Phishingkampanj riktar sig mot brittiska och tyska industrier med hjälp av HubSpot

En sofistikerad phishingkampanj har riktats mot företag inom bil-, kemi- och industriproduktion i Tyskland och Storbritannien. Kampanjen utnyttjade HubSpots Free Form Builder för att stjäla Microsoft Azure-inloggningsuppgifter.
Enligt Palo Alto Networks’ Unit 42 startade kampanjen i juni 2024 och hade komprometterat cirka 20 000 konton fram till september. Hotaktörerna skapade minst 17 falska formulär på HubSpot för att omdirigera offer till sidor som stjäl inloggningsuppgifter och som imiterar Microsoft Azure och Outlook Web App.
Offren mottog phishingmejl med DocuSign-varumärke som innehöll länkar till dessa bedrägliga HubSpot-formulär. Eftersom HubSpot är ett legitimt CRM-verktyg misslyckades säkerhetssystem ofta med att flagga dessa mejl.
Efter komprometteringen använde angriparna VPN-tjänster för att framstå som lokala och försökte återställa lösenord, vilket skapade en "dragkamp" om kontrollen över kontona. Trots att många av de inblandade servrarna nu är offline, belyser kampanjen den fortsatta missbrukningen av legitima plattformar för att kringgå e-postsäkerhetsverktyg.
Var vaksam mot phishingkampanjer som utnyttjar betrodda tjänster.

AI och deepfakes ökar cyberhoten mot små och medelstora företag i Storbritannien

Ny forskning belyser hur artificiell intelligens (AI) och deepfakes ökar cyberriskerna för små och medelstora företag i Storbritannien.
Studien visar att 86 % av de anställda på brittiska SMF är oroade över dataintrång, men endast en tredjedel känner sig säkra på att identifiera hot. Dessutom tror 63 % att de inte skulle känna igen ett cybersäkerhetsproblem, och en tredjedel är alltmer oroliga över att deras misstag kan leda till en attack.
AI har gjort det enklare att skriva skadlig kod, vilket bidrar till en ökning av cyberattacker. Ofcoms data visar att 34 % av internetanvändarna har utsatts för bedrägerier eller phishingattacker, medan 43 % stötte på deepfakes under början av 2024.
Mark Williams, COO på Sharp UK, varnar för att nio av tio dataintrång börjar med phishing och understryker vikten av robust och regelbundet uppdaterad utbildning inom cybersäkerhet. Oroväckande är att 43 % av de anställda rapporterar att de inte fått någon cybersäkerhetsutbildning det senaste året, vilket gör företagen sårbara.

APT29 utnyttjar RDP-proxyservrar i MiTM-attacker

Den ryska hackergruppen APT29, även känd som "Midnight Blizzard", har identifierats använda 193 proxyservrar för Remote Desktop Protocol (RDP) för att utföra man-in-the-middle-attacker (MiTM), enligt Trend Micro. Dessa attacker riktar sig mot myndigheter, militära organisationer, IT-leverantörer och andra i USA, Europa och Australien.
Gruppen använder verktyget PyRDP för att avlyssna RDP-sessioner, vilket gör det möjligt för dem att stjäla inloggningsuppgifter, extrahera data och utföra skadliga kommandon. Offren luras att ansluta till falska RDP-servrar via phishingmejl med skadliga bilagor.
När anslutningen är etablerad får angriparna tillgång till lokala resurser, inklusive diskar, nätverk och urklipp, och kan bläddra i filsystem, ändra filer och distribuera skadlig kod.
APT29 döljer sina aktiviteter genom att använda VPN-tjänster, TOR-noder och fullmakter. Experter rekommenderar att endast ansluta till betrodda RDP-servrar och undvika RDP-länkar mottagna via mejl för att skydda sig mot liknade kampanjer. Var vaksam och följ goda cybersäkerhetsrutiner.

Meta har fått böta £207 miljoner för säkerhetsintrång på Facebook

Meta har fått en bot på £207 miljoner (€251 miljoner) av den irländska dataskyddskommissionen (DPC) för ett intrång på Facebook 2018 som exponerade personuppgifter för 29 miljoner användare, inklusive tre miljoner i Europa.
Angriparna utnyttjade en sårbarhet i Facebooks funktion "Visa som", vilket komprometterade användares namn, kontaktuppgifter, platser och annan känslig information, inklusive deras barns personuppgifter.
Meta åtgärdade snabbt intrånget, informerade de drabbade användarna och DPC. Dock kritiserade DPC Meta för att inte ha implementerat robusta dataskyddsåtgärder under plattformens designfas, vilket de kallade en betydande risk för individers rättigheter och friheter.
Denna böter läggs till nästan €3 miljarder i sanktioner som Meta mött enligt GDPR, inklusive ett rekordböter på €1,2 miljarder 2023. Meta planerar att överklaga och hävdar att de agerade snabbt för att hantera intrånget. Fallet understryker vikten av strikta datasäkerhetsrutiner.

USA överväger förbud mot TP-Link-routrar på grund av säkerhetsrisker

Amerikanska myndigheter utreder ett möjligt förbud mot TP-Link-routrar på grund av oro för att de kan utnyttjas i kinesiska cyberattacker. TP-Link, som har 65 % av marknaden för routrar för hem och små företag i USA, granskas av handels-, försvars- och justitiedepartementen.
Utredningen följer lagstiftares påståenden om att kinesiska lagar tvingar företag att stödja statlig underrättelse- och militärverksamhet, samt rapporter om cyberattacker som utnyttjar TP-Link-enheter. I oktober 2024 kopplade Microsoft en kinesisk hackergrupp till attacker som använde TP-Link-routrar för att rikta sig mot västerländska regeringar och försvarsorganisationer.
Amerikanska tjänstemän kan förbjuda försäljningen av TP-Link så tidigt som nästa år, med hänvisning till säkerhetsbrister och möjliga brott mot prissättningslagar. TP-Link insisterar på att deras praxis följer branschstandarder och lovar samarbete med amerikanska myndigheter.
Om förbudet genomförs kan det omforma den amerikanska routermarknaden och spegla de ökande spänningarna mellan USA och Kina inom teknik och cybersäkerhet.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.