Midnight Blizzard benytter ny GrapeLoader-malware i phishing-kampanje rettet mot ambassader. Kritisk Chrome-sikkerhetsoppdatering: Installer nå for å unngå CVE-2025-3619 og CVE-2025-3620.
Midnight Blizzard benytter ny GrapeLoader-malware i phishing-kampanje rettet mot ambassader
En ny spear-phishing-kampanje, utført av den russiske statssponsede etterretningsgruppen APT29 (også kjent som Midnight Blizzard eller Cozy Bear), retter seg mot diplomatiske mål i Europa. Kampanjen benytter en falsk e-postinvitasjon til vinsmaking for å lokke ofre til å laste ned en ondsinnet ZIP-fil.
Den inneholder en ny malware loader kalt GrapeLoader, som kjøres via DLL sideloading, etablerer persistence og kontakter en C2-server for å laste ned shellcode. Denne loaderen er designet for å være vanskelig å oppdage, med blant annet forsinket kjøring og minnebeskyttelse.
GrapeLoader leverer en ny variant av backdoor-programmet WineLoader, som samler inn detaljert informasjon om systemet og muliggjør videre spionasje. Den nye varianten er tungt obfuskert for å unngå analyse og oppdagelse.
Check Point Research konkluderer med at APT29 stadig forbedrer sine teknikker, og at denne kampanjen viser en høy grad av sofistikasjon og målrettethet.
Kritisk Chrome-sikkerhetsoppdatering: Installer nå for å unngå CVE-2025-3619 og CVE-2025-3620
Google har nettopp rullet ut Chrome 135.0.7049.95/.96 for Windows og macOS, samt 135.0.7049.95 for Linux, for å tette to alvorlige sårbarheter. En av dem, CVE-2025-3619, er klassifisert som «kritisk» og består av en heap buffer overflow-feil i kodekenes håndtering av data, noe som kan åpne for vilkårlig kodekjøring. Den andre feilen, CVE-2025-3620, er en bruk-etter-frigjøring («use-after-free») i USB-modulen, som også kan føre til utnyttelse med eksekvering av ondsinnet kode. Begge disse feilene kan la angripere ta kontroll over systemet dersom oppdatering ikke installeres.
Google begrenser bevisst detaljert informasjon om sårbarhetene for å gi flest mulig tid til å oppdatere, særlig hvis andre prosjekter er avhengige av ubeskyttet kode. Brukere og administratorer oppfordres derfor til å forsikre seg om at de kjører den nyeste Chrome-versjonen, enten ved å vente på automatisk oppdatering eller ved å sjekke manuelt via chrome://settings/help. Dette minimerer faren for at uvedkommende utvikler og sprer skadevare basert på disse sårbarhetene.