Så använder cyberkriminella vårt förtroende mot oss

Nya hotlandskap kräver omtänk inom cybersäkerhet

Cyberbrottsligheten har nått en ny nivå av sofistikering där attackerarna systematiskt utnyttjar både AI-verktyg och legitima tjänster för att genomföra sina angrepp. Det visar en serie incidenter som nyligen drabbat allt från svenska säkerhetsföretag till militära organisationer i Asien.

Ett tydligt exempel är den attack som riktades mot det svenska IT-säkerhetsföretaget Outpost24, enligt SecurityWeek. Hackarna använde en sjustegskedja av omdirigeringar genom fullt legitima tjänster – först genom Ciscos säkra webbdomän, sedan via mejl-API-plattformen Nylas, därefter genom en utvecklingsfirma i Indien, innan offret slutligen landade på den riktiga nätfiskesidan.

Den verkligt skrämmande aspekten här är inte tekniken i sig, utan hur brottslingarna strategiskt utnyttjar vårt förtroende för etablerade tjänsteleverantörer. Genom att använda Cisco som första länk i kedjan kunde mejlet passera alla säkerhetsfilter – för vem misstänker en länk från en av världens mest betrodda nätverksleverantörer?

Sökmotorer och öppna plattformar som angreppsvektor

Parallellt ser vi hur cyberkriminella har börjat systematiskt manipulera sökmotorer och utnyttja öppna utvecklingsplattformar. Hotaktören Storm-2561 har byggt en helt egen infrastruktur där de använder sökmotorförgiftning för att placera skadliga resultat överst när användare söker efter "Pulse VPN download".

Det raffinerade i deras metod är hur de kombinerar flera legitima tjänster: falska sökresultat leder till trovärdiga webbsidor, medan den faktiska skadkoden distribueras via GitHub-arkiv. Den falska mjukvaran var till och med signerad med ett legitimt digitalt certifikat – tills det återkallades.

En ännu mer oroväckande utveckling är ForceMemo-kampanjen, där brottslingar utnyttjat stulna användaruppgifter från tidigare GlassWorm-angrepp för att genomföra omfattande intrång i Python-projekt på GitHub, rapporterar SecurityWeek. Här ser vi hur en attack kan få långtgående konsekvenser genom att skapa en kedjereaktion av komprometterade system.

Tålmodighet som vapen

Det som kanske är mest oroande är den ökade tålmodigheten hos avancerade aktörer. Den kinesiskopplade gruppen CL-STA-1087 har bedrivit cyberespionage mot militära organisationer i Sydostasien sedan 2020, enligt Palo Alto Networks. De ligger vilande i komprometterade system i månader innan de börjar stjäla känsliga militära dokument.

Denna "slow and steady"-approach gör attackerna extremt svåra att upptäcka. Istället för att orsaka omedelbara störningar bygger de upp sin närvaro systematiskt, skapar falska systemtjänster och sprider sig lateralt genom nätverken med hjälp av Windows inbyggda funktioner.

Teknisk evolution kräver nya försvar

Vad vi ser är en fundamental förändring i hotlandskapet. Attackerarna har slutat försöka bryta sig genom våra försvar – istället går de runt dem genom att utnyttja vårt förtroende för legitima tjänster och plattformar.

Det räcker inte längre att bara blockera kända skadliga domäner eller filtrera misstänkta mejl. När angripare använder Cisco, GitHub och signerade certifikat som del av sin attackkedja måste vi tänka om våra säkerhetsstrateger från grunden.