Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 3 September 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.09.03

Amazon stopper vannhulls-kampanje utført av russisk APT29. WhatsApp har utgitt nødoppdatering for null-klikk utnyttelse mot iOS og macOS.

Amazon stopper vannhulls-kampanje utført av russisk APT29

Amazon Web Services sitt trusselintelligens team har oppdaget og stoppet en vannhulls-kampanje utført av den russiske statssponsede aktøren APT29. Angriperne kompromitterte legitime nettsider og injiserte skjult JavaScript som omdirigerte omtrent 10% av besøkende til ondsinnede domener som etterlignet Cloudflare sider. Hensikten var å lure brukere til å autorisere angriper kontrollerte enheter via Microsofts enhetskode autentisering. Kampanjen benyttet teknikker som Base64 koding, tilfeldig omdirigering, bruk av cookies for å unngå gjentatt omdirigering, samt hurtig bytte av infrastruktur ved forstyrrelser. Amazon isolerte berørte EC2 instansene, samarbeidet med Cloudflare og Microsoft, og stengte ned de ondsinnede domenene.

Anbefaling:

Det anbefales at brukere er oppmerksomme på uvanlige omdirigeringer, aktiverer MFA, verifiserer enhetsautorisasjoner og at IT-avdelinger vurderer betinget tilgang og logging for bedre beskyttelse.

WhatsApp har utgitt nødoppdatering for null-klikk utnyttelse mot iOS og macOS

WhatsApp har utgitt en nødoppdatering for en null-klikk sårbarhet som rammer iOS- og macOS-versjoner. Feilen, som ble oppdaget og re-evaluert av WhatsApps interne sikkerhetsteam, skyldes manglende autorisasjon i synkroniseringsmeldinger mellom enheter. Dette kunne gjøre det mulig for angripere å sende innhold via en ondsinnet URL som automatisk ble behandlet på offerets enhet uten noen interaksjon. WhatsApp oppgir at sårbarheten kan ha blitt brukt sammen med Apples CVE-2025-43300 i målrettede angrep. De berørte versjonene inkluderer WhatsApp for iOS før 2.25.21.73, WhatsApp Business for iOS 2.25.21.78, og WhatsApp for Mac 2.25.21.78.

Anbefaling:

Oppdater WhatsApp til versjon 2.25.21.73 (iOS) eller 2.25.21.78 (Mac). Eventuelt bør man også utføre fabrikktilbakestilling dersom enheten er kompromittert.

Posted by tsoc at 12:27 0 comments

Friday, 29 August 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.08.29

Sårbarhet i Cisco Nexus 3000- og 9000-seriene lar angripere omgå autentisering. Hackere misbruker Microsoft Teams for få fjernstyringstilgang til Windows. ShadowSilk utnytter penetrasjonstestingsverktøy og offentlige utnyttelser for å angripe organisasjoner.

Sårbarhet i Cisco Nexus 3000- og 9000-seriene lar angripere omgå autentisering

Cisco har advart om en kritisk sårbarhet i NX-OS-programvaren for Nexus 3000- og 9000-serien. Feilen kan gjøre det mulig for en uautorisert angriper å få root-tilgang via SSH uten gyldige innloggingsdetaljer.

Anbefaling:

Brukere oppfordres til å oppdatere systemene umiddelbart for å redusere risikoen.

Sårbarheter:

Hackere misbruker Microsoft Teams for få fjernstyringstilgang til Windows

Hackere utnytter nå Microsoft Teams til å sende phishing-meldinger som leverer skadevaren DarkGate. Når offeret åpner det vedlagte dokumentet, installeres programvaren som gir angriperen full ekstern kontroll over systemet. Eksperter anbefaler bedrifter å overvåke Teams-trafikk nøye og trene ansatte i å gjenkjenne slike angrep.

ShadowSilk utnytter penetrasjonstestingsverktøy og offentlige utnyttelser for å angripe organisasjoner

En ny skadevare kalt ShadowSlik retter seg mot populære penetrasjonstestingsverktøy som Cobalt Strike og Brute Ratel. Målet er å kompromittere sikkerhetsforskere og organisasjoner ved å misbruke disse verktøyene til å omgå forsvarsmekanismer. Eksperter anbefaler å oppdatere og beskytte slike verktøy strengt for å unngå utnyttelse.

Posted by tsoc at 12:25 0 comments

Thursday, 28 August 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.08.28

Storm-0501 utnytter Entra ID til å eksfiltrere og slette Azure data i hybride skyangrep.

Storm-0501 utnytter Entra ID til å eksfiltrere og slette Azure data i hybride skyangrep

Ifølge Microsoft Threat Intelligence har ransomware gruppen Storm-0501 utviklet en ny teknikk for angrep mot hybrid skymiljø: de eksporterer store datamengder, sletter data og backup i Azure miljø og krever løsepenger, alt uten tradisjonell skadevare distribusjon. Angrepene involverer lateral bevegelse fra lokale miljø via kompromitterte "Microsoft Entra Connect" synkroniseringskontoer, stjeling av en “non-human” Global Admin rolle uten MFA, opprettelse av en ny samlet Entra ID-domene som backdoor, for deretter å utløse massiv sletting i Azure og utpresse ofrene via kompromitterte Teams kontoer. Microsoft har lansert sikkerhetstiltak, inkludert begrensninger på "Directory Synchronization Accounts", oppdateringer til Entra Connect (v2.5.3.0), og anbefaler bruk av TPM for beskyttelse av sensitive nøkler.

Anbefaling:

Implementer tiltak mot misbruk av Directory Synchronization Accounts (DSA) i Entra ID. Oppdater Microsoft Entra Connect til versjon 2.5.3.0, som støtter “Modern Authentication” for bedre sikkerhet. Bruk Trusted Platform Module (TPM) på Entra Connect servere for sikker lagring av nøkler og credentials.

Posted by tsoc at 12:15 0 comments

Wednesday, 27 August 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.08.27

Citrix oppdaterer tre NetScaler svakheter, bekrefter aktiv utnyttelse av CVE-2025-7775.

Citrix oppdaterer tre NetScaler svakheter, bekrefter aktiv utnyttelse av CVE-2025-7775

Den 26. august 2025 har Citrix adressert tre alvorlige sårbarheter i "NetScaler ADC" og "NetScaler Gateway," inkludert CVE-2025-7775, som er under aktiv utnyttelse. CVE-2025-7775 (CVSS 9.2) er en buffer overflow sårbarhet som gir mulighet for fjernkjøring av kode (RCE) og/eller tjenestenekt (DoS). De to andre, CVE-2025-7776 (CVSS 8.8) og CVE-2025-8424 (CVSS 8.7) resulterer henholdsvis i ustabil oppførsel/DoS og feil i tilgangskontroll i administrasjonsgrensesnittet. Utnyttelse krever spesifikke konfigurasjoner av NetScaler, og det finnes ingen kjente midlertidige utbedringer, så oppgradering til de nyeste utgivelsene er påkrevd. CISA har klassifisert CVE-2025-7775 som en utnyttet sårbarhet.

Anbefaling:

Oppgrader umiddelbart NetScaler ADC og Gateway til versjonene som inneholder patches: 14.1-47.48 eller nyere, 13.1-59.22 eller nyere, 13.1-FIPS / NDcPP 13.1-37.241 eller nyere, 12.1-FIPS / NDcPP 12.1-55.330 eller nyere. Gjennomgå og sikre at ingen enheter fortsatt opererer med sårbare konfigurasjoner. Installer løsningene uten forsinkelse, ettersom det ikke finnes midlertidige tiltak.

Posted by tsoc at 12:09 0 comments

Tuesday, 26 August 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.08.26

Docker fikser kritisk "Container Escape" sårbarhet. Phishingkampanje bruker UpCrypter i falske telefonsvarer e-poster for å levere RAT payloads.

Docker fikser kritisk "Container Escape" sårbarhet

En kritisk sårbarhet (CVE-2025-9074, CVSS 9.3) i Docker Desktop for Windows og macOS lar en ondsinnet container nå "Docker Engine API" via det forhåndskonfigurerte subnettet (192.168.65.7:2375) uten autentisering. På bakgrunn av dette kan angriperen opprette nye containere, kontrollere eksisterende containere og få tilgang til brukerfiler på vertssystemet, selv når "Enhanced Container Isolation" (ECI) er aktivert.

Anbefaling:

Umiddelbar oppgradering til Docker Desktop versjon 4.44.3 eller nyere. Vurdere ekstra verktøy som EDR eller SIEM for å detektere forsøk på host tilgang via containere

Sårbarheter:

Phishingkampanje bruker UpCrypter i falske telefonsvarer e-poster for å levere RAT payloads

Siden begynnelsen av august 2025 har en omfattende phishing kampanje brukt falske talemeldinger og kjøpsordre som lokkemiddel til å distribuere loaderen UpCrypter. E-postene inneholder overbevisende lenker til phishing nettsider som etterligner ekte domener, inkludert logoer og lurer mottakere til å laste ned JavaScript filer som fungerer som droppere. UpCrypter benytter avanserte metoder, som anti-analyse og virtuelle maskindeteksjon, for å laste ned Remote Access Trojans (RAT) som PureHVNC, DCRat (DarkCrystal RAT) og Babylon RAT. Loaderen kan være innebygd i bilder (steganografi) eller som tekst, og kjører uten å skrive til filsystemet for å unngå spor. Kampanjen rammer sektorer som produksjon, teknologi, helse, bygg og detaljhandel globalt.

Posted by tsoc at 12:25 0 comments

Friday, 22 August 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.08.22

FBI advarer om russiske hackere som utnytter Cisco-sårbarhet i kritisk infrastruktur. PDF Editor By AppSuite – Uønsket Applikasjon. Kinesiske hackere utnyttet nulldagssårbarhet i Commvault.

FBI advarer om russiske hackere som utnytter Cisco-sårbarhet i kritisk infrastruktur

FBI og Cisco Talos har gått ut med advarsler om en pågående cyber-etterretningskampanje utført av russiske hackere tilknyttet FSBs Center 16-enhet (kjent som både Static Tundra, Berserk Bear, Dragonfly m.fl.). Over de siste tolv månedene har de utnyttet den syv år gamle og kritiske sårbarheten CVE-2018-0171 i Cisco IOS- og IOS XE-programvare (Smart Install-funksjonen), og rettet angrep mot tusenvis av nettverksenheter i kritisk infrastruktur globalt. Målet har vært å hente konfigurasjonsfiler og – i enkelte tilfeller – modifisere dem for å oppnå vedvarende uautorisert tilgang og gjennomføre rekognosering, særlig mot industrielle kontrollsystemer. Angrepene har rammet sektorer som telekommunikasjon, høyere utdanning og produksjon, og har forekommet i Nord-Amerika, Asia, Afrika, Europa, inkludert Ukraina og dets allierte. Cisco anbefaler sterk patching eller deaktivering av Smart Install, og FBI understreker faren ved bruk av utdatert og uoppdatert nettverksutstyr.

Sårbarheter:

PDF Editor By AppSuite – Uønsket Applikasjon

PDF Editor By AppSuite, tilsynelatende et verktøy for PDF-redigering (visning, konvertering, utfylling, sammenslåing, signering og komprimering), viser seg å være et uønsket program med typiske kjennetegn for nettleserkapring (browser hijacker). Installasjonen endrer standard søkemotor til Yahoo gjennom en omdirigerings-URL (search-redirect.com) – en falsk søkemotor som kan samle data og føre brukere til upålitelige nettsteder. Den kan også vise påtrengende annonser, redusere nettleser- og systemytelse, og overvåke nettleseraktivitet. Brukere bør unngå å installere programmet og fjerne det umiddelbart dersom det er til stede.

Anbefalinger:

  • Avinstaller PDF Editor By AppSuite via Kontrollpanel (Windows) eller Dra til søpla (macOS).

  • Fjern tilhørende nettleserendringer i Googles Chrome, Firefox, Safari og Edge: fjern utvidelser knyttet til søkemotoren, tilbakestill nettleserens hjem, ny fane- og søkeinnstillinger.

  • Gjennomfør systemskanning med pålitelig antivirusverktøy, eksempelvis Combo Cleaner – merk at dette krever lisens, men tilbys med 7-dagers gratis prøveperiode av RCS LT, PCRisk sin moderselskap.

  • Forebygging: Last kun ned programvare fra offisielle nettsider eller verifiserte app-butikker, velg alltid "Custom"/avansert installasjon for å unngå bundling, unngå klikk på mistenkelige annonser, og hold system og apper oppdatert.

Kinesiske hackere utnyttet nulldagssårbarhet i Commvault

En kinesisk statssponset hackergruppe kjent som Silk Typhoon (også kalt Murky Panda) utnyttet en hittil ukjent (zero-day) sårbarhet i Commvault Web Server (CVE-2025-3928) for å få tilgang til kunders Azure- og Metallic (M365 backup) miljøer. Sårbarheten, med CVSS-skår 8.7, tillot en angriper med gyldige brukerrettigheter å installere webshells og tilrane seg applikasjonshemmeligheter. Commvault ble varslet av Microsoft 20. februar 2025, og rapporterte at kun "et lite antall kunder" var påvirket, uten at det forelå bevis for kompromittering av selve backupdataene. Sårbarheten er senere lappet, og Commvault roterte berørte legitimasjoner og styrket overvåkning. CISA har ført CVE-2025-3928 opp i sin katalog for Known Exploited Vulnerabilities (KEV).

Anbefalinger:

  • Installer siste sikkerhetsoppdateringer for Commvault Web Server umiddelbart.

  • Roter applikasjonshemmeligheter og klienthemmeligheter mellom Azure og Commvault minst hver 90. dag.

  • Implementer Conditional Access-policyer for Microsoft 365, Dynamics 365 og Azure AD, med restriksjon til godkjente IP-områder.

  • Overvåk Azure/Entra ID- og Commvault-innloggingslogger for uvanlige aktiviteter, spesielt endringer i service-principal-legitimasjon.

  • Utfør IoC-basert jakt med bruk av indikatorer delt av Commvault, inkludert webshells, skript og mistenkelige autentiseringsforsøk.

Sårbarheter:

Posted by tsoc at 22:48 0 comments

Thursday, 21 August 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.08.21

Hackere stjeler Microsoft-innlogging ved bruk av legitime ADFS-omdirigeringer. Store passordbehandlere kan lekke innlogging i clickjacking-angrep. AI-nettsidebygger "Lovable" misbrukes i økende grad for ondsinnet aktivitet. Apple fikser ny nulldagsfeil som er blitt utnyttet i målrettede angrep.

Hackere stjeler Microsoft-innlogging ved bruk av legitime ADFS-omdirigeringer

En ny phishing-kampanje utnytter Microsofts Active Directory Federation Services (ADFS) ved å manipulere legitime office.com-lenker, som deretter omdirigerer brukere til en phishing-side. Angrepet starter med malvertising—mistenkelige annonser som fører til en ekte outlook.office.com-URL, men via en skreddersydd ADFS-konfigurasjon omdirigeres brukeren til et identisk falskt Microsoft innloggingsvindu. Der fanges både legitim bruker-ID, passord og session-cookies, noe som gjør det mulig å omgå MFA. Teknikken omtales som en “open redirect” eller “ADFSjacking”, og er særdeles effektiv fordi den ser ut til å komme fra et troverdig Microsoft-område.

Store passordbehandlere kan lekke innlogging i clickjacking-angrep

En ny type zero-day clickjacking-sårbarhet er oppdaget i nettleserutvidelser for flere av de mest brukte passordadministratorene, inkludert 1Password, Bitwarden, Enpass, iCloud Passwords, LastPass og LogMeOnce. Sårbarheten ble presentert under DEF CON 33 av sikkerhetsforskeren Marek Tóth og viser hvordan angripere kan manipulere Document Object Model (DOM) for å lure brukere. Ved å gjøre autofyll-grensesnittet usynlig gjennom CSS-endringer, for eksempel med “opacity: 0”, eller ved å legge usynlige elementer over legitime brukergrensesnitt, kan angripere få tilgang til sensitive opplysninger. Det holder med ett enkelt klikk fra offeret, som når man avviser en cookies-popup, for at informasjon som brukernavn, passord, TOTP- eller MFA-koder, passkeys, kredittkortinformasjon eller andre personlige data kan lekke. Flere av leverandørene har foreløpig ikke rettet feilene, og noen har i tillegg avvist rapportene som kun “informative”, noe som gjør at risikoen fortsatt er høy.

AI-nettsidebygger "Lovable" misbrukes i økende grad for ondsinnet aktivitet

Cyberkriminelle misbruker den AI-drevne nettsidebyggeren Lovable for å raskt sette opp phishing-sider, malware-leveringsplattformer og andre svindel-nettsteder. Fra februar er titusener av Lovable-URL-er distribuert via e-post og flagget som trusler. Eksempler inkluderer: Tycoon-drevet phishing mot Microsoft-kontoer (Azure AD/Okta), UPS-imitasjon for betalingssvindel, Aave-relatert cryptowallet-phishing, og en kampanje som leverer trojan-lasten zgRAT via falske faktura-portaler. Lovable har nylig introdusert sanntidsdeteksjon, daglige skanninger og planlegger ytterligere tiltak i høst for å fjerne og motvirke misbruk, men forskere har fortsatt klart å sette opp bedragssider uten å bli stoppet.

Apple fikser ny nulldagsfeil som er blitt utnyttet i målrettede angrep

Apple har 20. august 2025 utgitt hasteoppdateringer for å tette en nylig null-dagssårbarhet (CVE-2025-43300) i Image I/O-rammeverket. Feilen, en såkalt out-of-bounds write, kan utnyttes ved at angripere sender et ondsinnet bildefilobjekt for å forårsake hukommelseskorrupsjon og potensielt eksternt kjøre kode. Apple opplyser at sårbarheten kan ha blitt brukt i «ekstremt sofistikerte angrep» rettet mot utvalgte individer. Patchet er implementert gjennom forbedret bounds-sjekk i følgende versjoner: iOS 18.6.2, iPadOS 18.6.2, iPadOS 17.7.10, macOS Sequoia 15.6.1, macOS Sonoma 14.7.8 og macOS Ventura 13.7.8.

Anbefaling:

Apple anbefaler at brukere installerer oppdateringene umiddelbart for å beskytte enheter mot eventuelle pågående angrep.

Sårbarheter:

Posted by tsoc at 10:10 0 comments
Subscribe to: Posts (Atom)
 
>