Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 1 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.01

Russiske hackere utnytter CVE-2025-26633 via MSC EvilTwin for å distribuere SilentPrism og DarkWisp. Hackere misbruker WordPress MU-plugins for å skjule ondsinnet kode. Phishing-plattformen 'Lucid' står bak bølge av iOS- og Android-SMS-angrep.


Russiske hackere utnytter CVE-2025-26633 via MSC EvilTwin for å distribuere SilentPrism og DarkWisp

Den russiske hackergruppen kjent som Water Gamayun, også kalt EncryptHub og LARVA-208, utnytter en nylig oppdaget sårbarhet i Microsoft Management Console (MMC), identifisert som CVE-2025-26633 eller "MSC EvilTwin". Gjennom manipulering av ondsinnede Microsoft Console-filer (.msc) kan de kjøre vilkårlig kode på infiserte systemer. Angrepene involverer bruk av skadelige .msi-filer og .msc-filer for å levere bakdørene SilentPrism og DarkWisp, som gir angriperne mulighet til fjernkontroll, datatyveri og vedvarende tilgang til kompromitterte systemer. ​

Anbefaling:

Det anbefales sterkt å installere sikkerhetsoppdateringen fra Microsoft som adresserer CVE-2025-26633 umiddelbart. Administratorer bør også gjennomgå systemer for tegn på kompromittering, spesielt relatert til bruk av .msc- og .msi-filer. Videre bør det implementeres robuste sikkerhetstiltak, inkludert oppdaterte antivirusprogrammer og inntrengningsdeteksjonssystemer, for å beskytte mot slike angrep.

Sårbarheter:

Hackere misbruker WordPress MU-plugins for å skjule ondsinnet kode

Hackere utnytter WordPress' 'Must-Use Plugins' (MU-plugins) for å skjule ondsinnet kode som kjøres automatisk på alle sider uten å vises i adminpanelet. MU-plugins er PHP-filer lagret i 'wp-content/mu-plugins/'-katalogen og aktiveres automatisk ved sidelasting. Angriperne bruker denne teknikken til å oppnå vedvarende tilgang og skjule skadelig programvare, inkludert bakdører, spammere og injeksjoner av ondsinnet kode.

Anbefaling:

WordPress-administratorer bør regelmessig inspisere 'mu-plugins'-katalogen for uautoriserte filer, overvåke filendringer og sikre at alle plugins og temaer er oppdatert. Det anbefales også å implementere sikkerhetstiltak som brannmurer og inntrengningsdeteksjonssystemer for å beskytte mot uautorisert tilgang.

Phishing-plattformen 'Lucid' står bak bølge av iOS- og Android-SMS-angrep

Lucid' er en phishing-as-a-service (PhaaS) plattform operert av den kinesiske cyberkriminelle gruppen 'XinXin' siden midten av 2023. Den har rettet seg mot 169 enheter i 88 land ved å sende sofistikerte meldinger via iMessage (iOS) og RCS (Android). Plattformen selges til andre trusselaktører gjennom et abonnementsbasert modell, som gir tilgang til over 1 000 phishing-domener, automatisk genererte phishing-nettsteder og avanserte spamming-verktøy.

Anbefaling:

Brukere bør være ekstra forsiktige med meldinger mottatt via iMessage og RCS, spesielt de som inneholder lenker eller ber om personlig informasjon. Det anbefales å bekrefte avsenderens legitimitet før man klikker på lenker eller deler sensitiv informasjon.

Monday, 31 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.31

Infostealer-kampanje kompromitterer 10 npm-pakker, retter seg mot utviklere. Ny Morphing Meerkat phishing-kit etterligner 114 merkevarer ved bruk av ofrenes DNS e-postoppføringer.


Infostealer-kampanje kompromitterer 10 npm-pakker, retter seg mot utviklere

Ti npm-pakker, inkludert den populære 'country-currency-map', ble nylig oppdatert med ondsinnet kode som stjeler miljøvariabler og annen sensitiv informasjon fra utvikleres systemer. Koden, oppdaget av Sonatype-forsker Ali ElShakankiry, er skjult i de obfuskertede skriptene "/scripts/launch.js" og "/scripts/diagnostic-report.js", som aktiveres ved installasjon av pakken. Den stjålne informasjonen sendes til en ekstern server på "eoi2ectd5a5tn1h.m.pipedream(.)net". Miljøvariabler er ofte mål for slike angrep da de kan inneholde API-nøkler, databaselegitimasjon, skylagringsnøkler og krypteringsnøkler, som kan brukes i videre angrep.

Anbefaling:

Utviklere bør umiddelbart sjekke om de har installert noen av de kompromitterte pakkene og fjerne dem fra sine prosjekter. Det anbefales også å rotere eventuelle eksponerte nøkler eller legitimasjon som kan ha blitt kompromittert. Videre bør utviklere være årvåkne ved oppdatering av avhengigheter og vurdere å bruke verktøy som overvåker for ondsinnede pakker.

Ny Morphing Meerkat phishing-kit etterligner 114 merkevarer ved bruk av ofrenes DNS e-postoppføringer

Forskere har avdekket en ny phishing-as-a-service (PhaaS) plattform kalt Morphing Meerkat, som utnytter DNS MX-oppføringer for å dynamisk generere falske innloggingssider som imiterer rundt 114 forskjellige merkevarer. Angriperne bruker ofte åpne omdirigeringer på annonseplattformer og kompromitterte domener for å distribuere phishing-innhold, og de stjålne legitimasjonene overføres via flere kanaler, inkludert Telegram

Anbefaling:

Brukere bør være ekstra forsiktige med e-poster som inneholder lenker til innloggingssider, spesielt hvis de er omdirigert via ukjente domener. Det anbefales å verifisere ektheten av slike e-poster og å unngå å oppgi legitimasjon på sider som ikke er bekreftet som legitime.

Friday, 28 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.28

Mozilla har fikset kritisk sårbarhet i Firefox for Windows. Splunk fikser alvorlige sårbarheter i Splunk Enterprise og Secure Gateway.


Mozilla har fikset kritisk sårbarhet i Firefox for Windows

Mozilla har utgitt Firefox 136.0.4 for å rette en kritisk sårbarhet (CVE-2025-2857) som gjør det mulig for angripere å omgå nettleserens sandbox på Windows-maskiner. Feilen berører også Firefox ESR og minner om en nylig Chrome sårbarhet (CVE-2025-2783) som kunne bli utnyttet på en tilsvarende måte. Ifølge Mozilla kunne angripere få hovedprosesser til å dele visse systemressurser med uprivilegerte underprosesser, og dermed rømme ut av sandboxen. Problemet rammer kun Firefox på Windows, og andre operativsystemer er ikke berørt.

Anbefaling:

Brukere av Firefox på Windows bør umiddelbart oppdatere til de nyeste versjonene for å beskytte seg mot potensielle utnyttelser av denne sårbarheten.

Splunk fikser alvorlige sårbarheter i Splunk Enterprise og Secure Gateway

Splunk har gitt ut oppdateringer som fikser flere sårbarheter i produktene sine. Blant annet to alvorlige feil i Splunk Enterprise og Splunk Secure Gateway. Den ene sårbarheten (CVE-2025-20229, score 8.0) fører til at lavt privilegerte brukere kan kjøre vilkårlig kode ved å laste opp filer til mappen "$SPLUNK_HOME/var/run/splunk/apptemp" grunnet manglende autorisasjonssjekker. Den andre sårbarheten (CVE-2025-20231, score 7.1) fører til at lavt privilegerte brukere kan kjøre søk med høyere privilegier og dermed eksponere sensitiv informasjon. Utnyttelse av denne krever en vellykket phish i forkant da den går ut på at brukerøkter og autorisasjonstokener eksponeres i klartekst under et visst kall. Splunk anbefaler alle å oppdatere snarest til de nyeste versjonene.

Anbefaling:

Det anbefales sterkt at alle brukere oppdaterer sine Splunk-produkter til de nyeste versjonene for å beskytte mot potensielle angrep som utnytter disse sårbarhetene.

Thursday, 27 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.27

RedCurl cyberspioner utvikler løsepengevirus for å kryptere Hyper-V-servere. New Android malware uses Microsoft's .NET MAUI to evade detection. Malicious npm-pakke modifiserer lokal 'ethers'-bibliotek for å initiere reverse shell-angrep.


RedCurl cyberspioner utvikler løsepengevirus for å kryptere Hyper-V-servere

Den kjente cyberspionasjegruppen RedCurl, aktiv siden 2018, har nå begynt å bruke et nytt løsepengevirus kalt "QWCrypt" for å målrette Hyper-V virtuelle maskiner. Angrepene starter med phishing-e-poster som inneholder ".IMG"-vedlegg forkledd som CV-er. Når disse åpnes, monteres de automatisk som en ny stasjonsbokstav i Windows, og inneholder en skjermsparerfil som utnytter DLL-sidelasting for å laste ned en ondsinnet nyttelast. RedCurl bruker også "living-off-the-land"-verktøy for å opprettholde skjult tilstedeværelse, sprer seg lateralt med en tilpasset wmiexec-variant, og benytter verktøyet 'Chisel' for tunneling og RDP-tilgang. Før løsepengeviruset distribueres, deaktiverer angriperne forsvarsmekanismer ved hjelp av krypterte 7z-arkiver og en flertrinns PowerShell-prosess. QWCrypt støtter flere kommandolinjeargumenter for å målrette Hyper-V-maskiner, inkludert muligheten til å ekskludere spesifikke virtuelle maskiner og å slå av eller drepe VM-prosesser. Under kryptering brukes XChaCha20-Poly1305-algoritmen, og filer får enten ".locked$" eller ".randombits$"-utvidelser. Løsepengebrevet, kalt "!!!how_to_unlock_randombits_files.txt$", inneholder tekst fra andre kjente løsepengevirus som LockBit, HardBit og Mimic.

New Android malware uses Microsoft's .NET MAUI to evade detection

Nye Android-malwarekampanjer utnytter Microsofts kryssplattform-rammeverk .NET MAUI for å skjule ondsinnet kode i binære blob-filer, noe som gjør det vanskelig for sikkerhetsverktøy å oppdage dem. Disse appene utgir seg for å være legitime tjenester og benytter flere avanserte teknikker for å unngå deteksjon.

Anbefaling:

Brukere bør være forsiktige med å laste ned apper fra ukjente kilder, holde enhetene sine oppdatert med de nyeste sikkerhetsoppdateringene, og bruke pålitelige sikkerhetsløsninger for å beskytte mot slike trusler.

Malicious npm-pakke modifiserer lokal 'ethers'-bibliotek for å initiere reverse shell-angrep

To ondsinnede pakker, 'ethers-provider2' og 'ethers-providerz', ble nylig oppdaget på npm-registeret. Disse pakkene er designet for å infisere det lokalt installerte 'ethers'-biblioteket ved å erstatte en av filene med en modifisert versjon som laster ned og kjører en reverse shell, noe som gir angripere fjernkontroll over det kompromitterte systemet. Selv etter at de ondsinnede pakkene er fjernet, forblir den skadelige koden i 'ethers'-biblioteket, noe som gir en vedvarende trussel.

Anbefaling:

Utviklere bør nøye gjennomgå og verifisere tredjepartspakker før de installeres. Det er viktig å overvåke og inspisere endringer i lokale biblioteker for å oppdage uautoriserte modifikasjoner. Implementering av sikkerhetsverktøy som kan oppdage og varsle om slike endringer anbefales også.

Wednesday, 26 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.26

VMware fikser alvorlig sårbarhet i VMware Tools for Windows.


VMware fikser alvorlig sårbarhet i VMware Tools for Windows

VMware har rettet en alvorlig sårbarhet i VMware Tools for Windows som gjorde det mulig for angripere å omgå autentisering og utføre handlinger med høyere privilegier enn tiltenkt. Sårbarheten CVE-2025-22230 påvirker versjoner 11.x.x og 12.x.x, og har fått en CVSSv3-score på 7.8. Angripere kan utnytte sårbarheten til å utføre privilegerte operasjoner i en Windows virtuell maskin uten å ha administrative rettigheter i denne virtuelle maskinen. VMware anbefaler alle brukere å oppdatere til versjon 12.5.1, som inneholder nødvendige sikkerhetsoppdateringer. Det er kun Windows-versjonen av VMware Tools som er påvirket.

Sårbarheter:

Tuesday, 25 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.25

Kritisk sårbarhet i Next.js lar hackere omgå autorisasjon. Ny VanHelsing ransomware retter seg mot Windows-, ARM- og ESXi-systemer.


Kritisk sårbarhet i Next.js lar hackere omgå autorisasjon

En kritisk sårbarhet er oppdaget i det åpne rammeverket Next.js, som potensielt lar angripere omgå autorisasjonskontroller. Sårbarheten, identifisert som CVE-2025-29927, gjør det mulig for angripere å sende forespørsler som når destinasjonsstier uten å gjennomgå nødvendige sikkerhetssjekker. Next.js er et populært React-rammeverk med over 9 millioner ukentlige nedlastinger, brukt av selskaper som TikTok, Twitch, Hulu, Netflix, Uber og Nike.

Anbefaling:

Utviklere som bruker Next.js bør umiddelbart oppdatere til den nyeste versjonen som adresserer denne sårbarheten. Det er også viktig å gjennomgå eksisterende mellomvarekomponenter for å sikre at de ikke er sårbare for denne typen angrep, samt å implementere ytterligere sikkerhetstiltak for å beskytte mot uautoriserte forespørsler.

Sårbarheter:

Ny VanHelsing ransomware retter seg mot Windows-, ARM- og ESXi-systemer

En ny ransomware-as-a-service (RaaS) kalt VanHelsing har dukket opp, med målretting mot flere plattformer, inkludert Windows, Linux, BSD, ARM og ESXi-systemer. Lansert 7. mars 2025, har den allerede kompromittert tre kjente ofre, med krav om løsepenger på opptil $500 000. VanHelsing bruker doble utpressingstaktikker ved å kryptere filer og true med å lekke stjålet data.

Anbefaling:

Organisasjoner bør umiddelbart oppdatere og patche alle systemer, implementere robuste sikkerhetskopieringsrutiner. Det anbefales også å segmentere nettverket for å begrense spredningen av ransomware om systemet er kompromittert. Det er lurt å trene ansatte i å gjenkjenne phishing-forsøk.

Monday, 24 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.24

Hacker påstår å ha kompromittert Oracle Cloud og stjålet 6 millioner dataregistre. VMware-sårbarheter aktivt utnyttet for å implementere løsepengeprogramvare. Coinbase opprinnelig målrettet i GitHub Actions Supply Chain Attack; 218 Repositories' CI/CD-hemmeligheter avslørt. Oracle avviser påstander om innbrudd i skyplattformen. iOS 18.3.2 oppdatering: Viktige sikkerhetsfikser og endringer. Malware-kampanje infiserer over 20 000 WordPress-nettsteder.


Hacker påstår å ha kompromittert Oracle Cloud og stjålet 6 millioner dataregistre

En hacker, kjent som “rose87168”, hevder å ha stjålet 6 millioner dataregistre fra Oracle Clouds Single Sign-On (SSO) og Lightweight Directory Access Protocol (LDAP) systemer. De påståtte dataene inkluderer Java KeyStore (JKS) filer, krypterte SSO-passord, nøkkelfiler og Enterprise Manager JPS-nøkler. Hackerens påstander har ført til at flere store selskaper og offentlige etater, inkludert australske banker, telekommunikasjonsselskaper og flyselskaper, har iverksatt undersøkelser for å vurdere potensielle sikkerhetsbrudd.

VMware-sårbarheter aktivt utnyttet for å implementere løsepengeprogramvare

Det har vært en økning i løsepengeangrep som utnytter kritiske sårbarheter i VMware-produkter som ESXi, Workstation og Fusion. Disse sårbarhetene, identifisert som CVE-2025-22224 (CVSS 9.3), CVE-2025-22225 (CVSS 8.2) og CVE-2025-22226 (CVSS 7.1), gjør det mulig for angripere å unnslippe virtuelle maskiners isolasjon, kompromittere hypervisorer og distribuere løsepengeprogramvare på tvers av hele klynger. Per 4. mars 2025 er over 41 500 internettilgjengelige VMware ESXi-hypervisorer sårbare for CVE-2025-22224, en kritisk null-dagers sårbarhet som allerede utnyttes i angrep.

Anbefaling:

Det er sterkt anbefalt at organisasjoner umiddelbart oppdaterer sine VMware-produkter til de nyeste versjonene for å beskytte mot potensielle angrep som utnytter disse sårbarhetene.

Coinbase opprinnelig målrettet i GitHub Actions Supply Chain Attack; 218 Repositories' CI/CD-hemmeligheter avslørt

Et forsyningskjedeangrep på GitHub Action "tj-actions/changed-files" startet som et målrettet angrep mot Coinbases agentkit, før det spredte seg bredere. Angriperen kompromitterte også "reviewdog/action-setup" (CVE-2025-30154) for å få tilgang til en Personal Access Token (PAT) og injisere ondsinnet kode i 218 repositorier. Metodene inkluderte "forking", "dangling commits" og "mulitple temporary GitHub user accounts" for å skjule spor. Målet var trolig kryptotyveri, men etter at Coinbase oppdaget angrepet, eskalerte det. Innen 19. mars 2025 var trusselen eliminert. GitHub oppfordrer brukere til å gjennomgå tredjeparts Actions nøye.

Oracle avviser påstander om innbrudd i skyplattformen

Oracle har benektet påstander om at deres offentlige skytjeneste ble kompromittert, etter at en trusselaktør forsøkte å selge det som hevdes å være kundedata og sikkerhetsnøkler. Selskapet opplyser at de ikke har funnet noen tegn til datainnbrudd eller tap av kundeinformasjon. Kunder anbefales likevel å følge med på eventuell uvanlig aktivitet og holde systemer oppdatert.

iOS 18.3.2 oppdatering: Viktige sikkerhetsfikser og endringer

Apple har nylig lansert iOS 18.3.2, en oppdatering som adresserer flere sikkerhetsproblemer og feil. Blant de viktigste endringene er en kritisk sikkerhetsfiks for WebKit, som forhindrer at ondsinnet webinnhold kan bryte ut av Web Content-sandkassen. Dette er en tilleggsfiks for en sårbarhet som opprinnelig ble håndtert i iOS 17.2.

Anbefaling:

Det anbefales sterkt å oppdatere til iOS 18.3.2 så snart som mulig for å beskytte enheten mot potensielle trusler. For å oppdatere, gå til Innstillinger > Generelt > Programvareoppdatering, og følg instruksjonene på skjermen.

Sårbarheter:

Malware-kampanje infiserer over 20 000 WordPress-nettsteder

En langvarig malware-kampanje, kjent som “DollyWay World Domination”, har siden 2016 kompromittert over 20 000 WordPress-nettsteder globalt. Denne kampanjen injiserer skadelige omdirigeringsskript i infiserte nettsteder, som fører besøkende gjennom en kjede av svindelsider innen kryptovaluta og nettdating, før de ender opp på ondsinnede nettsteder eller phishing-sider.

 
>