WordPress-plugin forkledd som sikkerhetsverktøy injiserer bakdør. CISA advarer om aktivt utnyttet Apache HTTP Server-sårbarhet. SonicWall SMA100 OS-kommandoinjeksjon utnyttes aktivt. Nye angrepsteknikker ved bruk av MCP avslørt. Windows RDP tillater innlogging med utgåtte passord – Microsoft bekrefter ingen løsning. Kinesiske hackere utnytter IPv6 SLAAC for skjult nettverkstilgang. Hackere bruker nytt Eye Pyramid-verktøy for å utnytte Python og distribuere skadelig programvare.
WordPress-plugin forkledd som sikkerhetsverktøy injiserer bakdør
En ny skadelig kampanje retter seg mot WordPress-nettsteder ved å bruke et ondsinnet plugin som utgir seg for å være et sikkerhetsverktøy. Ifølge Wordfence-forskere gir denne skadevaren angripere vedvarende tilgang, mulighet for fjernkjøring av kode og injeksjon av JavaScript, samtidig som den forblir skjult fra plugin-dashbordet for å unngå oppdagelse. Skadevaren ble først oppdaget under en opprydding av et nettsted i slutten av januar 2025, hvor en modifisert 'wp-cron.php'-fil ble funnet. Denne filen oppretter og aktiverer programmatisk et ondsinnet plugin kalt 'WP-antymalwary-bot.php'. Andre plugin-navn brukt i kampanjen inkluderer 'addons.php', 'wpconsole.php', 'wp-performance-booster.php' og 'scr.php'. Hvis pluginet slettes, gjenoppretter 'wp-cron.php' det automatisk ved neste besøk på nettstedet. Mangelen på serverlogger gjør det vanskelig å identifisere den eksakte infeksjonskjeden, men Wordfence antar at infeksjonen skjer via en kompromittert hostingkonto eller FTP-legitimasjon. Lite er kjent om gjerningspersonene, men forskerne bemerket at kommando- og kontrollserveren (C2) er lokalisert på Kypros, og det er trekk som ligner på et forsyningskjedeangrep fra juni 2024. Når pluginet er aktivt på serveren, utfører det en selvstatussjekk og gir deretter angriperen administratorrettigheter.
CISA advarer om aktivt utnyttet Apache HTTP Server-sårbarhet
CISA har lagt til CVE-2024-38475, en kritisk sårbarhet i Apache HTTP Server, i sin katalog over kjente utnyttede sårbarheter. Feilen, som påvirker mod_rewrite i versjoner 2.4.59 og tidligere, gjør det mulig for angripere å kartlegge URL-er til uventede filsystemplasseringer, noe som potensielt kan føre til kodeutførelse eller avsløring av kildekode. Sårbarheten har en CVSS-score på 9.1 og utnyttes aktivt i pågående angrep. 
Anbefaling:
Organisasjoner bør umiddelbart oppgradere til Apache HTTP Server versjon 2.4.60 eller nyere og gjennomgå RewriteRules for å sikre at substitusjoner er riktig begrenset.
SonicWall SMA100 OS-kommandoinjeksjon utnyttes aktivt
En alvorlig sårbarhet i SonicWall SMA100-serien, identifisert som CVE-2023-44221, utnyttes nå aktivt i pågående angrep. Feilen gjør det mulig for autentiserte angripere med administrative rettigheter å injisere vilkårlige kommandoer via SSL-VPN-administrasjonsgrensesnittet. Sårbarheten påvirker enheter med firmwareversjoner opp til og med 10.2.1.9-57sv. SonicWall har utgitt en sikkerhetsoppdatering i versjon 10.2.1.10-62sv og høyere for å rette problemet.
Anbefaling:
Organisasjoner bør umiddelbart oppdatere til den nyeste firmwareversjonen, aktivere flerfaktorautentisering for alle kontoer, endre passord til sterke og unike verdier, begrense VPN-tilgang til nødvendige kontoer, fjerne unødvendige kontoer og konfigurere omfattende loggovervåking for alle brannmur-enheter.
Nye angrepsteknikker ved bruk av MCP avslørt
En ny teknikk kalt Malicious Command Protocol (MCP) gjør det mulig for angripere å opprette vedvarende, skjulte forbindelser via kryptert API-trafikk. MCP benytter minnebaserte PowerShell-skript og protokolltunneling for å unngå tradisjonell deteksjon. Metoden har allerede blitt brukt mot flere finansinstitusjoner med langvarig tilgang før oppdagelse.
Anbefaling:
Organisasjoner bør styrke sine sikkerhetsprotokoller ved å implementere avanserte overvåkingsverktøy som kan oppdage uvanlige API-kall og minnebaserte trusler. Det er også viktig å gjennomføre regelmessige sikkerhetsrevisjoner og opplæring for ansatte for å redusere risikoen for phishing-angrep.
Windows RDP tillater innlogging med utgåtte passord – Microsoft bekrefter ingen løsning
Microsoft har bekreftet at Remote Desktop Protocol (RDP) tillater brukere å logge inn med tidligere gyldige passord, selv etter at de er endret eller tilbakekalt. Dette skyldes at Windows lagrer en lokal, kryptert kopi av passordet, og ved RDP-innlogging sjekkes dette mot den lokale cachen i stedet for å validere passordet online. Dermed kan angripere med gamle legitimasjoner fortsatt få tilgang via RDP, selv om passordet er endret i skyen. Microsoft anser dette som en designbeslutning, ikke en sikkerhetssårbarhet, og har ingen planer om å endre oppførselen.
Anbefaling:
Organisasjoner bør vurdere å begrense RDP-tilgang, deaktivere RDP der det ikke er nødvendig, og implementere sikkerhetstiltak som multifaktorautentisering og strengere tilgangskontroller for å redusere risikoen.
Kinesiske hackere utnytter IPv6 SLAAC for skjult nettverkstilgang
En kinesisk statssponset hackergruppe har utviklet en ny metode for å infiltrere nettverk ved å utnytte IPv6-funksjonen SLAAC (Stateless Address Autoconfiguration). Ved å introdusere en ondsinnet IPv6-router i et ellers IPv4-basert nettverk, sender angriperne ut falske Router Advertisements (RA) som får enhetene til å tildele seg selv IPv6-adresser og konfigurere DNS-innstillinger kontrollert av angriperne. Dette skaper et skjult IPv6-overleggsnettverk som omgår tradisjonelle sikkerhetstiltak som NAT og brannmurer, og gir angriperne direkte tilgang til enhetene. Teknikken utnytter også NAT-PT (Network Address Translation - Protocol Translation) for å koble IPv6-trafikk til IPv4-internett, noe som gjør det vanskelig å oppdage og blokkere aktiviteten.
Hackere bruker nytt Eye Pyramid-verktøy for å utnytte Python og distribuere skadelig programvare
Trusselaktører bruker det Python-baserte verktøyet Eye Pyramid til å distribuere skadelig programvare direkte i minnet, noe som gjør det vanskelig å oppdage. Verktøyet er brukt i kombinasjon med Cobalt Strike og løsepengegrupper som Rhysida og BlackCat. Det muliggjør vedvarende tilgang og er spesielt farlig for organisasjoner med blandede IT-miljøer.
