Under juli månad började en allvarlig sårbarhet i filöverföringsservern CrushFTP att aktivt utnyttjas på internet. CrushFTP är en kommersiell, Java-baserad produkt som används av företag och myndigheter för säker filhantering och stöder bland annat FTP, SFTP, FTPS och HTTPS.
Enligt sökverktyget FOFA finns minst 30 000 instanser av CrushFTP exponerade mot internet. Bedömningen är att sårbarheten utnyttjats under större delen av juli. Den 22 juli såldes en exploit på kriminella forum, samma dag som bristen hamnade på CISA:s Known Exploited Vulnerabilities (KEV)-lista.
Sårbarheten har fått beteckningen CVE-2025-54309 och återfinns i funktionaliteten Applicability Statement 2 (AS2). Säkerhetsföretagen WatchTowr och Reliaquest har analyserat problemet närmare.
Skärmdump från hackerforum där sårbarheten var till salu:
Påverkade versioner
CrushFTP 10: alla versioner under 10.8.5
CrushFTP 11: alla versioner under 11.3.4_23
Rekommenderade åtgärder
Organisationer som använder CrushFTP bör omgående:
Uppdatera till en säker version
Säkerställa att instanser inte är onödigt exponerade mot internet
Check Point Research (CPR) har avslöjat en ny sofistikerad cyberkampanj genomförd av den statsstödda hotaktören Stealth Falcon. Genom att skicka bifogade .url-filer utnyttjar angriparna en tidigare okänd sårbarhet i Windows (CVE-2025-33053) som tillåter Remote Code Execution (RCE). Exploiten gör det möjligt att exekvera kod direkt från en WebDAV-server, kontrollerad av en angripare.
Microsoft har åtgärdat sårbarheten i sina månatliga säkerhetsuppdatering som släpptes igår tisdag för juni månad.
Stealth Falcon riktar sina attacker mot högt uppsatta mål i Mellanöstern och Afrika, inklusive regerings- och försvarsorganisationer i länder som Turkiet, Qatar, Egypten och Jemen. Infektionsvektorn är oftast riktad nätfiske med bifogade länkar eller arkiv som innehåller dessa WebDAV-baserade payloads.
Angriparna använder skräddarsydda implantat baserade på det öppna C2-ramverket Mythic. Den nyupptäckta ”Horus Agent” är en vidareutveckling av deras tidigare modifierade Apollo-agent och är byggd i C++. Den inkluderar omfattande anti-analys-tekniker, kontrollflödesförvrängning, API-hashning samt C&C-kommunikation krypterad med AES och RC4.
En infektionskedja som identifierades hos ett turkiskt försvarsföretag använde en .url-fil som utnyttjade CVE-2025-33053. Genom att ändra arbetskatalogen till en WebDAV-adress kunde en legitim Windows-komponent luras att köra en skadlig fil (route.exe) från angriparens server. Detta är en ny variant av en redan känd DLL hijacking-teknik, men i detta fall med fullständiga exekverbara filer.
Horus Loader, skriven i C++, använder metoder såsom ”IPfuscation”, där payloaden är maskerad som en lista med IPv6-adresser. Den dekrypteras i minnet och injiceras i en legitim Edge browser-process. Angriparna använde även Code Virtualizer (liknande Themida protector) för att skydda koden mot reverse-engineering och analys och kunde därmed kringgå flera säkerhetsprodukter.
IPfuscation:
Agenten stöder ett antal olika kommandon: systemkartläggning, konfigurationsuppdatering, filuppladdning, kodinjektion och processhantering. Målet är att identifiera värdefulla offer innan ytterligare payloads exekveras.
Vidare har Stealth Falcon utvecklat flera skräddarsydda post infection-moduler:
Credential dumper: extraherar filer från en virtuell disk (VHD) för att komma åt NTDS.dit, SAM och SYSTEM
Passiv bakdörr: en tjänst som lyssnar på nätverkstrafik och exekverar mottagen payload
Keylogger: loggar tangenttryckningar till en krypterad fil i Windows Temp-katalog.
Angriparna köper gamla domännamn med gott rykte via NameCheap för att undvika upptäckt. De använder även LOLBins (Living Off The Land Binaries) och WebDAV för att dölja sina spår.
Gruppen Stealth Falcon visar på hög teknisk kompetens och långsiktig strategisk planering. Genom att kombinera zerodays, avancerade payloads, välvalda mål och utstuderad infrastruktur förblir gruppen en av de mest sofistikerade APT-aktörerna med fokus på mellanöstern.
Alla organisationer, särskilt inom offentlig sektor och försvar, bör snarast implementera Microsofts säkerhetsuppdatering för CVE-2025-33053 och utvärdera sin exponering mot WebDAV och LOLBins i sin miljö.
Varje år sedan 2008 släpper den amerikanska telekomjätten Verizon sin Data Breach Investigations Report (DBIR). Rapporten kommer ut en gång om året och analyserar tiotusentals attacker från hela världen för att ge organisationer en bättre insikt av aktuella cyberhot.
Årets rapport analyserat ca 22 000 incidenter och 12 195 bekräftade dataintrång från 139 länder. Trenden för denna rapport och år är tydlig: ökat beroende av tredjepartsleverantörer, fortsatt fokus på utnyttjande av sårbarheter samt mänskliga misstag.
Statistiken pekar på hur utnyttjande av sårbarheter håller på att gå ikapp användning av stulna inloggningar som den vanligaste vägen in för angripare i IT-system.
20% av alla intrång började med att angripare utnyttjade sårbarheter: en ökning på 34% jämfört med förra året
Framför allt attackerades edge-enheter och VPN:er, vilket ökade nästan åttafaldigt
Vi kan även se att ransomware fortsätter att dominera:
44 % av alla dataintrång involverade ransomware, upp från 32 % året innan
Medianbeloppet som betalades i lösensummor minskade till cirka 1,1 miljon SEK
Dessutom vägrade 64 % av offren att betala överhuvudtaget vilket är positivt
Små och medelstora företag är särskilt utsatta för ransomware hela då 88% av rapporterade intrång involverade ransomware.
En dramatisk ökning gällande cybersäkerhet som relaterar tredjepartsleverantörer:
30 % av alla intrång involverade tredjepartsleverantörer (jämfört med 15 % året innan).
Incidenter som utnyttjade data som kom via Snowflake och sårbarheter i MOVEit visar att tredjepartsrelationer måste granskas hårdare ur ett säkerhetsperspektiv.
Trots all teknik så förblir vi människor tyvärr en stor svaghet:
Cirka 60 % av intrången involverade mänskligt beteende, som klick på phishinglänkar eller felaktig hantering av känslig data.
Credential reuse och informationsläckor via publika kodrepon, särskilt GitHub, bidrar till fortsatt höga siffror.
Att använda privata enheter (BYOD) i jobbet har en mörk baksida visar också rapporten:
46 % av systemen som läckte företagsinloggningar var icke-hanterade enheter (dvs använder ej MDM, mobile device management)
54 % av ransomware-offren hade sina företagsdomäner exponerade i credential dumps
En tydlig signal för organisationer förbättra styrningen av BYOD och hantering av behörigheter/hemligheter.
En annan sak vi kan se i rapporten är att intrång motiverade av spionage växer kraftigt:
17 % av intrången hade spionagemotiv, nästan en fördubbling jämfört med tidigare år
70 % av dessa spionageangrepp började med utnyttjande av sårbarhet
Och ovan tycker jag visar på att det inte bara är pengar som driver hotaktörer, är viktigt att poängtera.
Generativ AI (GenAI) har inte revolutionerat cyberhotlandskapet ännu, men vi kan se en liten påverkan:
Antalet skadliga e-postmeddelanden som skrivits med hjälp av AI har fördubblats på två år
15% av anställda använder GenAI på sina företagsenheter, ofta utan tillräcklig säkerhetskontroll. Kanske även så saknas det en policy för hur AI får användas?
Det tyder således på en stor risk för dataläckage via GenAI-tjänster såsom ChatGPT.
Rapporten i sin helhet på 117 sidor går att ladda hem som PDF via Verizons hemsida här:
Försvarsberedningen släppte för några dagar sedan en inriktning av totalförsvaret och utformningen av det civila försvaret för åren 2021–2025.
Det jag finner extra intressant är kapitel 10 som handlar om informations- och cybersäkerhet. Och med följande citat från dokumentet sammanfattar bra en av många utmaningar inom cybersäkerhetsområdet:
Det blir allt svårare att säga var den civila infrastrukturen slutar och var den militära börjar.
Inriktingsrapporten tar även upp att cyberattacker är ett allvarligt hot mot befolkningens liv och hälsa, samhällets funktionalitet och vår förmåga att upprätthålla våra grundläggande värden. Och med det avses att allt mer av våra vardagliga liv blir beroende av att digitala funktioner i finansiella system, elnät, sjukvård och mycket annat.
Rapporten trycker även på att vi måste bli bättre beställare genom att kravställa på cybersäkerhet redan vid upphandling och inköp. Även framgår det att it-relaterade incidenter och avbrott i cyberdomänen måste systematiskt rapporteras och analyseras.
Om it-infrastrukturen komprometteras och vi saknar förberedda alternativa åtgärder riskerar tilliten till samhällets institutioner och våra totalförsvarsansträngningar att skadas.
Ingen ny rapport upprättas utan att nämna påverkanskampanjer och framförallt nu innan valet. Samt att cyberattacker kan utgöra en delmängd där även desinformation sprids, överbelastningsattacker utförs som hindrar tillgång till information.
Även så framgår det i rapporten gällande att med en aktiv cyberförmåga så kan Sverige agera proaktivt för att upptäcka eller få information om ett cyberintrång, olika former av cyberattacker, en hotande cyberoperation, eller för att fastställa en cyberoperations ursprung.
Förutom att kunna skydda sina egna system, innebär det att Försvarsmakten ska ansvara för totalförsvarets aktiva cyberförsvarsförmåga.
Och att denna cyberförsvarsförmåga ska byggas upp under en dialog med FRA och Säkerhetspolisen samt försvarsunderrättelsemyndigheterna.
Försvarsberedningen överlämnade sin rapport till försvarsminister Peter Hultqvist. Foto: Marcus Björkman/Regeringskansliet
Undertecknad och Karl Emil Nikka på Nikka Systems har precis startat en grupp på Facebook för den som är intresserad av cybersäkerhet. Namnet på gruppen är Säkerhetsbubblan och länken till gruppen hittar du här:
Gruppen är givetvis öppen för alla oavsett om du jobbar i branschen, är student eller bara allmänt intresserad. Tidigare har säkerhet diskuterats flitigt i grupper såsom Kodapor eller Teknikbubblan men både jag och Karl Emil kände att det saknades en dedikerad grupp för säkerhetssnack.
Givetvis är reklam och liknande förbjudet och vi kommer att göra det vi kan för att administrera gruppen men vill du hjälpa till kan du kontakta oss.
Under sommaren har jag försökt att jobba så lite som möjligt men bevakat nyhetsflödet gällande Transportstyrelsens outsourcing-fiasko. Mycket braharskrivits och precis som många pekar på så beror problemet troligtvis på en bristande säkerhetskultur där säkerhet inte ligger högt upp på prioriteringslistan.
Men vad kan detta bero på? Jo, detta är ett fenomen som jag har sett generellt förekommer på många ställen och beror på att styrelse och ledning inte har kompetens inom cybersäkerhet. På tjänstemanna-nivå är kunskapen god och det finns många eldsjälar som brinner för sitt område.
Jag sitter själv med i styrelsen på Internetstiftelsen i Sverige (IIS) och upplever att kompetens inom just cybersäkerhet är otroligt viktigt i många beslut. Därför är det även bra att flertalet myndigheter nu tar in cybersäkerhetskompetens i sina styrelser:
Anne-Marie Eklund-Löwinder till Trafikverkets styrelse. CSO på IIS.
Pia Gruvö till Post- och telestyrelsens (PTS) styrelse. Chef för krypto och it-säkerhet vid Militära underrättelse- och säkerhetstjänsten (MUST).
Vi kan hoppas att fler myndigheter och företag tar efter: Cybersäkerhet behövs i våra styrelser och ledningar. Stort grattis till Anne-Marie och Pia som är otroligt kompetenta samt grattis till myndigheterna i fråga.
Granskningen visar att myndigheternas ledningar har delegerat ansvaret för informationssäkerhet, utan att se till att de ansvariga har ett tillräckligt mandat att utföra sina uppgifter och tillräckligt med resurser.
Även intressant att notera när det gäller myndigheter så har vi 32 styrelsemyndigheter (leds av en styrelse), 55 nämndmyndigheter och 131 myndigheter leds av en ensam myndighetschef.
Uppdatering: Skrev ovan att Anne-Marie gick till Transportstyrelsens styrelse, men detta var så klart felaktigt. Ska stå Trafikverket.
Myndigheten för samhällsskydd och beredskap (MSB), Försvarsmakten och Försvarets Radioanstalt (FRA) inleder nu en kampanj för att uppmärksamma vikten av bra signalskydd. En webbsida, informationsfolder samt film (se nedan) har upprättats för ändamålet.
Men vad är då signalskydd?
Signalskydd är nationellt godkända kryptosystem. Signalskydd och säkra kryptografiska funktioner kan användas för att skydda information från obehörig insyn och påverkan. Genom nationellt godkända system säkerställer man skyddsnivån och kvaliteten på såväl teknik, som regelverk, rutiner och behörighetsutbildning.
Tyvärr var sajten lite tunn på information men vi kan hoppas på att det fylls på med mer matnyttigt. Statistik som presenteras på sajten:
Enligt MSB:s enkätundersökning från 2014, svarade 84 % av de myndigheter som besvarat hela enkäten, att de har en informationssäkerhetspolicy.
26 % av de myndigheter som besvarat hela enkäten kontrollerar inte efterlevnaden, det vill säga ifall policyer och riktlinjer följs av medarbetarna.
Vi menar att signalskydd är en av de viktigaste skyddsåtgärderna för att skydda myndigheters och andra organisationers information. Genom kampanjen vill vi öka förståelsen och medvetenheten om signalskydd och hoppas på en utökad användning av de signalskyddssystem som finns att tillgå
Cyberfysiska system handlar om industriella informations- och styrsystem (SCADA). Rekryterar din organisation inom området kryptering eller IT-säkerhet? Kontakta oss gärna så sprider vi budskapet.
Myndigheten för samhällsskydd och beredskap (MSB), Försvarsmakten och Försvarets Radioanstalt (FRA) inleder nu en kampanj för att uppmärksamma vikten av bra signalskydd. En