Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 9 April 2021

2021.04.09 - Nyhetsbrev

APT 34, også kjent som OilRig fra Iran, returnerer med nye verktøy. Angripere øker bruken av sammarbeidsplatformer som Discord og Slack for å spre skadevare. Oppdateringer fra årets Pwn2Own-konkurranse.

APT 34, også kjent som OilRig fra Iran, returnerer med nye verktøy

Checkpoint har oppdaget en ny kampanje styrt av APT34 som antagelig angriper ett libanesisk mål. Dette er fordi en fil som ble lastet opp til VirusTotal kom fra Libanon. Etter at flere av APT34 sine verktøy ble lekket i 2019, har de fortsatt med å utvikle verktøyene sine for å unngå deteksjon. En av metodene denne APTen bruker for å spre skadevaren er gjennom direkte meldinger til målene på Linkedin. Checkpoint har gjort en analyse av skadevaren som ble lastet opp til VirusTotal i januar.
Referanser
https://research.checkpoint.com/2021/irans-ap[...]

Angripere øker bruken av sammarbeidsplatformer som Discord og Slack for å spre skadevare

Etter COVID-19 har det vært en økning i bruken av kommunikasjonsplatformer i bedrifter. Dette har medført at angripere også har økt misbruken av disse platformene for å infisere flere brukere. Disse platformene tillater angripere å dele skadevaren sin enklere og åpner også opp muligheter for mer målrettede phising-angrep. En stor årsak til dette er fordi brukere har lettere for å åpne og eller laste ned skadevare som blir delt i et kommunikasjonsrom som de stoler på. Talos Intelligense har tatt en gjennomgang av tre faser i et skadevare angrep. Dette innebærer levering av skadevaren, komponentinnhenting og C2 og data eksfiltrering.
Referanser
https://research.checkpoint.com/2021/irans-ap[...]

Oppdateringer fra årets Pwn2Own konkurranse

I løpet av den første dagen i Pwn2Own 2021 vant deltakerne 440 000 dollar etter å ha utnyttet tidligere ukjente sårbarheter for å hacke Microsofts Windows 10 OS, Exchange-mailserveren og Teams kommunikasjonsplattformen.

I løpet av den andre dagen på Pwn2Own hacket deltakere Microsofts Windows 10 OS to ganger, sammen med Google Chrome-nettleseren og Zoom-videokommunikasjonsplattformen.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Thursday, 8 April 2021

2021.04.08 - Nyhetsbrev

VISA: Hackere bruker i økende grad bakdører for å stjele kredittkort. Informasjon om 500 millioner LinkedIn-brukere selges online.

VISA: Hackere bruker i økende grad bakdører for å stjele kredittkort

VISA advarer om at trusselaktører i økende grad distribuerer bakdører på kompromitterte servere for å eksfiltrere kredittkortinformasjon stjålet fra nettbutikkunder.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Informasjon om 500 millioner LinkedIn-brukere selges online

Et arkiv som inneholder data som angivelig er samlet inn fra 500 millioner LinkedIn-profiler, har blitt lagt ut for salg på et populært hackerforum. Informasjon om 2 millioner av brukerne er lagt ut som en gratis prøvesmak av hackerne. Informasjonen er antakeligvis samlet inn via offentlig tilgjengelige data fra brukernes profiler.
Referanser
https://cybernews.com/news/stolen-data-of-500[...]

Wednesday, 7 April 2021

2021.04.07 - Nyhetsbrev

Løsepengergrupper får kunder av ofre til å presse på for å betale, og ny rapport detaljerer informasjon om aktive målrettede Cyber trusseler mot SAP.

Ny rapport detaljerer informasjon om aktive målrettede Cyber trusseler mot SAP

Onapsis og SAP har sluppet trusselinformasjon og rapport for å hjelpe SAP-brukere til å beskytte seg mot målrettede cyber-angrep mot SAP-installasjoner.
Referanser
https://blogs.sap.com/2021/04/06/active-cyber[...]

Løsepengergrupper får kunder av ofre til å presse på for å betale

Noen av de store løsepengegruppene har begynt å presse flere bedrifter til å betale løsepenger ved å sende eposter direkte til både kunder og partnere av offeret. I epostene står det at sensitive data om dem som kunder/brukere vil bli lekket. Mottakerne oppfordres videre til å legge press på offeret for løsepengevirus og få dem til å betale.
Referanser
https://krebsonsecurity.com/2021/04/ransom-ga[...]

Tuesday, 6 April 2021

2021.04.06 - Nyhetsbrev

Ubiquiti har bagatellisert datainnbrudd, FBI og CISA advarer mot statlige hackere som angriper Fortinet FortiOS-servere, VMware har gitt ut sikkerhetsoppdatering, Cybersikkerhetsforskere angrepet, BazarLoader jobber med tvilsomme call-centere og 533 millioner Facebook brukere har fått telefonnummeret sitt lekket.

Ubiquiti bagatelliserte datainnbrudd

Ubiquiti Networks, en større leverandør av blant annet nettskytilknyttede sikkerhetskameraer, videoopptakere og nettverksutstyr, har kommet ut for hardt vær. I januar i år opplyste selskapet at det var blitt berørt av at en tredjeparts nettskyleverandør hadde eksponert innloggingsinformasjon til kundekontoer.

Nå har en varsler kommet med en helt ny versjon av hva som egentlig skjedde. Den har han fortalt til den kjente sikkerhetsbloggeren Brian Krebs, men angivelig også til Det europeiske datatilsynet.
Referanser
https://www.digi.no/artikler/varsler-global-i[...]
https://krebsonsecurity.com/2021/03/whistlebl[...]

FBI og CISA advarer mot statlige hackere som angriper Fortinet FortiOS-servere

Federal Bureau of Investigation (FBI) og Cybersecurity and Infrastructure Security Agency (CISA) advarer mot Advanced Persistent Threat (APT) aktører som målretter seg mot Fortinet FortiOS-servere ved å utnytte svakheter som CVE-2018-13379, CVE-2020-12812 og CVE-2019-5591. Svakhetene brukes til å få fotfeste hos både statlige organisasjoner og kommersielle firmaer. Installerte bakdører kan bli brukt i fremtidlige angrep.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

VMware har utgitt sikkerhetsoppdatering for deres Carbon Black Cloud Workload Appliance

Svakheten som blir fikset tillot en angriper å ta over det berørte systemet. Man bør derfor lese gjennom VMSA-2021-005 og installere de nødvendige oppdateringene.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

Cybersikkerhetsforskere blir angrepet av hackere forbundet med Nord-Korea

Sikkerhetsforskere blir angrepet av hackere forbundet med Nord Korea gjennom sosiale medier. Google har nå kommet med en oppdatering rundt denne vedvarende kampanjen.

Det er blitt brukt forfalskede Twitter og LinkedIn brukere for å komme i kontakt med ofrene. Hackerene har også laget en nettside for et falsk sikkerhetsfirma ved navn SecuriElite, som gir seg ut for å tilby offensive sikkerhetstjenester. Siden forsøkte å kompromittere besøkende ved hjelp av svakheter i nettlesere.
Referanser
https://blog.google/threat-analysis-group/upd[...]

BazarLoader bruker tvilsomme call-center for å lure ofrene

Den kjente malware gruppen BazarLoader jobber med tvilsomme call-center for å lure ofrene til å laste ned et infisert dokument. Phishing-mailene ber personer om å ringe et nummer for å oppgradere et abonnement eller liknende. Når personene ringer nummeret, blir de guidet til å laste ned et Office-dokument og deretter slå av Office sikkerhetsfunksjoner for å tillate makroer å kjøre. Makroen laster deretter ned malware og infiserer maskinen. Denne måten å infiltrere personer på er referert til som BazarCall or BazaCall.
Referanser
https://therecord.media/malware-uses-undergro[...]

533 millioner Facebook brukere har fått telefonnummeret sitt lekket på et hackerforum

Telefonnummeret til 533 millioner Facebook-kontoer er lekket på et hackerforum, gratis. Det mistenkes at dette er data som var til salgs sommeren 2020, men nå er utgitt gratis. Data inneholder bl.a. Facebook ID, navn, kjønn, lokasjon, arbeidsforhold, fødselesdato og epost-adresser. Dataene har blitt lastet ned fra Facebook i 2019 gjennom svakheter som nå har blitt fikset.

Du kan sjekke om ditt telefonnummer er med i listene ved hjelp av tjenesten haveibeenpwned.com.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://haveibeenpwned.com/

Wednesday, 31 March 2021

2021.03.31 - Nyhetsbrev

Data fra hackerangrep mot Østre Toten kan ha blitt lagt ut på det mørke nettet

Data fra hackerangrep mot Østre Toten kan ha blitt lagt ut på det mørke nettet

Kommunen ble rammet av et angrep i Januar hvor hackere krypterte data på kommunens datasystem. Da krevde hackerne løsepenger, men dette ble ikke betalt. Nå har hackerne informert om at data er blitt lagt ut på det mørke nettet. Dette er trolig for å presse kommunen til å betale løsepenger.
Referanser
https://www.nrk.no/innlandet/info-som-hackara[...]

Tuesday, 30 March 2021

2021.03.30 - Nyhetsbrev

Det er ingen nye saker siden sist.


Monday, 29 March 2021

2021.03.29 - Nyhetsbrev

Bakdør lagt til i PHP-kildekoden etter at git-server ble kompromittert.
Apple fikser aktivt brukt zero-day svakhet.

Bakdør lagt til i PHP-kildekoden etter at git-server ble kompromittert.

I går ble det lagt til ondsinnet kode i kodebanken til PHP. Angrepet ble trolig utført etter at den offisielle gitserveren ble kompromittert, men hendelsen undersøkes fortsatt. Dette har ført til at PHP-utviklerne flytter den offisielle kodebanken fra sine egne servere over til GitHub. Koden som ble lagt til var en bakdør som tillot ekstern kodeeksekvering dersom en nettside kjørte på den nye PHP-koden.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://news-web.php.net/php.internals/113838

Apple fikser aktivt brukt zero-day svakhet.

Apple har sluppet sikkerhetsoppdateringer til iOS etter at Google Threat Analysis Group oppdaget en svakhet i nettlesermotoren Webkit. Svakheten tillot angripere å gjøre "Universal Cross-site Scripting"-angrep etter at de hadde fått en bruker til å besøke en ondsinnet nettside. Svakheten ble kjent som CVE-2021-1879 og påvirker de aller fleste iPhone og iPad enheter. Svakheten ble fikset ved å forbedre styringen av "object lifetimes" i iOS 14.4.2 og 12.5.2.
Referanser
https://www.bleepingcomputer.com/news/securit[...]