Publicerad: 2026-04-10 15:30

CERT-SE:s veckobrev v.15

I veckobrevet kan du bland annat läsa om en kritisk sårbarhet i Fortinet FortiClient EMS och om att säkerhetstjänster i bland annat Europa och USA varnar för att hotaktören APT28 utnyttjar sårbara routrar för att stjäla känslig information.

Du hittar även information om hur du anmäler dig till MISP-SE:s nyhetsbrev.

Trevlig helg önskar CERT-SE!

Nyheter från veckan

Under torsdagen utsattes Dorotea kommun och Vilhelmina kommun för ett it-angrepp. På Dorotea kommuns webbplats skriver de att kommunen är i stabsläge efter angreppet. Vilhelmina kommun uppdaterar löpande på sin webbplats med anledning av it-angreppet.
(Dorotea kommun)
https://www.dorotea.se/nyheter/dorotea-kommun-ar-utsatt-for-en-it-attack/ …
(Vilhelmina kommun)
https://www.vilhelmina.se/nyheter/information-om-it-incidenten-uppdateras-lopande/

En artikel från Bleeping Computer redogör för hur hotaktörer riktar in sig på ledande befattningshavare i en mängd branscher genom phishing-as-a-service-plattformen Venom. Enligt artikeln ska verksamheten ha varit aktiv sedan november förra året, där falska Microsoft SharePoint dokument-delningsmeddelanden är en central del i angriparens attackkedja.
(Bleeping Computer, 9/4)
https://www.bleepingcomputer.com/news/security/new-venom-phishing-attacks-steal-senior-executives-microsoft-logins/

Säkerhetstjänster i USA, Kanada och Europa varnar för hur hotaktören APT28, med koppling till ryska underrättelsetjänsten GRU, utnyttjar sårbara wifi-routrar för att stjäla känslig information. Hotaktören använder stulna uppgifter för att genomföra cyberangrepp samt utföra informationssabotage och underrättelseinhämtning fokuserade på bland annat måltavlor inom militären, statliga mål och mot kritisk infrastruktur. NCSC-UK har även publicerat en rapport kring hotaktörens taktik, teknik och tillvägagångssätt.
(Politico, 8/4)
https://www.politico.eu/article/russias-gru-hacked-hundreds-of-wi-fi-routers-world-wide/ …
(NCSC-UK, 7/4)
https://www.ncsc.gov.uk/news/apt28-exploit-routers-to-enable-dns-hijacking-operations

Källkod gällande Claude Code har läckt av misstag, vilket har utnyttjats av angripare. Källkoden spreds snabbt på GitHub, och ledde till ökad risk för leveranskedjeattacker mot mjukvaruutvecklare. Det pågår bland annat en social manipulationskampanj där användare luras att trycka på en länk som sägs ge åtkomst till källkoden, men som istället installerar skadlig kod som ger angriparen tillgång till känsliga inloggningsuppgifter.
(Cyber Security News, 4/3)
https://cybersecuritynews.com/claude-code-leak-to-spread-vidar-and-ghostsocks-malware/

Det tyska partiet Die Linke utsattes för ett cyberangrepp i slutet av mars. I början av april tog hotaktören Qilin på sig angreppet och har hotat med att publicera den stulna informationen. Enligt partiet ska den stulna datan vara av känslig karaktär från interna delar av partiorganisationen, samt personlig information om anställda.
(Bleeping Computer, 3/4)
https://www.bleepingcomputer.com/news/security/die-linke-german-political-party-confirms-data-stolen-by-qilin-ransomware

Rapporter och analyser

CERT-EU har publicerat sin årliga hotlandskapsrapport, som fokuserar på cyberhot som påverkade unionen och dess ekosystem under 2025. Rapporten lyfter fram att antalet identiferade hotaktörer som ägnar sig åt skadlig aktivitet mot EU har ökat, samt att tekniker för social manipulation har diversifierats. Vidare fortsatte globala händelser att forma cyberoperationer även under 2025.
(CERT-EU, 9/4)
https://cert.europa.eu/blog/threat-landscape-report-2025

CISA har publicerat en rapport som visar att cyberaktörer med koppling till Iran angriper OT-system, inklusive programmerbara logiska styrenheter (PLC), inom kritisk infrastruktur i USA. Det handlar om uppkopplade system som är tillverkade av Rockwell Automation/Allen-Bradley. Angreppen har resulterat i driftstörningar och bidragit till ekonomiska förluster.
(CISA, 7/4)
https://www.cisa.gov/news-events/cybersecurity-advisories/aa26-097a

Det amerikanska cybersäkerhetsföretaget Proofpoint har publicerat en rapport med information om hur hotaktören TA416 har återupptagit spionage mot europeiska statliga organisationer och diplomatiska organisationer, med anledning av den ökade geopolitiska spänningen. Under de senaste åren har hotaktören fokuserat på att genomföra angrepp i andra delar av världen. Enligt rapporten använder TA416 nätfiske-kampanjer, där utnyttjandet av webbaserade sårbarheter och dolda objekt i mejl gör att angriparen kan stjäla känslig information och sprida skadlig kod.
(Proofpoint, 1/4)
https://www.proofpoint.com/us/blog/threat-insight/id-come-running-back-eu-again-ta416-resumes-european-government-espionage

Övrigt

AI-modellen Claude Mythos Preview kommer kunna innebära stora förändringar inom cybersäkerhet. Den kan användas för att hitta sårbarheter i mjukvara, vilket potentiellt möjliggör säkrare programvara men kan också utgöra ett effektivt verktyg för en angripare. Modellen har inte släppts offentligt, utan används i nuläget endast i ett begränsat samarbete kallat Project Glasswing.
(Security Week, 7/4)
https://www.securityweek.com/anthropic-unveils-claude-mythos-a-cybersecurity-breakthrough-that-could-also-supercharge-attacks/

CERT-EU har publicerat information om hur angreppet mot EU-kommissionens offentliga webbplatsplattform “europa.eu”, som finns på Amazons Web Services (AWS) molninfrastruktur, gick till. Enligt CERT-EU tillskansade sig hotaktören åtkomst till en API-nyckel genom en sårbarhet i Trivy. Hotaktören använde sedan den komprometterade API-nyckeln för att skapa och bifoga en ny åtkomstnyckel till befintliga användare, i syfte att undvika upptäckt samt kartläggning. En betydande mängd data ska ha exfiltrerats från det komprometterade AWS-kontot, inklusive personlig data. EU-kommissionen har raderat eller avaktiverat samtliga komprometterade åtkomstnycklar.
(CERT-EU, 2/4)
https://cert.europa.eu/blog/european-commission-cloud-breach-trivy-supply-chain

Från CERT-SE

CERT-SE kommer att kontinuerligt informera om utvecklingen av MISP-SE genom ett nyhetsbrev. För att anmäla sig till prenumerationstjänsten, besök www.cert.se/prenumerera. Nyhetsbrevet publiceras även på vår webbplats.
(CERT-SE, 8/4)
https://www.cert.se/2026/04/misp-se-nyhetsbrev-april.html

Fortinet har publicerat information om en kritisk sårbarhet i Fortinet FortiClient EMS. Det finns observationer som tyder på att sårbarheten utnyttjas aktivt. Fortinet har publicerat en säkerhetsuppdatering och uppmanar användare att installera den. Sårbarheten, CVE-2026-35616, har fått en CVSS-klassning på 9.8. Ett framgångsrikt utnyttjande av sårbarheten innebär att en oautentiserad angripare kan fjärrexekvera oautentiserad kod eller kommandon.
(CERT-SE, 7/4)
https://www.cert.se/2026/04/kritisk-sarbarhet-i-fortinet-forticlient-ems.html

Kontakta oss - dygnet runt

CERT-SE är tillgängliga dygnet runt alla dagar på året för att kunna agera och inom vårt uppdrag hjälpa verksamheter som har drabbats av it-säkerhetsincidenter.

telefon

010-240 40 40

e-post

cert@cert.se

Fler nyheter

2026-04-10 15:30

CERT-SE:s veckobrev v.15

I veckobrevet kan du bland annat läsa om en kritisk sårbarhet i Fortinet FortiClient EMS och...

Veckobrev
2026-04-08 09:10

Nyhetsbrev MISP-SE april 2026

Här kommer ett nyhetsbrev med information om status i arbetet och vad som är på gång...

MISP-SE nyhetsbrev
2026-04-07 12:45

Kritisk sårbarhet i Fortinet FortiClient EMS

Fortinet har publicerat information om en kritisk sårbarhet i Fortinet FortiClient EMS. [1] Det finns observationer...

Sårbarhet Fortinet FortiClient EMS
2026-04-02 11:30

CERT-SE:s veckobrev v.14

Den senaste tiden har det noterats flera leveranskedjeangrepp, senast genom Axios JavaScript-bibliotek. Australiens cybersäkerhetscenter har tagit...

Veckobrev
2026-04-01 15:11 Uppdaterad

Skadliga versioner av Axios JavaScript-bibliotek

StepSecurity informerar om ett skadligt Axios JavaScript-bibliotek som funnits tillgängligt för nedladdning via NPM. [1] Enligt...

Nyheter