Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 4 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.04

Nytt GitHub-forsyningskjedeangrep sporet mot lekket SpotBugs-token. Google Patcher Quick Share-sårbarhet som muliggjør stille filoverføringer uten samtykke.


Nytt GitHub-forsyningskjedeangrep sporet mot lekket SpotBugs-token

Ett omfattende forsyningskjedeangrep på GitHub, som opprinnelig rettet seg mot Coinbase i mars 2025, har blitt sporet tilbake til en stjålet token fra SpotBugs sin arbeidsflyt. Angrepet startet i november 2024 da en vedlikeholder av SpotBugs inkluderte sin personlige tilgangstoken (PAT) i en CI-arbeidsflyt. En angriper utnyttet deretter en sårbar 'pull_request_target' arbeidsflyt for å stjele denne tokenen via en ondsinnet pull request. Den stjålne tokenen ble senere brukt til å kompromittere flere GitHub-prosjekter, inkludert Reviewdog og tj-actions/changed-files, noe som til slutt eksponerte hemmeligheter i 218 repositories.

Anbefaling:

Utviklere bør unngå å inkludere personlige tilgangstokens direkte i CI-arbeidsflyter. Det anbefales å bruke alternative autentiseringsmetoder som GitHub App-tokens eller OIDC for å minimere risikoen for token-lekkasje. I tillegg bør man være forsiktig med å bruke 'pull_request_target' arbeidsflyter, da disse kan være sårbare for ondsinnede pull requests.

Google Patcher Quick Share-sårbarhet som muliggjør stille filoverføringer uten samtykke

Google har utgitt en oppdatering for å adressere en sårbarhet i Quick Share for Windows, kjent som CVE-2024-10668 (CVSS-score: 5.9). Denne sårbarheten kunne utnyttes til å utføre denial-of-service (DoS) angrep eller sende vilkårlige filer til en brukers enhet uten deres godkjenning. Problemet oppsto som en omgåelse av tidligere rapporterte svakheter i Quick Share, som tillot angripere å krasje applikasjonen eller overføre filer uten brukerens samtykke. Google har løst dette i Quick Share for Windows versjon 1.0.2002.2.

Anbefaling:

Brukere av Quick Share for Windows bør umiddelbart oppdatere til versjon 1.0.2002.2 for å beskytte seg mot potensielle utnyttelser av denne sårbarheten.

Thursday, 3 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.03

Cisco advarer om CSLU bakdør brukt i angrep.


Cisco advarer om CSLU bakdør brukt i angrep

Cisco advarer om en kritisk sårbarhet i Cisco Smart Licensing Utility (CSLU) som eksponerer en innebygd bakdør i form av en administratorkonto. Denne sårbarheten, identifisert som CVE-2024-20439, lar uautentiserte angripere logge inn på upatchede systemer med administrative rettigheter via CSLU-applikasjonens API. Selv om Cisco utbedret feilen i september 2024, ble det i mars 2025 oppdaget forsøk på utnyttelse av sårbarheten i det fri. Angripere har også kombinert denne sårbarheten med en annen kritisk feil, CVE-2024-20440, som tillater tilgang til loggfiler med sensitiv informasjon. Begge sårbarhetene krever at CSLU-applikasjonen er startet, da den ikke kjører i bakgrunnen som standard.

Anbefaling:

Cisco anbefaler sterkt at kunder oppgraderer til en fastsatt programvareversjon for å rette opp disse sårbarhetene.

Tuesday, 1 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.01

Russiske hackere utnytter CVE-2025-26633 via MSC EvilTwin for å distribuere SilentPrism og DarkWisp. Hackere misbruker WordPress MU-plugins for å skjule ondsinnet kode. Phishing-plattformen 'Lucid' står bak bølge av iOS- og Android-SMS-angrep.


Russiske hackere utnytter CVE-2025-26633 via MSC EvilTwin for å distribuere SilentPrism og DarkWisp

Den russiske hackergruppen kjent som Water Gamayun, også kalt EncryptHub og LARVA-208, utnytter en nylig oppdaget sårbarhet i Microsoft Management Console (MMC), identifisert som CVE-2025-26633 eller "MSC EvilTwin". Gjennom manipulering av ondsinnede Microsoft Console-filer (.msc) kan de kjøre vilkårlig kode på infiserte systemer. Angrepene involverer bruk av skadelige .msi-filer og .msc-filer for å levere bakdørene SilentPrism og DarkWisp, som gir angriperne mulighet til fjernkontroll, datatyveri og vedvarende tilgang til kompromitterte systemer. ​

Anbefaling:

Det anbefales sterkt å installere sikkerhetsoppdateringen fra Microsoft som adresserer CVE-2025-26633 umiddelbart. Administratorer bør også gjennomgå systemer for tegn på kompromittering, spesielt relatert til bruk av .msc- og .msi-filer. Videre bør det implementeres robuste sikkerhetstiltak, inkludert oppdaterte antivirusprogrammer og inntrengningsdeteksjonssystemer, for å beskytte mot slike angrep.

Sårbarheter:

Hackere misbruker WordPress MU-plugins for å skjule ondsinnet kode

Hackere utnytter WordPress' 'Must-Use Plugins' (MU-plugins) for å skjule ondsinnet kode som kjøres automatisk på alle sider uten å vises i adminpanelet. MU-plugins er PHP-filer lagret i 'wp-content/mu-plugins/'-katalogen og aktiveres automatisk ved sidelasting. Angriperne bruker denne teknikken til å oppnå vedvarende tilgang og skjule skadelig programvare, inkludert bakdører, spammere og injeksjoner av ondsinnet kode.

Anbefaling:

WordPress-administratorer bør regelmessig inspisere 'mu-plugins'-katalogen for uautoriserte filer, overvåke filendringer og sikre at alle plugins og temaer er oppdatert. Det anbefales også å implementere sikkerhetstiltak som brannmurer og inntrengningsdeteksjonssystemer for å beskytte mot uautorisert tilgang.

Phishing-plattformen 'Lucid' står bak bølge av iOS- og Android-SMS-angrep

Lucid' er en phishing-as-a-service (PhaaS) plattform operert av den kinesiske cyberkriminelle gruppen 'XinXin' siden midten av 2023. Den har rettet seg mot 169 enheter i 88 land ved å sende sofistikerte meldinger via iMessage (iOS) og RCS (Android). Plattformen selges til andre trusselaktører gjennom et abonnementsbasert modell, som gir tilgang til over 1 000 phishing-domener, automatisk genererte phishing-nettsteder og avanserte spamming-verktøy.

Anbefaling:

Brukere bør være ekstra forsiktige med meldinger mottatt via iMessage og RCS, spesielt de som inneholder lenker eller ber om personlig informasjon. Det anbefales å bekrefte avsenderens legitimitet før man klikker på lenker eller deler sensitiv informasjon.

Monday, 31 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.31

Infostealer-kampanje kompromitterer 10 npm-pakker, retter seg mot utviklere. Ny Morphing Meerkat phishing-kit etterligner 114 merkevarer ved bruk av ofrenes DNS e-postoppføringer.


Infostealer-kampanje kompromitterer 10 npm-pakker, retter seg mot utviklere

Ti npm-pakker, inkludert den populære 'country-currency-map', ble nylig oppdatert med ondsinnet kode som stjeler miljøvariabler og annen sensitiv informasjon fra utvikleres systemer. Koden, oppdaget av Sonatype-forsker Ali ElShakankiry, er skjult i de obfuskertede skriptene "/scripts/launch.js" og "/scripts/diagnostic-report.js", som aktiveres ved installasjon av pakken. Den stjålne informasjonen sendes til en ekstern server på "eoi2ectd5a5tn1h.m.pipedream(.)net". Miljøvariabler er ofte mål for slike angrep da de kan inneholde API-nøkler, databaselegitimasjon, skylagringsnøkler og krypteringsnøkler, som kan brukes i videre angrep.

Anbefaling:

Utviklere bør umiddelbart sjekke om de har installert noen av de kompromitterte pakkene og fjerne dem fra sine prosjekter. Det anbefales også å rotere eventuelle eksponerte nøkler eller legitimasjon som kan ha blitt kompromittert. Videre bør utviklere være årvåkne ved oppdatering av avhengigheter og vurdere å bruke verktøy som overvåker for ondsinnede pakker.

Ny Morphing Meerkat phishing-kit etterligner 114 merkevarer ved bruk av ofrenes DNS e-postoppføringer

Forskere har avdekket en ny phishing-as-a-service (PhaaS) plattform kalt Morphing Meerkat, som utnytter DNS MX-oppføringer for å dynamisk generere falske innloggingssider som imiterer rundt 114 forskjellige merkevarer. Angriperne bruker ofte åpne omdirigeringer på annonseplattformer og kompromitterte domener for å distribuere phishing-innhold, og de stjålne legitimasjonene overføres via flere kanaler, inkludert Telegram

Anbefaling:

Brukere bør være ekstra forsiktige med e-poster som inneholder lenker til innloggingssider, spesielt hvis de er omdirigert via ukjente domener. Det anbefales å verifisere ektheten av slike e-poster og å unngå å oppgi legitimasjon på sider som ikke er bekreftet som legitime.

Friday, 28 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.28

Mozilla har fikset kritisk sårbarhet i Firefox for Windows. Splunk fikser alvorlige sårbarheter i Splunk Enterprise og Secure Gateway.


Mozilla har fikset kritisk sårbarhet i Firefox for Windows

Mozilla har utgitt Firefox 136.0.4 for å rette en kritisk sårbarhet (CVE-2025-2857) som gjør det mulig for angripere å omgå nettleserens sandbox på Windows-maskiner. Feilen berører også Firefox ESR og minner om en nylig Chrome sårbarhet (CVE-2025-2783) som kunne bli utnyttet på en tilsvarende måte. Ifølge Mozilla kunne angripere få hovedprosesser til å dele visse systemressurser med uprivilegerte underprosesser, og dermed rømme ut av sandboxen. Problemet rammer kun Firefox på Windows, og andre operativsystemer er ikke berørt.

Anbefaling:

Brukere av Firefox på Windows bør umiddelbart oppdatere til de nyeste versjonene for å beskytte seg mot potensielle utnyttelser av denne sårbarheten.

Splunk fikser alvorlige sårbarheter i Splunk Enterprise og Secure Gateway

Splunk har gitt ut oppdateringer som fikser flere sårbarheter i produktene sine. Blant annet to alvorlige feil i Splunk Enterprise og Splunk Secure Gateway. Den ene sårbarheten (CVE-2025-20229, score 8.0) fører til at lavt privilegerte brukere kan kjøre vilkårlig kode ved å laste opp filer til mappen "$SPLUNK_HOME/var/run/splunk/apptemp" grunnet manglende autorisasjonssjekker. Den andre sårbarheten (CVE-2025-20231, score 7.1) fører til at lavt privilegerte brukere kan kjøre søk med høyere privilegier og dermed eksponere sensitiv informasjon. Utnyttelse av denne krever en vellykket phish i forkant da den går ut på at brukerøkter og autorisasjonstokener eksponeres i klartekst under et visst kall. Splunk anbefaler alle å oppdatere snarest til de nyeste versjonene.

Anbefaling:

Det anbefales sterkt at alle brukere oppdaterer sine Splunk-produkter til de nyeste versjonene for å beskytte mot potensielle angrep som utnytter disse sårbarhetene.

Thursday, 27 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.27

RedCurl cyberspioner utvikler løsepengevirus for å kryptere Hyper-V-servere. New Android malware uses Microsoft's .NET MAUI to evade detection. Malicious npm-pakke modifiserer lokal 'ethers'-bibliotek for å initiere reverse shell-angrep.


RedCurl cyberspioner utvikler løsepengevirus for å kryptere Hyper-V-servere

Den kjente cyberspionasjegruppen RedCurl, aktiv siden 2018, har nå begynt å bruke et nytt løsepengevirus kalt "QWCrypt" for å målrette Hyper-V virtuelle maskiner. Angrepene starter med phishing-e-poster som inneholder ".IMG"-vedlegg forkledd som CV-er. Når disse åpnes, monteres de automatisk som en ny stasjonsbokstav i Windows, og inneholder en skjermsparerfil som utnytter DLL-sidelasting for å laste ned en ondsinnet nyttelast. RedCurl bruker også "living-off-the-land"-verktøy for å opprettholde skjult tilstedeværelse, sprer seg lateralt med en tilpasset wmiexec-variant, og benytter verktøyet 'Chisel' for tunneling og RDP-tilgang. Før løsepengeviruset distribueres, deaktiverer angriperne forsvarsmekanismer ved hjelp av krypterte 7z-arkiver og en flertrinns PowerShell-prosess. QWCrypt støtter flere kommandolinjeargumenter for å målrette Hyper-V-maskiner, inkludert muligheten til å ekskludere spesifikke virtuelle maskiner og å slå av eller drepe VM-prosesser. Under kryptering brukes XChaCha20-Poly1305-algoritmen, og filer får enten ".locked$" eller ".randombits$"-utvidelser. Løsepengebrevet, kalt "!!!how_to_unlock_randombits_files.txt$", inneholder tekst fra andre kjente løsepengevirus som LockBit, HardBit og Mimic.

New Android malware uses Microsoft's .NET MAUI to evade detection

Nye Android-malwarekampanjer utnytter Microsofts kryssplattform-rammeverk .NET MAUI for å skjule ondsinnet kode i binære blob-filer, noe som gjør det vanskelig for sikkerhetsverktøy å oppdage dem. Disse appene utgir seg for å være legitime tjenester og benytter flere avanserte teknikker for å unngå deteksjon.

Anbefaling:

Brukere bør være forsiktige med å laste ned apper fra ukjente kilder, holde enhetene sine oppdatert med de nyeste sikkerhetsoppdateringene, og bruke pålitelige sikkerhetsløsninger for å beskytte mot slike trusler.

Malicious npm-pakke modifiserer lokal 'ethers'-bibliotek for å initiere reverse shell-angrep

To ondsinnede pakker, 'ethers-provider2' og 'ethers-providerz', ble nylig oppdaget på npm-registeret. Disse pakkene er designet for å infisere det lokalt installerte 'ethers'-biblioteket ved å erstatte en av filene med en modifisert versjon som laster ned og kjører en reverse shell, noe som gir angripere fjernkontroll over det kompromitterte systemet. Selv etter at de ondsinnede pakkene er fjernet, forblir den skadelige koden i 'ethers'-biblioteket, noe som gir en vedvarende trussel.

Anbefaling:

Utviklere bør nøye gjennomgå og verifisere tredjepartspakker før de installeres. Det er viktig å overvåke og inspisere endringer i lokale biblioteker for å oppdage uautoriserte modifikasjoner. Implementering av sikkerhetsverktøy som kan oppdage og varsle om slike endringer anbefales også.

Wednesday, 26 March 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.03.26

VMware fikser alvorlig sårbarhet i VMware Tools for Windows.


VMware fikser alvorlig sårbarhet i VMware Tools for Windows

VMware har rettet en alvorlig sårbarhet i VMware Tools for Windows som gjorde det mulig for angripere å omgå autentisering og utføre handlinger med høyere privilegier enn tiltenkt. Sårbarheten CVE-2025-22230 påvirker versjoner 11.x.x og 12.x.x, og har fått en CVSSv3-score på 7.8. Angripere kan utnytte sårbarheten til å utføre privilegerte operasjoner i en Windows virtuell maskin uten å ha administrative rettigheter i denne virtuelle maskinen. VMware anbefaler alle brukere å oppdatere til versjon 12.5.1, som inneholder nødvendige sikkerhetsoppdateringer. Det er kun Windows-versjonen av VMware Tools som er påvirket.

Sårbarheter:

 
>