CERT-SE startsida
Sök inom CERT-SE
Publicerad: 2026-03-27 15:50

CERT-SE:s veckobrev v.13

Veckobrev

I veckans brev från CERT-SE finner du en inbjudan till CERT-SE:s introduktionsutbildning i MISP. Utbildningen fokuserar på den praktiska användningen av MISP samt hur du kan använda verktyget i din vardag. Du kan även läsa om ett angrepp på Trivy och som alltid de senaste nyheterna, rapporterna och analyser inom cybersäkerhetsområdet.

Trevlig helg önskar CERT-SE!

Nyheter i veckan

Den nordiska gymkedjan Sats har utsatts för ett cyberangrepp, vilket nu utreds av företaget. Enligt ett pressmeddelande från gymkedjan inträffade angreppet den 14/3. Det ska inte finnas indikationer på att medlemssystemet är en del av angreppet.
(Sats, 24/3) https://www.sats.se/press/press-release/sats-asa-cyber-incident-3439232
(Omni, 24/3) https://omni.se/sats-larmar-om-hackerattack-jobbar-for-att-fa-kontroll/a/j00Bxb

FBI varnar för att den iranska hotaktören Handala använder falska kopior av kommunikationsapparna Whatsapp och Telegram för att spionera på Windowsanvändare. Genom att utge sig för att vara en vän eller teknisk support skickar hotaktören en fil som ser ut som en uppdatering eller ett verktyg, men vid ett framgångsrikt angrepp laddas istället ner ett verktyg som kan användas för spionage. Önskar du eller din organisation råd kring ökad säkerhet i kommunikationsappar? Se CERT-SE:s tidigare artikel på ämnet länkad nedan.
(HackRead, 24/3) https://hackread.com/fbi-iran-handala-hack-group-fake-apps-spy-windows
(CERT-SE, 9/3) https://www.cert.se/2026/03/sakerhet-i-kommunikationsappar.html

Det nederländska finansministeriet har utsatts för ett dataintrång. Undersökningar har inletts och tillgången till de påverkade systemen har blockerats, vilket har påverkat arbetet för en del anställda. Tjänsten för medborgare och företag med skatte- och tullavgifter ska inte ha påverkats.
(Bleeping Computer, 24/3) https://www.bleepingcomputer.com/news/security/dutch-ministry-of-finance-discloses-breach-affecting-employees/

Det svensk-brittiska läkemedelsföretaget AstraZeneca befaras ha utsatts för ett dataintrång. Hotaktören LAPSUS$ hävdar att de har stulit cirka 3GB intern data, inklusive källkod, molninfrastrukturskonfigurationer samt information om anställda. AstraZeneca har inte kommenterat det påstådda intrånget.
(HackRead, 20/3) https://hackread.com/hacker-group-lapsus-astrazeneca-data-breach

Polismyndigheter i Tyskland, Kanada och USA har slagit ut infrastruktur bakom fyra botnät som ligger bakom omfattande ddos-attacker. Enligt det amerikanska justitiedepartementet riktade botnäten (Aisuru, Kimwolf, Jackskid och Mossad) attacker mot offer runt om i världen, där vissa attacker kunde uppmätas till 30 Tbps.
(ComputerSweden, 20/3) https://computersweden.se/article/4148070/botnat-bakom-rekordstora-ddos-attacker-har-slagits-ut.html
(US Department of Justice, 19/3) https://www.justice.gov/usao-ak/pr/authorities-disrupt-worlds-largest-iot-ddos-botnets-responsible-record-breaking-attacks

Rapporter och analyser

Cybersäkerhetsföretaget Rapid7 har publicerat en rapport om intrång i telekomnät. Rapporten beskriver hur hotaktören Red Menschen placerar dolda åtkomstmekanismer i telekomnätverk och kritiska miljöer, där målet är en avancerad nivå av spionage. Åtkomstmekanismerna upprätthålls av hotaktören under längre perioder utan att aktiveras och på så sätt etableras en ihållande tillgång till telekominfrastruktur.
(Rapid7, 26/3) https://www.rapid7.com/blog/post/tr-bpfdoor-telecom-networks-sleeper-cells-threat-research-report/

Myndigheten för civilt försvar har publicerat sin årsrapport om cyberincidenter 2025. Rapporten lyfter fram hur globala trender pekar på att det har skett en utveckling av cyberangrepp under de senaste åren, där vissa angrepp har effektiviserats med hjälp av AI.
(MCF, 26/3) https://www.mcf.se/sv/aktuellt/nyheter/2026/mars/manga-cyberangrepp-kan-kopplas-till-geopolitiska-handelser

Cybersäkerhetsföretaget Mandiant har publicerat sin årliga trendrapport, där företaget lyfter fram trender i cyberhotslandskapet för 2026. Trenderna baseras på undersökningar av incidenter under 2025, och ger en inblick i vilka tillvägagångssätt som aktivt används i intrång idag. Rapporten visar bland annat på samarbete inom cyberbrottsekosystemet, men även på en ökningen av telefonfiske (vishing).
(Mandiant, 23/3) https://cloud.google.com/blog/topics/threat-intelligence/m-trends-2026

Trivy sårbarhetsscanner har komprometterats i ett leveranskedjeangrepp. Hotaktören tillskansade sig autentiseringsuppgifter som gav tillgång till Trivys Github och publicerade därefter skadliga versioner som exfiltrerar användardata.
(Bleeping Computer, 21/3) https://www.bleepingcomputer.com/news/security/trivy-vulnerability-scanner-breach-pushed-infostealer-via-github-actions/

Recorded Future har publicerat en summerande rapport av cyberåret 2025. Hotaktörer använder sig av metoder som kvarstår sedan 2024, och som intensifierats därefter, samtidigt som flera tydliga förändringar och trender uppkom under 2025 kring tillvägagångssätt. Infostealers bedöms fortsatt vara frekvent förekommande, ofta som Malware-as-a-Service.
(Recorded Future, 19/3) https://www.recordedfuture.com/research/2025-year-in-review-malicious-infrastructure

Övrigt

Regeringen har gett Myndigheten för civilt försvar i uppdrag att förbereda genomförandet av EU:s direktiv om kritiska entiteters motståndskraft, CER-direktivet. Direktivet syftar till att säkerställa att samhällsviktiga tjänster kan fortsätta att fungera även vid allvarliga störningar, kriser och höjd beredskap. Direktivet kompletteras av andra EU-regelverk, som exempelvis NIS2.
(MCF, 25/3) https://www.mcf.se/sv/aktuellt/nyheter/2026/mars/regeringsuppdrag-myndigheten-for-civilt-forsvar-ska-forbereda-genomforandet-av-cerdirektivet/

NCSC-UK belyser frågan om vibe-coding och dess betydelse för cybersäkerhet. Vibe-coding har vuxit i popularitet, trots att AI-genererad kod har brister i kvalitet och säkerhet. NCSC-UK har sammanställt råd hur man säkerställer att koden inte innehåller brister.
(NCSC-UK, 24/3) https://www.ncsc.gov.uk/blogs/vibe-check-ai-may-replace-saas-but-not-for-a-while

Från CERT-SE

Oracle informerar om en kritisk sårbarhet (CVE-2026-21992) i Oracle Identity Manager och Oracle Web Services Manager. Sårbarheten har fått en klassning på 9.8 enligt CVSS 3.1. Sårbarheten är möjlig att utnyttja på distans, och kräver ingen autentisering. Ett lyckat angrepp möjliggör att fjärrköra skadlig kod.
(CERT-SE, 25/3) https://www.cert.se/2026/03/kritisk-sarbarhet-i-oracle-identity-manager-och-oracle-web-services-manager.html

Citrix har publicerat information om sårbarheten CVE-2026-3055 som påverkar NetScaler Gateway och NetScaler ADC. Sårbarheten beskrivs som kritisk och har fått en CVSS v4.0-klassning på 9.3.
(CERT-SE, 24/3) https://www.cert.se/2026/03/kritisk-sarbarhet-i-netscaler-gateway-och-adc.html

Välkommen till CERT-SE:s introduktionsutbildning i MISP! Utbildningen fokuserar på den praktiska användningen av MISP och hur du kan använda verktyget i din vardag. CERT-SE går igenom de grundläggande funktionerna i MISP och visar hur du kan dela och använda information för att stärka din cybersäkerhet.
(MCF, 16/3) https://www.mcf.se/sv/aktuellt/kalender/2026/maj/introduktionsutbildning-i-misp/