Critical Cisco-sårbarhet i Unified CM gir root-tilgang gjennom statiske legitimasjoner. Hackere bruker PDF for å utgi seg for Microsoft, DocuSign og flere i callback-phishing . NimDoor krypto-tyveri macOS skadevare gjenskaper seg når den stoppes.
NimDoor krypto-tyveri macOS skadevare gjenskaper seg når den stoppes
Nord Koreansk stat-støttet hackergruppe har lansert en ny macOS skadevare kalt NimDoor, rettet mot web3 og kryptoselskaper. Den bruker en rekke moduler; “installer”, “GoogIe LLC” og hovedpayload “CoreKitAgent” – som oppretter vedvarende tilstedeværelse via LaunchAgent og benytter avanserte signalhåndteringsmetoder. Når skadevaren stoppes (SIGINT/SIGTERM), gjenoppretter den seg selv via re-installasjon. I tillegg stjeler den systemdata via AppleScript og exfiltrerer dem hvert halve minutt. En sekundær injekteringskjede (via zoom_sdk_support.scpt) stjeler nettleserdata, Keychain, bash/zsh historikk og Telegram data gjennom skriptet tlgrm. Denne modulære og signalresistente arkitekturen gjør NimDoor til en av de mest komplekse macOS skadevarene knyttet til Nord-Korea.
Critical Cisco-sårbarhet i Unified CM gir root-tilgang gjennom statiske legitimasjoner
Cisco har utgitt sikkerhetsoppdateringer for en kritisk sårbarhet (CVE‑2025‑20309) i Unified Communications Manager og Unified CM SME, med en full CVSS-score på 10.0. Sårbarheten skyldes hardkodede (statiske) root-legitimasjoner som ble etterlatt etter utvikling. En angriper som kjenner disse legitimasjonene kan logge seg inn som root og utføre vilkårlige kommandoer, noe som gir full systemkontroll . Det er foreløpig ingen indikasjoner på at sårbarheten er utnyttet i praksis .
Cisco anbefaler umiddelbar installasjon av tilgjengelige oppdateringer på alle berørte versjoner (15.0.1.13010‑1 til 15.0.1.13017‑1). De har også utgitt IoCs – spesielt loggoppføringer i /var/log/active/syslog/secure som viser root-pålogginger – som kan overvåkes for tidlig oppdagelse .
Hackere bruker PDF for å utgi seg for Microsoft, DocuSign og flere i callback-phishing
Mellom 5. mai og 5. juni 2025 har Cisco Talos avdekket en rekke phishingkampanjer hvor angripere sender PDF-vedlegg som etterligner etablerte merker som Microsoft, DocuSign, PayPal, NortonLifeLock og Geek Squad. PDF-ene inneholder QR-koder, innebygde lenker eller kommentarer som leder til falske påloggingssider eller oppfordrer brukeren til å ringe et telefonnummer. Under samtaler (TOAD – Telephone‑Oriented Attack Delivery) utgir angriperne seg for å være kundeservicerepresentanter, og lurer ofrene til å oppgi legitimasjon, installere skadevare eller gi fjernkontrolltilgang .
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.