Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 3 February 2023

2023.02.03 - Nyhetsbrev

Vadsø kommune utsatt for dataangrep, WithSecure oppdaget Lazarus Group-styrt cyberangrep rettet mot forskningsorganisasjoner og alvorlige sårbarheter oppdaget i industrielle Cisco-enheter.

Vadsø kommune utsatt for dataangrep

Vadsø kommune ble utsatt for et dataangrep natt til torsdag. Angrepet ser ut til å ha rammet alle brukere av det kommunalet nettet, inkludert legekontor.

Kommunen vet foreløpig ikke hva det videre omfanget av angrepet er, og om informasjon er hentet ut av systemene deres, men kommundirektøren informerer om at det ikke er fare for liv og helse.

De er i løpende kontakt med nasjonale sikkerhetsmyndigheter.
Referanser
https://direkte.vg.no/nyhetsdognet/news/vadso[...]

WithSecure oppdaget Lazarus Group-styrt cyberangrep rettet mot forskningsorganisasjoner

WithSecure oppdaget og responderte på et cyberangrep i Q4 2022, som de med høy sannsynlighet mener var utført av Lazarus Group. Dette baserer de på teknikker brukt i angrepet som overlapper med teknikker Lazarus Group ofte benytter, samt en operativ sikkerhetsfeil gjort av aktøren.

Angrepet var rettet mot forskningsorganisasjoner i både offentlig og privat sektor. WithSecure antar motivasjonen for angrepet var å samle informasjon.
Referanser
https://labs.withsecure.com/publications/no-p[...]

Alvorlige sårbarheter oppdaget i industrielle Cisco-enheter

To sikkerhetsfeil som påvirker flere industrielle Cisco-enheter har blitt oppdaget. Den første feilen ble oppdaget i kode som ikke var utgitt enda og ga mulighet for ekstern kodeeksekvering.

Den andre feilen ble oppdaget i eksisterende utstyr som er i bruk. Denne feilen lar angripere injisere kommandoer som kan gi mulighet for ekstern kodeeksekvering og full root-tilgang på utstyret.

Begge feilene ble funnet i utstyrets mulighet for å kjøre spesiallagede applikasjoner.
Referanser
https://www.darkreading.com/ics-ot/command-in[...]

Wednesday, 1 February 2023

2023.02.01 - Nyhetsbrev

Falske nettsider for Bitwarden og 1Password dukker opp i Google-søk. Microsofts «Verified publisher»-ordning blir misbrukt til å distribuere skadelig programvare. Ukraina-krigen har styrket båndene mellom Russlands regjering og cyberkriminelle. Utnyttelseskode sluppet for kritiske svakheter i VMware vRealize.

Falske nettsider for Bitwarden og 1Password dukker opp i Google-søk

Bitwarden og 1Password melder om aktivitet der cyberkriminelle lager falske nettsider som gir seg ut for å være legitime tjenester for passordhåndtering via Google Ads. Når man f.eks. søker etter «bitwarden password manager» blir man sendt til phishing-sider som ser identiske ut til originalen og også har et lignende domene-navn. Trusselaktørene prøver gjennom den nye teknikken å få tilgang til alle kontoene som er lagret i ofrenes passord-hvelv. Google opplyser at å stoppe denne typen angrep har høyeste prioritet, men annonser fra Google har i det vært kilde til flere typer misbruk.
Referanser
https://www.darkreading.com/threat-intelligen[...]

Microsofts «Verified publisher»-ordning blir misbrukt til å distribuere skadelig programvare

Proofpoint melder om en trussel-kampanje som involverer skadelige tredjeparts Oauth-applikasjoner. Disse blir publisert fra kontoer som har status som «verified publisher» fra Microsoft. Appene blir brukt for å infiltrere målenes sky-miljøer. Foreløpig har Proofpoint sett tre forskjellige applikasjoner fra tre utgivere. Alle angrepene har vært målrettede angrep mot britiske selskaper. Blant de rammede brukerne var det ansatte innen økonomi og markedsførings, samt ledere og direktører.

For å unngå denne typen angrep er det viktig å verifisere at appen en gir tilgang til sitt miljø kommer fra riktig utgiver. Vanlige brukere bør heller ikke ha ha tillatelse til å gi tilganger til tilfeldige tredjeparts apper.
Referanser
https://thehackernews.com/2023/02/hackers-abu[...]
https://www.proofpoint.com/us/blog/cloud-secu[...]

Ukraina-krigen har styrket båndene mellom Russlands regjering og cyberkriminelle

Før Russland invaderte Ukraina gjennomførte den russiske regjeringen flere aksjoner mot russiske kriminelle grupper for å blidgjøre vestlige land.

Etter invasjonen har den russiske regjeringens styrket båndene til cyberkriminelle, skriver The Record. Forskjellige kriminelle grupperinger utfører oppdrag som understøtter krigen, ofte ved å lekke stjålne data fra Ukraina. Dette har også ført til en økning i cyberkriminalitet, da kriminelle har fått økt støtte og beskyttelse fra regjeringen, så lenge de ikke angriper mål innenlands. Myndighetene kan også gjennomføre aksjoner gjennom de kriminelle gruppene eller gi seg ut for å være dem.
Referanser
https://www-therecord.recfut.com/how-the-war-[...]

Utnyttelseskode sluppet for kritiske svakheter i VMware vRealize

Sikkerhetsforskere fra Horizon3 har sluppet eksempelkode for utnyttelse i de nylig meldte svakhetene i VMware vRealize. Patcher for å fikse svakhetene ble utgitt sist uke. Det er ventet at svakhetene snarlig vil bli utnyttet i reelle angrep, så vi anbefaler å installere patcher så fort som mulig.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Tuesday, 31 January 2023

2023.01.31 - Nyhetsbrev

Hackere har stjålet krypterte kodesigneringssertifikater fra GitHub.

Hackere har stjålet krypterte kodesigneringssertifikater fra GitHub

GitHub har meldt at krypterte kodesigneringssertifikater, brukt til signering av deres Desktop og Atom-applikasjoner, har blitt stjålet av hackere. De har så langt ikke blitt brukt til skadelige formål.

Hendelsen ble først oppdaget den 6. desember 2022 da Github repoer og andre Github-eide selskapers kode ble klonet med en kompromittert "personal access token" (PAT).

Sertifikatene vil bli tibakekalt den 2. februar. Github har fjernet berørte versjoner av Atom applikasjonen 1.63.0-1.63.1 og Desktop app versjon 3.0.2-3.1.2. Disse vil også slutte å fungere etter 2. februar. Github utgav ny versjoner av applikasjonen den 4. januar med nye sertifikater som ikke har vært kompromittert.

Hendelsen skal ikke innebære noen risiko for brukerne og applikasjonene i seg selv skal ikke ha blitt modifisert.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Monday, 30 January 2023

2023.01.30 - Nyhetsbrev

Russisk hackergruppe gikk til angrep mot sykehusnettsider. Microsoft oppfordrer igjen kundene til å oppdatere Exchange-serverne sine.

Russisk hackergruppe gikk til angrep mot sykehusnettsider

Killnet, en russisk hackergruppe stiftet rundt mars 2022, gikk i helgen til angrep mot sykehusnettsider over hele verden. I angrepslisten delt fra aktøren sin Telegram konto fant en også ni norske sykehus, derblant Ahus, SUS og St. Olavs hospital.

Norsk helsenett bekreftet at nettsidene til sykehusene opplevde ustabilitet og unormalt mye trafikk i flere omganger på lørdag. – Norsk helsenett observerte fire kortvarige bølger med økt trafikk mot sykehusenes nettsider, sier kommunikasjonsleder Mette Valle Sannes til VG. Det skjedde klokken 12.30, 16.00, 17.15 og 17.30. – Utover kortvarig ustabilitet på nettsidene i nevnte tidsrom, har hendelsene ikke medført negative konsekvenser for helsetjenesten, sier Sannes.
Referanser
https://www.vg.no/nyheter/innenriks/i/Xbdz47/[...]
https://www.digi.no/artikler/hackergruppe-fra[...]

Microsoft oppfordrer igjen kundene til å oppdatere Exchange-serverne sine

En rekke av de kjente IT-angrepene de senere årene har skjedd ved at angriperne har utnyttet kjente sårbarheter i Microsoft Exchange Server. Angrepene på Stortinget i 2020 og 2021 er de mest kjente her hjemme, men det tok ikke slutt etter dette.

Svært mange av angrepene kunne ha vært unngått dersom Exchange-kundene hadde installert de tilgjengelige sikkerhetsoppdateringene relativt raskt. Man skulle kanskje tro at verdens Exchange-administratorer hadde tatt lærdom av dette, men mye tyder på at det ikke alltid er slik.
Referanser
https://www.digi.no/artikler/microsoft-oppfor[...]

Friday, 27 January 2023

2023.01.27 - Nyhetsbrev

Ransomware-infrastrukturen til "Hive" beslaglagt av Europol og nøkler for dekryptering overlevert til ofrene.

Ransomware-infrastruktur beslaglagt av Europol: HIVE

Europol har i samarbeid med europeiske og amerikanske myndigheter klart å ta ned infrastrukturen til HIVE, et ransomware-as-a-service produkt fra HIVE ransomware group. Fra juni 2021 til dags dato har over 1500 firmaer fra over 80 land blitt utsatt for HIVE ransomware. Det er estimert et tap på omtrent 100 millioner euro i løsepenger.

Etter at Europol beslagla infrastrukturen har flere dekrypteringsnøkler blitt funnet, noe som sparte bedrifter for opp mot 120 millioner euro i løsepenger.

FBI har i forbindelse med aksjonen utlovet en dusør på $10 millioner for tips som kan knytte Hive eller andre grupperinger til nasjonalstater.
Referanser
https://www.europol.europa.eu/media-press/new[...]
https://www.bleepingcomputer.com/news/securit[...]

Thursday, 26 January 2023

2023.01.26 - Nyhetsbrev

CISA: Pass opp for misbruk av programvare for fjerntilgang.

CISA: Pass opp for misbruk av programvare for fjerntilgang

CISA advarer mot pågående misbruk av programvare for fjerntilgang. Cyber-kriminelle lurer ansatte til å laste ned legitime applikasjoner, som AnyDesk og ScreenConnect, ved hjelp av eposter eller telefonoppringninger. Ofrene blir så lurt til å gi angriperne tilgang til PCene. Målet med angrepene er gjerne overføring av penger eller tyveri av brukernavn og passord til diverse tjenester. TSOC har i det siste sett eksempler på denne typen data-angrep også i Norge.
Referanser
https://www.cisa.gov/uscert/ncas/alerts/aa23-025a

Wednesday, 25 January 2023

2023.01.25 - Nyhetsbrev

Kritiske sårbarheter i VMware vRealize Log Insight. Apple iOS 16.3 kommer med støtte for hardware-sikkerhetsnøkler. Facebook utvider testingen av ende til ende kryptert Messenger-app. Internasjonal anti-ransomware-gruppe har startet opp.

Kritiske sårbarheter i VMware vRealize Log Insight

JustisCERT varsler om sårbarheter i VMware vRealize Log Insight. Totalt 4 CVEer ble publisert 24. januar 2023 hvor 2 er kategorisert som kritisk (CVE-2022-31703 og CVE 31704, begge med CVSS-score 9.8) og 1 som alvorlig (CVE-2022-31710 med CVSS-Score 7.5). De kritiske sårbarhetene gjør det mulig for en uautentisert angriper å legge til filer på en berørt enhet, noe som kan resultere i fjernkjøring av kode.

VMware har publisert nødvendige oppdateringer og mitigerende tiltak for støttede produkter.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Apple iOS 16.3 kommer med støtte for hardware-sikkerhetsnøkler

Apple slipper i sin seneste iOS-oppdatering støtte for å bruke sikkerhetsnøkler i form av hardware-nøkler. Disse nøklene ser ut som små minnepenner og bruker USB-C (med adapter) eller NFC (Near-Field Communication) for tilkobling til en iPhone. Med NFC holder det dermed at en har nøkkelen i nærheten av telefonen når en skal autentisere. Disse nøklene kan brukes som et sikrere alternativ i stedet for den vanlige 6-sifrede koden for to-faktor autentisering. Med en hardware-nøkkel sikrer en at innloggingen gjøres fra en enhet tilkoblet nøkkelen. Phishing-angrep blir dermed umulig.
Referanser
https://www.bleepingcomputer.com/news/apple/a[...]

Facebook utvider testingen av ende til ende kryptert Messenger-app

Meta sier at de har begynt å teste ende-til-ende kryptering i Messenger-appen globalt. Flere brukere kan vente seg at appen deres vil få denne oppgraderingen. Fram til nå er det bare enkelte brukere i utvalgte land som har fått tilgang til krypteringen. Samtidig melder de at det også kommer ny funksjonalitet, i form av temaer, emojis, aktiv-status osv.
Referanser
https://thehackernews.com/2023/01/facebook-in[...]

Internasjonal anti-ransomware-gruppe har startet opp

Den australske regjeringen melder at en tidligere annonsert internasjonal anti-ransomware gruppe offisielt har startet arbeidet sitt. Gruppen som kaller seg The International Counter Ransomware Task Force (ICRTF) er et samarbeid mellom 36 nasjoner og EU, og har som formål å forhindre spredning og innvirkningen ransomware-angrep har. De siste årene har ransomware vist seg å bli en større trussel mot nasjonal sikkerhet.

Initiativet har fem undergrupper: Resilience (ledet av Litauen og India), disruption (ledet av Australia), counter illicit finance (ledet av UK og Singapore), public-private partnership (ledet av Spania) og diplomacy (ledet av Tyskland).
Referanser
https://therecord.media/international-counter[...]

 
>