Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 27 March 2020

2020.03.27 - Nyhetsbrev

Hackergruppe har brukt hele fem 0-dagssvakheter i kampanje mot Nord-Korea. BadUSB-angrep brukt i reelt angrep mot amerikansk selskap.

Hackergruppe har brukt hele fem 0-dagssvakheter i kampanje mot Nord-Korea

Google avslører at en hackergruppe har brukt ikke mindre enn fem 0-dagssvakheter i en phishing- og spionasje-kampanje mot Nord-Korea i fjor. Kaspersky skal ha knyttet aktiviteten til en gruppe kjent som DarkHotel, som har vist interesser i Nord-Korea tidligere. Sør-Korea skal stå bak gruppen og operasjonen.
Referanser
https://www.wired.com/story/north-korea-hacki[...]
https://blog.google/technology/safety-securit[...]

BadUSB-angrep brukt i reelt angrep mot amerikansk selskap

Et amerikansk selskap opplevde en sjelden form for BadUSB-angrep. Selskapet mottok et brev i posten med et forfalsket gavekort fra BestBuy og en minnepenn som angivelig skulle inneholde en liste over varer de kunne benytte gavekortet på. Mottakeren var skeptisk til innholdet og ba om ekstern hjelp. Da USB-enheten ble plugget inn i en isolert maskin oppdaget de at den fungerte som et tastatur og emulerte diverse tastetrykk for å laste ned skadevare på enheten.
Referanser
https://www.zdnet.com/article/rare-badusb-att[...]

Thursday, 26 March 2020

2020.03.26 - Nyhetsbrev

Rekordhøy svindeltrafikk i Telenors mobilnett. Angripere bruker hjemmerutere til å videresende brukere til falske sider .

Rekordhøy svindeltrafikk

Kriminelle utnytter digitaliseringen av samfunnet til egen fordel, også i en pandemisituasjon som vi er i nå. Telenor har merket en økning av svindelforsøk fra uke 8 til uke 12. Det har blitt sperret tre ganger flere svindelanrop og elleve ganger flere spoofing-anrop.
Referanser
https://www.digi.no/artikler/telenor-melder-o[...]

Angripere bruker hjemmerutere til å videresende brukere til falske sider

Angrepet begynner med at en uvedkommende tar kontroll over en hjemmeruter, muligens ved å gjette brukernavn og passord til en skytjeneste på ruteren, og endrer DNS-innstillingen. Dette lar angriperen sende brukeren til en falsk side i stedet for nettsiden brukeren spør etter og her bes han om å laste ned en skadelig fil forkledd som informasjonsapp for COVID-19. Denne filen laster ned og kjører en malware kalt Oski som har som mål å stjele sensitive data som innloggingsinformasjon.
Referanser
https://labs.bitdefender.com/2020/03/new-rout[...]

Wednesday, 25 March 2020

2020.03.25 - Nyhetsbrev

Apple oppdaterer iOS og iPadOS til 13.4. APT41 med større global kampanje. Ny skadevarekampanje rettet mot Midtøsten oppdaget. Rapport kartlegger potensielle angrepsflater mot O365 ved bruk av Azure. Kritisk sikkerhetsoppdatering for Adobe Creative Cloud Desktop. DoS svakhet oppdaget i Memcached.

Apple oppdaterer iOS og iPadOS til 13.4

Apple oppdaterer iOS og iPadOS til versjon 13.4. Oppdateringen inneholder flere sikkerhetsoppdateringer. Blant annet fikses flere feil i WebKit som ved utnyttelse kunne gitt muligheter for ekstern kodeeksekvering.
Referanser
https://support.apple.com/en-us/HT211102

APT41 med større global kampanje

FireEye rapporterer at den kinesiske trusselaktøren APT41 har vært svært aktiv i løpet av årets første kvartal. Det er observert forsøk på innbrudd hos 75 FireEye kunder. Angrepene skjer blant annet ved hjelp av svakheter i Citrix Netscale, Cisco routere og Zoho ManageEngine.
Referanser
https://www.fireeye.com/blog/threat-research/[...]

Ny skadevarekampanje rettet mot Midtøsten oppdaget

Forskere hos Kaspersky har oppdaget en hittil ukjent skadevarekampanje rettet mot industri i Midtøsten. Skadevaren har fått navnet Milum og utfører rekognosering på maskinene som er infisert. C2 kommunikasjon er kryptert med RC4.
Referanser
https://threatpost.com/wildpressure-malware-c[...]

Rapport kartlegger potensielle angrepsflater mot O365 ved bruk av Azure

I en nylig utgitt artikkel har forskere fra Varonis utforsket mulige angreps-flater mot Office 365. Forskerne har konsentrert seg om Azure og Azure apps integrasjon mot O365 plattformen. Det konkluderes med at det kan være lett å lure brukere til å godta 3-parts applikasjoner gjennom f.eks phising-forsøk.
Referanser
https://www.darkreading.com/cloud/how-attacke[...]

Kritisk sikkerhetsoppdatering for Adobe Creative Cloud Desktop

Adobe har sluppet en sikkerhetsoppdatering for Adobe Creative Cloud Desktop Application. Oppdateringen tetter en kritisk svakhet som kan utnyttes til å slette filer i konteksten til den innloggede brukeren.
Anbefaling
Oppdater berørte systemer.
Referanser
https://blogs.adobe.com/psirt/?p=1852

DoS svakhet oppdaget i Memcached

Memcached er et populært distribuert minne-cache-system. En svakhet har blitt oppdaget i programvaren som gjør det mulig å eksternt ta ned tjenesten. Det er ikke klart enda om den kan utnyttes til å oppnå ekstern eksekvering av vilkårlig kode. Utviklerne av Memcached reagerer på at de ikke ble gjort oppmerksomme på svakheten før informasjon om den ble publisert offentlig, men har nå gitt ut en oppdatering som forhindrer utnyttelse. Et raskt søk på Shodan viser at rundt 83 000 maskiner har standardporten 11211 åpen mot internett. Det er ikke nødvendigvis slik at alle kjører Memcached programvaren, men det er stor sannsynlighet for at et betydelig antall av dem gjør det.
Anbefaling
Installer nyeste oppdatering. Sørg for at Memcached ikke er eksponert mot internett dersom du ikke har behov for det.
Referanser
https://www.theregister.co.uk/2020/03/24/memc[...]

Tuesday, 24 March 2020

2020.03.24 - Nyhetsbrev

Zero-day svakhet i Windows utnyttes aktivt. Eposter om Coronavirus brukes til å spre ransomware. 13 alvorlige svakheter avdekket på virtuell Pwn2Own. Avanserte hackere skal ha prøvd å bryte seg inn hos WHO.

Eposter om Coronavirus brukes til å spre ransomware

MalwareHunterTeam har funnet et skadelig vedlegg som sendes sammen med eposter som utgir seg for å inneholde informasjon om Coronavirus. Vedlegget sendes med navnet "CORONAVIRUS_COVID-19.vbs". Dersom det åpnes installerer det Netwalker ransomware på klienten og krypterer automatisk filene. Dette er bare ett av flere eksempler man har sett i løpet av de siste ukene på angrep som utnytter virusutbruddet i forbindelse med phishing- og skadevarekampanjer.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

13 alvorlige svakheter avdekket på virtuell Pwn2Own

Hackerkonferansen Pwn2Own er for første gang avholdt virtuelt i år, grunnet Corona-krisen. Her ble det avdekket feil i produkter fra både Adobe, Apple, Microsoft, Oracle og Ubuntu, og $270.000 ble utbetalt i premier i løpet av konferansen.

Angripere klarte både å få SYSTEM-tilgang i Windows samt få tilgang til kjernen i MacOS gjennom å utnytte en svakhet i Safari, samt andre deler av systemet.
Referanser
https://www.scmagazine.com/home/security-news[...]

Avanserte hackere skal ha prøvd å bryte seg inn hos WHO

Reuters melder at stats-sponsede hackere har prøvd å få tilgang til interne kontoer hos WHO, World Health Organisation. Angriperne satte opp et falskt nettsted som ga seg ut for å være innlogings-siden til organisasjonen.
Referanser
https://www.reuters.com/article/us-health-cor[...]

Zero-day svakhet i Windows utnyttes aktivt

Microsoft advarer nå om at en zero-day svakhet i Adobe Type Manager Library, en Windows 10 DLL, aktivt utnyttes i målrettede angrep. Det finnes for øyeblikket ingen oppdatering tilgjengelig som fikser svakheten, men brukere kan endre enkelte innstillinger for å hindre utnyttelse. Disse kan imidlertid ha negativ effekt på systemet.

Svakheten gir angriperne mulighet for ekstern kodeeksekvering. Ars Technica viser i sin artikkel spesifikt til hvilke innstillinger som må endres.
Anbefaling
Installer nyeste oppdatering så snart den blir gitt ut. Vurder å implementere mitigeringer i mellomtiden.
Referanser
https://arstechnica.com/information-technolog[...]
https://portal.msrc.microsoft.com/en-us/secur[...]

Friday, 20 March 2020

2020.03.20 - Nyhetsbrev

Google har sluppet oppdatering for Chrome. Cisco har sluppet sikkerhetsoppdateringer for SD-WAN. APT28 går mot forsvarsselskaper med i midtøsten.

Google har sluppet oppdatering for Chrome

Google har sluppet oppdatering for Chrome for Windows, Mac og Linux. Den nye versjonen inneholder 13 sikkerhetsutbedrelser, hvor av 9 er rangert med høy kritikalitet.
Referanser
https://chromereleases.googleblog.com/2020/03[...]

Cisco har sluppet sikkerhetsoppdateringer for SD-WAN

Cisco har sluppet oppdatering for Cisco SD-WAN, som utbedrer tre sikkerhetssvakheter med høy kritikalitet. Svakhetene kan gjøre det mulig for en angriper å kjøre kommandoer med root-privilegier. Feilene finnes i forskjellig software og hardware som bruker SD-WAN-funksjonalitet.
Referanser
https://threatpost.com/cisco-warns-of-high-se[...]
https://tools.cisco.com/security/center/conte[...]

APT28 går mot forsvarsselskaper med i midtøsten

Trend Micro advarer om at den russiske hackergruppen APT28, også kjent som Fancy Bear og Pawn Storm, har rettet siktet mot forsvarsselskaper i midtøsten. Phishing er nevnt som angrepsvektor.
Referanser
https://www.theregister.co.uk/2020/03/19/apt2[...]

Thursday, 19 March 2020

2020.03.19 - Nyhetsbrev

Trend Micro fikser to zero-day svakheter som kunne gi angripere mulighet til å eksekvere kode. Hong Kong gjør sporingsarmbånd obligatoriske for nyankomne.

Trend Micro fikser to zero-day svakheter som kunne gi angripere mulighet til å eksekvere kode.

Trend Micro patchet denne uken to sårbarheter i sine Apex One og OfficeScan XG enterprise sikkerhetsprodukter som kunne føre til at angripere fikk eksekvere kode på maskinen. Angriperen behøver å ha brukertilgang til den lokale maskinen før de kan utnytte svakheten. I tillegg har Trend Micro funnet 3 andre svakheter hvor to av disse kunne brukes til å utføre kommandoer og kjøre kode med admin privilegier.
Referanser
https://www.zdnet.com/article/two-trend-micro[...]

Hong Kong gjør sporingsarmbånd obligatoriske for nyankomne

Alle som skal inn i Hong Kong må nå ta på seg et elektronisk armbånd som kobles opp mot en smarttelefon for å tilby stedssporende tjenester, slik at myndighetene kan være sikre på at nyankomne overholder karantenenekravene til COVID-19. Lokasjon skal visstnok ikke registreres, bare endring av lokasjon. Kina og Israel har gjort lignende tiltak. Det spesielle med denne saken er at det gjøres stikkprøver på folk i karantene ved å starte tilfeldige videoanrop, og det blir gitt bøter til de som bryter systemet.
Referanser
https://www.theregister.co.uk/2020/03/19/hong[...]
https://www.theregister.co.uk/2020/03/18/digi[...]

Wednesday, 18 March 2020

2020.03.18 - Nyhetsbrev

Cyberkriminelle bruker Corona-pandemi for hvitvasking av penger. Adobe har gitt ut månedens oppdateringer.

Cyberkriminelle bruker Corona-pandemi for hvitvasking av penger

Som følge av permitteringer og utstrakt bruk av hjemmekontor i forbindelse med Corona-pandemi har trolig cyberkriminelle flere kandidater for rekruttering som mellommenn til bruk i finansiell kriminalitet. KrebsonSecurity, en kjent sikkerhetsblogger, har tatt for seg en sak hvor kriminelle forsøker å overføre penger for hvitvasking under dekke av å behandle donerte penger i forbindelse med Corona-pandemien.
Referanser
https://krebsonsecurity.com/2020/03/coronavir[...]

Adobe har gitt ut månedens oppdateringer

Adobe har sluppet oppdateringer for Adobe Genuine Integrity Service, Adobe Acrobat and Reader, Adobe Photoshop, Adobe Experience Manager, Adobe ColdFusion og Adobe Bridge. Vi anbefaler å installere oppdateringer så fort som mulig.
Anbefaling
Installer patcher fra Adobe.
Referanser
https://blogs.adobe.com/psirt/?p=1847