Apple bekräftar Zero-Day-attacker riktade mot Intel-baserade Mac-datorer och släpper kritiska säkerhetsuppdateringar

Apple har släppt brådskande säkerhetsuppdateringar för macOS och iOS för att hantera två Zero-Day-sårbarheter som aktivt utnyttjas på Intel-baserade Mac-system. Sårbarheterna, identifierade som CVE-2024-44308 och CVE-2024-44309, finns i JavaScriptCore och WebKit respektive. Exploatering av dessa sårbarheter kan tillåta angripare att köra godtycklig kod eller utföra cross-site scripting-attacker via skadligt webbinnehåll.

För att minska riskerna har Apple släppt uppdateringar för iOS 18.1.1, macOS Sequoia 15.1.1 och iOS 17.7.2 för äldre enheter. Användare uppmanas starkt att installera dessa uppdateringar omgående för att skydda sina system mot potentiella attacker.

Denna utveckling följer rapporter om nordkoreanska cyberaktörer som riktar in sig på macOS-användare med malware-kampanjer som inkluderar phishingmejl och falska PDF-applikationer. Dessa incidenter belyser det ökande fokuset från hotaktörer på macOS-plattformar och understryker behovet av att användare håller sina säkerhetsåtgärder uppdaterade.

Återkommande Zero-Day-attacker riktade mot macOS-system betonar vikten av kontinuerlig vaksamhet och snabba mjukvaruuppdateringar för att skydda sig mot framväxande hot.

Ransomwaregruppen Akira offentliggör dataläcka och riktar in sig på 35 offer på en dag

Ransomwaregruppen Akira har publicerat data från 35 offer på sin darknet-läcksajt under en och samma dag, vilket markerar en aldrig tidigare skådad ökning av dess kriminella aktiviteter. Gruppen, som dök upp i mars 2023, fungerar som en ransomware-as-a-service-plattform och möjliggör för sina partners att pressa offer genom att stjäla och kryptera data. Under sitt första år samlade gruppen in 42 miljoner dollar från cirka 250 attacker, enligt FBI.

Den senaste massiva dataläckan inkluderar 32 nya offer, främst inom affärstjänstsektorn i USA, samt ytterligare mål i Kanada, Tyskland och Storbritannien. Cybersäkerhetsforskaren Adi Bleih noterade att denna mängd simultana avslöjanden är högst ovanlig, vilket tyder på en möjlig upptrappning i Akiras operationer. Gruppens läcksajt, designad i stil med datorgränssnitt från 1980-talet, innehåller avsnitt för senaste offer och publicerade data, vilket fungerar som ett utpressningsverktyg.

Denna utveckling väcker oro över den ökande sofistikeringen och aggressiviteten hos ransomwaregrupper. Organisationer uppmanas att förstärka sina cybersäkerhetsåtgärder för att minska risken för sådana attacker. Akiras senaste omfattande dataläckor understryker behovet av vaksamhet och robusta säkerhetsprotokoll inför utvecklande cyberhot.

Ransomwaregruppen Helldown utnyttjar sårbarheter i Zyxel VPN för att infiltrera nätverk och kryptera data

Ransomwaregruppen Helldown utnyttjar sårbarheter i Zyxel-brandväggar för att infiltrera företagsnätverk, stjäla data och kryptera system. Det franska cybersäkerhetsföretaget Sekoia rapporterar att Helldown har expanderat snabbt sedan sin debut i mitten av 2024 och listar många offer på sin datautpressningsportal.

Helldowns Windows-variant, som först dokumenterades av Cyfirma i augusti 2024, är baserad på det läckta LockBit 3-verktyget och delar operativa likheter med ransomware som Darkrace och Donex. En Linux-variant som riktar sig mot VMware-filer identifierades av 360NetLab i oktober, vilket indikerar pågående utvecklingsinsatser.

Gruppen tros utnyttja kritiska sårbarheter i Zyxel-brandväggar, såsom CVE-2023-33009 och CVE-2023-33010, båda kopplade till buffertöversvämningsproblem som gör det möjligt för oautentiserade angripare att köra kod på distans eller orsaka denial-of-service-tillstånd. Zyxel släppte patchar för dessa sårbarheter i maj 2023 och uppmanar användare att uppdatera sina system omedelbart.

Denna utveckling understryker vikten av snabba mjukvaruuppdateringar och robusta cybersäkerhetsåtgärder för att skydda sig mot utvecklande ransomwarehot. Organisationer rekommenderas att granska sina nätverkssäkerhetsprotokoll och säkerställa att alla enheter är uppdaterade för att minska potentiella risker.

Ryska ransomwaregäng rekryterar penetrationstestare för att stärka sina kriminella operationer

Ryska ransomwaregäng, inklusive Apos, Lynx och Rabbit Hole, rekryterar aktivt penetrationstestare för att förbättra sina kriminella operationer. Dessa gäng publicerar jobbannonser på ryskspråkiga forum och söker personer med expertis inom identifiering av systemsvagheter.

Penetrationstester innebär simulering av cyberattacker för att upptäcka säkerhetsbrister, en praxis som traditionellt används av legitima organisationer för att stärka sina försvar. Dessa ransomwaregäng utnyttjar dock sådana färdigheter för att förbättra effektiviteten i sina skadliga aktiviteter. Denna trend belyser den ökande professionaliseringen inom det cyberkriminella ekosystemet, där strukturerad rekrytering och specialiserade roller blir allt vanligare.

T-Mobile bekräftar intrång under en våg av telekombrott kopplade till kinesiska hotaktörer

T-Mobile har bekräftat sin inblandning i en rad senaste intrång inom telekomsektorn som tillskrivs kinesiska hotaktörer som syftar till att få tillgång till privata kommunikationer, samtalsloggar och information från brottsbekämpande myndigheter. Företaget har meddelat att det, trots intrånget, inte finns några bevis på betydande påverkan på dess system eller kunddata. T-Mobile övervakar aktivt situationen och samarbetar med branschkollegor och relevanta myndigheter för att hantera problemet.

Fintech-jätten Finastra utreder dataintrång efter hackning av SFTP-system

Finastra, en ledande leverantör av finansiell teknik, utreder ett dataintrång efter obehörig åtkomst till dess säkra filöverföringsplattform (SFTP) den 7 november 2024. Intrånget innebar komprometterade autentiseringsuppgifter som gjorde det möjligt för angripare att komma åt SFTP-systemet.

Finastra betjänar över 8 000 institutioner i 130 länder, inklusive 45 av världens 50 största banker. Företaget har engagerat externa cybersäkerhetsexperter för att bistå i utredningen och har informerat drabbade kunder. En hotaktör, identifierad som "abyss0", har tagit på sig ansvaret och påstått sig ha 400 GB stulen data. Finastra har inte bekräftat detta påstående.

Denna incident belyser det kritiska behovet av robusta säkerhetsåtgärder för att skydda känslig finansiell data. Organisationer uppmanas att granska sina säkerhetspolicyer för att förhindra obehörig åtkomst och skydda högkänsliga data.

If you are worried about any of the threats outlined in this bulletin or need help in determining what steps you should take to protect yourself from the most material threats facing your organisation, please contact your account manager, or alternatively Get in touch to find out how you can protect your organisation. 

The Threat Intel Roundup was prepared by Integrity360 summarising threat news as we observe it, current at the date of publishing. It should not be considered to be legal, consulting or any other professional advice. Any recommendations should be considered in the context of your own organisation. Integrity360 does not take any political stance in the information that we share. Moreover, the opinions expressed may not necessarily be the views of Integrity360.