Aktiv utnyttelse av en kritisk sårbarhet i WatchGuard Firebox. Iransk Infy APT dukker opp igjen med ny skadelig programvareaktivitet etter årevis med taushet. Russland-tilknyttede hackere bruker Microsoft 365-enhetskode-phishing for kontoovertakelse.
Aktiv utnyttelse av en kritisk sårbarhet i WatchGuard Firebox
WatchGuard advarer om en kritisk, aktivt utnyttet RCE-sårbarhet (CVE-2025-14733) i Firebox-brannmurer som kjører Fireware OS 11.x og nyere, inkludert 12.x og 2025.1.x.
Sårbarheten skyldes en "out-of-bounds write" svakhet som gjør det mulig for uautentiserte angripere å kjøre kode eksternt via lavkomplekse angrep, spesielt hvis enheten er konfigurert med IKEv2 VPN (mobil eller BOVPN). Selv etter sletting av enkelte konfigurasjoner kan sårbarheten vedvare.
WatchGuard bekrefter aktiv utnyttelse og anbefaler umiddelbar patching, samt midlertidige tiltak for de som ikke kan oppdatere, inkludert deaktivering av dynamiske BOVPN-peers og justering av brannmurregler.
Iransk Infy APT dukker opp igjen med ny skadelig programvareaktivitet etter årevis med taushet
Den iransk-tilknyttede Advanced Persistent Threat-gruppen kjent som Infy (eller Prince of Persia) har gjenopptatt aktivitet etter omkring fem års stillhet med en ny bølge av malware-operasjoner som involverer oppdaterte versjoner av to hovedmalware-familier: Foudre (downloader/profilering) og Tonnerre (andre-fase implantat). Kampanjene har blitt observert i målrettede angrep gjennom phishing-e-poster med ondsinnede Microsoft Excel-filer som inneholder innebygde kjørbare filer, dynamiske DGA-baserte C2-domener og en uvanlig command-and-control-infrastruktur som kommuniserer via Telegram-grupper og bots for kommandoer og dataeksfiltrering. Ofrene spenner over flere land inkludert Iran, Irak, Tyrkia, India, Canada og Europa, og aktivitetene er betydelig mer omfattende og teknisk avanserte enn tidligere antatt, noe som vitner om at gruppen er aktiv, relevant og farlig.
Russland-tilknyttede hackere bruker Microsoft 365-enhetskode-phishing for kontoovertakelse
En Russisk tilknyttet trusselgruppe står bak en aktiv kampanje der de misbruker Microsoft 365 sin enhetskode-autentisering for å stjele legitimasjon og ta over kontoer. Angrepene, som har vært aktive siden september 2025, blir overvåket av Proofpoint under betegnelsen UNK_AcademicFlare og involverer kompromitterte e-postadresser fra myndigheter og militære organisasjoner som brukes til å sende målrettede phishing-meldinger. Mottakere blir lurt til å besøke lenker som peker til legitime microsoft.com/devicelogin-sider etter å ha kopiert en enhetskode som angriperen har gitt dem, noe som resulterer i utstedelse av tilgangs- og oppdateringstokener som gir angriperne full kontroll over ofrenes Microsoft 365-kontoer. Disse kompromitterte kontoene kan deretter misbrukes til å hente ut e-post, filer og distribuere interne phishing-meldinger for videre spredning
