillräcklig validering i identitetssystem kan utsätta organisationer för tysta, kundomfattande komprometteringar i molntjänster.

Om du är orolig för något av hoten som beskrivs i detta meddelande eller behöver hjälp med att avgöra vilka åtgärder du bör vidta för att skydda dig från de mest väsentliga hoten som din organisation står inför, vänligen kontakta din kundansvarige, eller alternativt hör av dig för att ta reda på hur du kan skydda din organisation

Threat Intel Roundup har utarbetats av Integrity360 och sammanfattar hotnyheter som vi observerar dem, aktuella per publiceringsdatum. Det ska inte betraktas som juridisk, konsultativ eller annan professionell rådgivning. Eventuella rekommendationer bör beaktas i kontexten av din egen organisation. Integrity360 intar ingen politisk ståndpunkt i den information vi delar. Dessutom behöver de uttryckta åsikterna inte nödvändigtvis vara Integrity360:s åsikter.