April Patch Tuesday fikser kritiske sårbarheter i SAP, Adobe, Microsoft og flere. UAC-0247 retter datatyv-kampanje mot ukrainske klinikker og myndigheter.
April Patch Tuesday fikser kritiske sårbarheter i SAP, Adobe, Microsoft og flere
April Patch Tuesday 2026 inkluderer en rekke kritiske sikkerhetsoppdateringer fra leverandører som Microsoft, SAP, Adobe og Fortinet. Oppdateringene adresserer flere alvorlige sårbarheter, inkludert fjernkjøring av kode (RCE) og risiko for datatyveri. Microsoft alene har fikset over 160 sårbarheter, inkludert minst én aktivt utnyttet nulldagssårbarhet i SharePoint (CVE-2026-32201). Flere av sårbarhetene er klassifisert som kritiske og kan gi angripere mulighet til å ta kontroll over systemer eller eskalere privilegier.
Anbefaling:
Organisasjoner bør prioritere å installere alle tilgjengelige sikkerhetsoppdateringer umiddelbart, spesielt for internett-eksponerte systemer som SharePoint. Det anbefales også å teste patcher raskt og rulle dem ut for å redusere risiko for aktiv utnyttelse.
UAC-0247 retter datatyv-kampanje mot ukrainske klinikker og myndigheter
Ukrainas Computer Emergencies Response Team (CERT-UA) har avdekket en ny kampanje som har rettet seg mot myndigheter og kommunale helseinstitusjoner for å distribuere skadevare som kan stjele sensitive data fra Chromium-baserte nettlesere og WhatsApp. Aktiviteten ble observert mellom mars og april 2026, og tilskrives en trusselgruppe kalt UAC-0247. Opprinnelsen til kampanjen er foreløpig ukjent.
Angrepskjeden starter med en e-post som utgir seg for å være et forslag om humanitær hjelp, og oppfordrer mottakerne til å klikke på en lenke som omdirigerer til enten et legitimt nettsted kompromittert via en cross-site scripting (XSS)-sårbarhet, eller et falskt nettsted laget ved hjelp av AI-verktøy. Målet i begge tilfeller er å få offeret til å kjøre en Windows Shortcut-fil (LNK), som i sin tur kjører en ekstern HTML Application (HTA) via det legitime Windows-verktøyet "mshta.exe". HTA-filen viser et lokkeskjema for å distrahere offeret, mens den i bakgrunnen laster ned en binærfil som injiserer shellcode i en legitim prosess som "runtimeBroker.exe". CERT-UA har også observert en to-stegs loader der andre steg er implementert i et egenutviklet eksekverbart filformat, med payload som er både komprimert og kryptert.
Blant skadevaren som distribueres finnes:
RAVENSHELL: et TCP reverse shell som oppretter tilkobling til en styringsserver for å motta kommandoer som utføres via "cmd.exe".
AGINGFLY: et C#-basert fjernstyringsverktøy som kommuniserer med en C2-server via WebSockets, og som kan kjøre kommandoer, starte keylogger, laste ned filer og kjøre ytterligere nyttelaster.
SILENTLOOP: et PowerShell-skript som blant annet henter C2-serverens aktuelle IP-adresse fra en Telegram-kanal, med fallback til alternative mekanismer.
I tillegg benyttes flere åpen kildekode-verktøy: ChromElevator (omgår Chromiums app-bound encryption for å hente cookies og lagrede passord), ZAPiXDESK (dekrypterer lokale WhatsApp Web-databaser), RustScan (nettverksskanner), Ligolo-Ng og Chisel (tunneling over TCP/UDP/TLS), samt kryptoutvinneren XMRig.
Gjennomgang av omtrent et dusin hendelser viser at angrepene legger til rette for rekognosering, lateral bevegelse og tyveri av legitimasjon og andre sensitive data. CERT-UA indikerer også at representanter for Ukrainas forsvarsstyrker kan ha vært mål, gjennom distribusjon av skadelige ZIP-arkiver via Signal som leverer AGINGFLY ved bruk av DLL side-loading.
For å redusere risikoen anbefales det å begrense kjøring av LNK-, HTA- og JS-filer, samt legitime verktøy som "mshta.exe", "powershell.exe" og "wscript.exe".
