av Mikael Winterkvist | jul 22, 2025 | Bluesky, Mastodon, Säkerhet, Threads, Twitter
Hackare med koppling till den kinesiska staten har förknippats med en omfattande våg av attacker som utnyttjar en ny sårbarhetskedja i Microsoft SharePoint. Angreppen har riktats mot SharePoint-servrar som körs lokalt hos organisationer runt om i världen.
Den aktuella sårbarheten, som fått namnet ToolShell, har använts för att ta sig in i tiotals organisationer genom att utnyttja två säkerhetsluckor: CVE-2025-49706 och CVE-2025-49704. De demonstrerades först under säkerhetskonferensen Pwn2Own i Berlin.
Enligt det nederländska säkerhetsföretaget Eye Security har minst 54 organisationer redan drabbats, däribland multinationella företag och nationella myndigheter.
Microsoft har åtgärdat sårbarheterna i samband med juli månads säkerhetsuppdateringar. Två nya CVE-koder, CVE-2025-53770 och CVE-2025-53771, har tilldelats för de sårbarheter som utnyttjats även i fullt uppdaterade system. Företaget har också släppt akuta säkerhetsuppdateringar för SharePoint Subscription Edition, SharePoint 2019 och SharePoint 2016.
En så kallad proof-of-concept-kod (PoC) för sårbarheten CVE-2025-53770 har nu publicerats på GitHub, vilket gör det möjligt för fler aktörer att utnyttja bristen.
Den amerikanska cybersäkerhetsmyndigheten CISA har lagt till CVE-2025-53770 i sin lista över kända exploaterade sårbarheter. Myndigheten har beordrat federala myndigheter att installera tillgängliga uppdateringar dagen efter att de släpptes.
Enligt CISA gör ToolShell-attacken det möjligt att få åtkomst till system utan autentisering. Angripare kan därefter få tillgång till SharePoint-innehåll, filsystem, interna konfigurationer och exekvera kod över nätverket.
Myndigheten uppger att Microsoft agerar snabbt och att man samarbetar för att informera berörda verksamheter. CISA uppmanar alla organisationer med lokalt installerade SharePoint-servrar att vidta de rekommenderade åtgärderna omedelbart.
Källa:
Bleeping Computer
av Mikael Winterkvist | jul 21, 2025 | Bluesky, Mastodon, Säkerhet, Threads, Twitter
Microsoft varnar för en pågående global cyberattack mot SharePoint Server. En tidigare okänd sårbarhet (Zero-Day) utnyttjas för att ta kontroll över servrar, stjäla data och installera bakdörrar.
Attacken påverkar lokala installationer av SharePoint 2019 och Subscription Edition. Molntjänsten SharePoint Online är inte drabbad. Enligt cybersäkerhetsföretag började angreppen den 18 juli och har riktats mot organisationer i bland annat USA, Europa och Asien. Flera myndigheter och skolor har redan fått sina system komprometterade.
Sårbarheten, som fått beteckningen CVE-2025-53770, gör det möjligt för angripare att köra skadlig kod med fulla rättigheter. Det innebär att även krypteringsnycklar och autentiseringsuppgifter kan stjälas. Enligt säkerhetsanalytiker finns det tecken på att vissa aktörer återkommer efter att en server blivit åtgärdad.
Microsoft har nu släppt säkerhetsuppdateringar för SharePoint 2019 och Subscription Edition. En patch för SharePoint 2016 väntas inom kort. Amerikanska säkerhetsmyndigheter uppmanar alla organisationer att antingen installera uppdateringarna omedelbart – eller isolera systemen tills åtgärder vidtagits.
Enligt uppskattningar är tiotusentals SharePoint-servrar utsatta världen över.
Källor:
av Mikael Winterkvist | jul 20, 2025 | Bluesky, Mastodon, Säkerhet, Threads, Twitter
Microsoft har publicerat information om en kritisk sårbarhet i Microsoft SharePoint Server On-premises, vilken utnyttjas aktivt. Sårbarheten CVE-2025-53770 har av tillverkaren tilldelats en klassning på 9.8 av 10. [1] [2]
I dagsläget finns det ingen uppdatering tillgänglig, Microsoft har dock publicerat förslag på mitigerande åtgärder, och detaljerad information om hur ett utnyttjande kan detekteras samt publicerat IOC:er. [3]
Källa: BM25-001 Kritisk sårbarhet i Microsoft SharePoint Server On-premises utnyttjas aktivt – CERT-SE
av Mikael Winterkvist | jul 18, 2025 | Bluesky, Mastodon, Säkerhet, Threads, Twitter
Bedragarna tar alla chanser att försöka att lura oss att lämna ifrån oss våra kontouppgifter.
Just nu, i semestertider och i sommarvärmen, har det skickats ut ett stort antal falska mail ut som utger sig för att komma från Easy Park, en populär app för att parkera.
I mailet uppmanas du att uppdatera dina uppgifter – alltså logga in för att göra det. Avsändaren är falsk liksom inloggningsidan och mailet kommer inte från Easy Park.
av Mikael Winterkvist | jul 16, 2025 | Bluesky, Mastodon, Säkerhet, Threads, Twitter
Ett omfattande internationellt tillslag har slagit ut centrala delar av det pro-ryska cyberkriminella nätverket NoName057(16). Operationen, som koordinerades av Europol och Eurojust under kodnamnet Eastwood, ägde rum mellan den 14 och 17 juli och involverade polis- och åklagarmyndigheter från tolv länder, däribland Sverige.
NoName057(16) har pekats ut som ansvarigt för en lång rad överbelastningsattacker mot myndigheter, banker och institutioner i länder som stöttar Ukraina. Gruppen har tidigare attackerat svenska mål och deltog bland annat i attacker mot svenska myndighetssidor och banker under 2023 och 2024.
Infrastruktur
Under insatsen genomfördes 24 husrannsakningar i bland annat Tyskland, Italien, Spanien, Polen, Frankrike och Tjeckien. Två personer greps – en i Frankrike och en i Spanien – och sju internationella arresteringsorder utfärdades. Tyskland står bakom sex av dessa, varav två gäller personer som tros ha varit huvudansvariga för nätverkets verksamhet. Sammanlagt identifierades och slogs över hundra servrar ut över hela världen, samtidigt som en betydande del av nätverkets infrastruktur togs offline.
De som är aktiva inom NoName057(16) utgörs främst av rysktalande sympatisörer som genomför så kallade DDoS-attacker – där webbplatser och digitala tjänster överbelastas för att slås ut. Gruppen saknar formell ledning och använder enkla verktyg för att koordinera attacker. Flera hundra individer som misstänks ha deltagit i angreppen informerades av nationella myndigheter om att deras agerande kan medföra rättsliga konsekvenser. Bland dessa finns ett femtontal identifierade administratörer.
Ukraina
Enligt Europol har NoName057(16) särskilt riktat in sig på mål i länder som gett aktivt stöd till Ukraina, däribland flera NATO-medlemmar. I Tyskland har gruppen genomfört fjorton angreppsvågor sedan november 2023, riktade mot över 250 organisationer. I Schweiz sammanföll flera attacker med politiska evenemang kopplade till Ukraina, och i Nederländerna bekräftades en attack i samband med NATO-toppmötet tidigare i år.
Europol ledde samordningen mellan länderna och agerade nav för informationsutbyte och operativt stöd. Myndigheten organiserade ett trettiotal möten och etablerade ett gemensamt kommandocentrum med representanter från bland annat Frankrike, Spanien, Tyskland och Nederländerna. Eurojust koordinerade de rättsliga åtgärderna under insatsen och ansvarade för internationell rättshjälp och europeiska utredningsorder.
Ryssland
Utredningen visar att NoName057(16) använt chattkanaler, forum och meddelandetjänster för att rekrytera deltagare, sprida instruktioner och förstärka budskap. Deltagare har fått betalt i kryptovaluta och motiverats genom topplistor och digitala belöningssystem – något som enligt Eurojust lockat yngre användare genom ett slags spelifiering. Målet har varit att försvara Ryssland och slå tillbaka mot väst.
Utöver Sverige deltog även bland annat Tyskland, Frankrike, Finland, Schweiz, Nederländerna, Spanien, Polen, Italien, USA, Litauen och Tjeckien i operationen. Belgien, Danmark, Estland, Kanada, Lettland, Rumänien och Ukraina gav tekniskt och operativt stöd.
Källor:
av Mikael Winterkvist | jul 14, 2025 | Bluesky, Mastodon, Säkerhet, Threads
Antalet malware-attacker ökade kraftigt under årets första kvartal. Det visar en ny rapport från WatchGuard, där företagets säkerhetslabb noterar den största ökningen av skadlig kod hittills. Jämfört med kvartalet innan steg det totala antalet unika malware-detektioner med 171 procent, och mycket av ökningen kopplas till AI-genererad kod och attacker som gömmer sig i krypterad trafik.
Malware på endpoints, alltså på användares datorer och enheter, ökade med över 700 procent. Den vanligaste attackmetoden var så kallade LSASS-dumpar, där angripare stjäl användaruppgifter genom att utnyttja en kritisk Windows-process. Samtidigt minskade antalet ransomware-attacker med 85 procent, men hotet finns kvar. Bland annat är ransomware-varianten Termite fortfarande aktiv. Trenden tyder på att fler angripare övergår från att kryptera filer till att i stället fokusera på att stjäla data.
Skadlig kod som utnyttjar krypterad TLS-trafik blev vanligare, och vissa trojaner kombinerar numera helt legitima filer med krypterad kommunikation. Det gör dem svårare att upptäcka och kräver både beteendeanalys och aktivt skydd på varje enhet. En av de mest spridda hoten var en trojan kallad Agent.FZPI, som spreds via just TLS-krypterade förbindelser.
En annan trend är att angripare allt oftare använder så kallade LoTL-tekniker – attacker som bygger på legitima verktyg i operativsystemet. Samtidigt minskar användningen av traditionella scriptbaserade attacker, vilket tyder på att hotaktörerna väljer diskretare metoder för att undvika upptäckt.
Geografiskt fanns stora variationer. Den falska applikationen Cashback.B spreds exempelvis i särskilt hög grad i Chile och Irland, där den utgjorde en majoritet av alla upptäckta hot. Totalt sett minskade antalet olika typer av nätverksattacker med 16 procent, men de som faktiskt användes var mer målinriktade och ofta inriktade på äldre system med kända sårbarheter.
E-post fortsätter att vara den främsta spridningsvägen för malware. Med hjälp av AI blir bedrägerimejlen dessutom allt mer trovärdiga, vilket bidrar till att både nätverk och endpoints blir infekterade i högre takt.
Källa:
Help Net Security
