Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 26 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.26

Populær Chrome-adblocker kan misbrukes til skjult script-injeksjon. Ny fileless bakdør utnyttes i ransomware‑relaterte kampanjer.

Populær Chrome-adblocker kan misbrukes til skjult script-injeksjon

En populær Chrome-utvidelse,“Adblock for YouTube” med over 10 millioner installasjoner, inneholder funksjonalitet som kan misbrukes til å kjøre vilkårlig JavaScript på brukernes enheter. sikkerhetseksperter har avdekket at utvidelsen kan aktiveres via server-side konfigurasjon til å injisere kode på alle nettsteder, uten behov for oppdatering eller godkjenning fra Chrome Web Store.

Dette innebærer at utvidelsen i praksis kan lese innhold fra nettsider, stjele data og utføre handlinger på vegne av brukeren i påloggede sesjoner. Selv om det per nå ikke finnes bevis for at denne kapasiteten er brukt til ondsinnet aktivitet, representerer selve muligheten en betydelig risiko. Utvidelsen har historisk hatt koblinger til andre adblock-tillegg som senere er fjernet fra Chrome Web Store etter å ha blitt klassifisert som skadevare. Samtidig viser analysen at mekanismer for fjernstyrt script injection har eksistert siden februar 2025.

Anbefaling:

Brukere bør vurdere å fjerne eller erstatte utvidelsen med mer pålitelige alternativer, og generelt begrense antall nettleserutvidelser med omfattende tillatelser.

Ny fileless bakdør utnyttes i ransomware‑relaterte kampanjer

En ny og avansert bakdør kalt Mistic brukes i pågående angrep mot organisasjoner innen blant annet forsikring, utdanning, IT og konsulenttjenester. Angrepene knyttes til en initial access broker kjent som KongTuke, som opererer med økonomisk motiv og ofte selger tilgang videre til andre aktører, inkludert ransomware‑grupper.

Mistic leveres ofte sammen med ModeloRAT via ulike ClickFix‑kampanjer, der brukere lures til å kjøre kommandoer manuelt, for eksempel under påskudd av en sikkerhetsskanning eller via ondsinnede nettleserutvidelser. Når den først er installert, kjører bakdøren hovedsakelig i minnet (fileless), og bruker blant annet DLL side‑loading via legitime Microsoft‑verktøy for å unngå deteksjon.

Bakdøren gir angripere omfattende kontroll over systemet, inkludert filoperasjoner, kjøring av kode fra C2, og dynamisk utvidelse via Beacon Object Files. Den har også en kill switch, som kan slette spor og avslutte seg selv. Siden den ikke lagrer filer på disk, er Mistic godt egnet for å gi skjult og langvarig tilgang

Anbefaling:

Vær særlig oppmerksom på sosial manipulering som får brukere til å kjøre kommandoer manuelt. Overvåk mistenkelig bruk av legitime verktøy, særlig side‑loading og uvanlig prosesskjøring i minnet. Segmentering av nettverk og streng tilgangskontroll kan begrense skade ved kompromittering.

Posted by tsoc at 12:04 0 comments

Thursday, 25 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.25

Cisco Catalyst SD-WAN-nulldagssårbarhet gir root-tilgang gjennom kommandoinjeksjon. Ny Mistic-bakdør knyttet til KongTuke i ClickFix og ModeloRAT kampanjer og gir skjult tilgang til bedriftsnettverk.

Cisco Catalyst SD-WAN-nulldagssårbarhet gir root-tilgang gjennom kommandoinjeksjon

En aktivt utnyttet nulldagssårbarhet i Cisco Catalyst SD-WAN Manager gjør det mulig å kjøre vilkårlige kommandoer som root på berørte systemer. Sårbarheten finnes i kommandolinjegrensesnittet (CLI), der en bruker med netadmin-rettigheter kan laste opp en spesiallaget fil som utløser kommandoinjeksjon. Feilen påvirker Cisco Catalyst SD-WAN Manager og gir full root-tilgang til systemet ved vellykket utnyttelse. Cisco bekreftet at sårbarheten ble utnyttet i faktiske angrep på tidspunktet for publisering, og det var da ikke tilgjengelig noen sikkerhetsoppdatering for å rette feilen. Cisco publiserte indikatorer på kompromittering (IOC-er) og anbefalte gjennomgang av logger for å identifisere mistenkelig aktivitet.

Anbefaling:

Følg Ciscos IOC-veiledning og gjennomgå SD-WAN Manager-logger for tegn på uautorisert root-aktivitet og mistenkelige filopplastinger.

Sårbarheter:

Ny Mistic-bakdør knyttet til KongTuke i ClickFix og ModeloRAT kampanjer og gir skjult tilgang til bedriftsnettverk

Mistic er en ny bakdør som har blitt brukt i økonomisk motiverte angrep siden april 2026 mot organisasjoner innen forsikring, utdanning, IT og profesjonelle tjenester. Skadevaren er knyttet til KongTuke, også kjent som Woodgnat, en aktør som spesialiserer seg på å skaffe og videreselge tilgang til kompromitterte bedriftsnettverk. Mistic ble observert distribuert sammen med ModeloRAT i minst én hendelse, noe som styrker koblingen til KongTuke. Bakdøren lastes inn ved DLL side-loading gjennom den legitime prosessen MpExtMs.exe og benytter komponenter som etterligner Microsoft-sikkerhetsprogramvare. Den kan kjøre payload direkte i minnet uten å skrive filer til disk, utføre filoperasjoner, kommunisere med kontrollservere og slette seg selv for å redusere spor etter kompromittering. Funnene kobler Mistic til miljøer der tilgang senere kan brukes av løsepengegrupper som Qilin, Interlock, Rhysida, Akira, 8Base og Black Basta.

Anbefaling:

Overvåk DLL side-loading via MpExtMs.exe og aktivitet som innebærer minnebasert kjøring av nyttelast uten filer på disk.

Posted by tsoc at 12:58 0 comments

Wednesday, 24 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.24

Cisco Unified CM-sårbarhet CVE-2026-20230 utnyttes nå i angrep. CISA legger til Ubiquiti UniFi OS-sårbarheter i katalog over aktivt utnyttede sårbarheter. Hackere bruker planlagt oppgave «GoogleErrorReport» for vedvarende tilgang i Dropping Elephant-kampanje.

Cisco Unified CM-sårbarhet CVE-2026-20230 utnyttes nå i angrep

En aktivt utnyttet sårbarhet i Cisco Unified Communications Manager (Unified CM) og Cisco Unified Communications Manager Session Management Edition (Unified CM SME) gjør det mulig for en uautentisert angriper å utføre SSRF angrep og oppnå root rettigheter på berørte systemer. Sårbarheten ligger i WebDialer komponenten og skyldes mangelfull validering av spesifikke HTTP forespørsler. Ved å sende spesiallagde HTTP forespørsler kan angriperen skrive filer til det underliggende operativsystemet, som deretter brukes til privilegieeskalering til root. Defused observerte aktiv utnyttelse fra én IP adresse hvor korrekt konstruerte file://-payloads ble brukt til å opprette filer på enhetene. Den observerte koden skrev blant annet filen /tmp/cve-2026-20230-test.txt for å identifisere sårbare systemer. Cisco publiserte sikkerhetsoppdateringer 3. juni 2026, og sårbarheten krever at WebDialer tjenesten er aktivert for å kunne utnyttes.

Anbefaling:

Oppgrader til en Cisco-versjon som inneholder rettelsen, eller deaktiver WebDialer-tjenesten dersom oppgradering ikke kan gjennomføres umiddelbart.

Sårbarheter:

CISA legger til Ubiquiti UniFi OS-sårbarheter i katalog over aktivt utnyttede sårbarheter

Flere kritiske sårbarheter i Ubiquiti UniFi OS er lagt til av CISA i Known Exploited Vulnerabilities katalogen etter bevis på aktiv utnyttelse. Sårbarhetene påvirker UniFi OS enheter og UniFi OS Server, og omfatter feil i tilgangskontroll, katalogtraversering og kommandoinjeksjon. CVE-2026-34908 gjør det mulig å utføre uautoriserte endringer uten autentisering, mens CVE-2026-34909 gir tilgang til filer på det underliggende operativsystemet gjennom en path traversal feil. CVE-2026-34910 muliggjør kommandoinjeksjon etter at de andre sårbarhetene er brukt til å omgå autentisering. Når sårbarhetene kombineres kan en angriper oppnå ekstern kodekjøring med root rettigheter på berørte systemer. Konsekvensene inkluderer full administrativ kontroll, tilgang til lagrede hemmeligheter, manipulering av administratorkontoer og kompromittering av administrerte nettverksenheter.

Anbefaling:

Oppgrader berørte UniFi OS-systemer til leverandørens korrigerte versjoner så raskt som mulig.

Hackere bruker planlagt oppgave «GoogleErrorReport» for vedvarende tilgang i Dropping Elephant-kampanje

Dropping Elephant har lansert en oppdatert kampanje som bruker en ondsinnet Windows snarvei (GRES3001.lnk) forkledd som et PDF dokument for å installere en fjernstyringstrojaner (RAT). Når filen åpnes, starter den et PowerShell skript som laster ned flere komponenter fra chinagreenenergy[.]org, som inkludert Fondue.exe, APPWIZ.cpl og en kryptert nyttelast som dekrypteres og lastes direkte inn i minnet via Donut loader. RAT en benytter DLL side loading gjennom Fondue.exe og APPWIZ.cpl, og kjøres uten å skrive den endelige nyttelasten til disk. For persistens oppretter skadevaren en planlagt oppgave kalt «GoogleErrorReport» som kjører Fondue.exe hvert minutt fra C:\Users\Public, slik at infeksjonen automatisk gjenopprettes etter avbrudd. RAT en samler systeminformasjon, tar skjermbilder, laster opp og ned filer og mottar kommandoer fra gcl-power[.]org over HTTPS på port 443. Koden inneholder kontrollflyt obfuskering, oppdager debugger og sandbox prosesser, og manipulerer AMSI, WLDP og ETW for å redusere muligheten for analyse og deteksjon. All kommunikasjon krypteres med Salsa20 og Base64-koding.

Anbefaling:

Overvåk og undersøk planlagte oppgaver med navnet «GoogleErrorReport» som kjører binærfiler fra C:\Users\Public

Posted by tsoc at 12:11 0 comments

Tuesday, 23 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.23

Backdoor i WordPress Pro-plugins etter leverandør kompromittert.

Backdoor i WordPress Pro-plugins etter leverandør kompromittert

Flere betalte WordPress plugins fra ShapedPlugin ble kompromittert i et supply chain angrep der angripere klarte å manipulere leverandørens build og distribusjonssystem. Ondsinnet kode ble injisert i Pro versjoner distribuert via den offisielle oppdateringskanalen (EDD). Følgende plugins er berørt: Product Slider Pro for WooCommerce (før 3.5.4), Real Testimonials Pro (3.2.5) og Smart Post Show Pro (før 4.0.2). Gratisversjonene på WordPress.org er ikke påvirket.

Den kompromitterte koden laster inn en skjult loader på alle admin sider, som henter en payload fra en ekstern server, installerer en falsk plugin og aktiverer den. Denne pluginen skjuler seg i admin grensesnittet, stjeler legitimasjon og 2FA koder i klartekst, og etablerer persistens gjennom blant annet en REST endepunkt med støtte for vilkårlig filskriving og web shell funksjonalitet. Den samler også sensitiv data som innholdet i wp-config.php, adminbrukere, e-postinnstillinger og WooCommerce ordrer før den sletter spor.

Anbefaling:

Oppdater til sikre versjoner når tilgjengelig, tilbakestill alle passord, regenerer 2FA, gjennomgå administratorbrukere, og kontroller e-post og SMTP konfigurasjoner for kompromittering.

Posted by tsoc at 12:11 0 comments

Monday, 22 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.22

Uoppdaterbar «usbliter8» utnyttelse bryter Apples SecureROM oppstartskjede på A12- og A13-brikker. Hackere utnytter Gravity SMTP feil i WordPress for å hente ut API nøkler.

Uoppdaterbar «usbliter8» utnyttelse bryter Apples SecureROM oppstartskjede på A12- og A13-brikker

Forskerne i Paradigm Shift har publisert en fungerende utnyttelse kalt usbliter8 som gir vilkårlig kodekjøring i SecureROM på Apples A12- og A13-brikker. Feilen skyldes en maskinvarefeil i Synopsys DWC2 USB-kontrolleren der håndteringen av USB Setup pakker via DMA kan føre til en repeterbar buffer underflyt som flytter skrivepekeren bakover i minnet. På berørte enheter er USB DART konfigurert i bypass modus i SecureROM, noe som gjør det mulig å overskrive vilkårlig SRAM og oppnå kontroll over kjøringen. Utnyttelsen krever fysisk tilgang til enheten, DFU-modus og en RP2350-basert mikrokontroller koblet via USB, og fullføres før Apples signerte oppstartskjede lastes. På A12 oppnås kontroll ved å overskrive en lagret link registerverdi, mens A13 krever omgåelse av Pointer Authentication (PAC) gjennom flere steg som manipulerer DART-relaterte strukturer og avbruddshåndterere. Etter vellykket utnyttelse kan angriperen starte usignerte iBoo avbilder uten signaturkontroll og omgå Apples tillitskjede. Ingen kompromittering av Secure Enclave er demonstrert, men forskerne peker på at BootROM kontroll kan åpne nye angrepsveier mot denne komponenten. Per 19. juni 2026 er ingen aktiv utnyttelse rapportert offentlig, og ingen programvareoppdatering kan rette feilen fordi SecureROM er permanent programmert i maskinvaren.

Anbefaling:

Kartlegg og erstatt A12-, A13-, S4- og S5-baserte enheter i sensitive miljøer med A14-baserte eller nyere enheter.

Hackere utnytter Gravity SMTP feil i WordPress for å hente ut API nøkler

Et aktivt utnyttet sårbarhet i Gravity SMTP pluginen for WordPress eksponerer sensitiv konfigurasjonsinformasjon fra nettsteder som kjører sårbare versjoner av pluginen. Sårbarheten, CVE-2026-4020, skyldes en REST API endepunkt som er tilgjengelig uten autentisering og returnerer en omfattende systemrapport med serverdetaljer, WordPress konfigurasjon, aktive plugins og lagrede integrasjonshemmeligheter. Angripere kan hente ut API nøkler, SMTP legitimasjon, OAuth tokens og andre hemmeligheter gjennom en enkel HTTP forespørsel mot /wp-json/gravitysmtp/v1/tests/mock-data. Feilen påvirker Gravity SMTP versjon 2.1.4 og eldre, og pluginen er installert på rundt 100 000 WordPress nettsteder. Det er observert omfattende utnyttelse i praksis, med millioner av blokkerte angrepsforsøk og hundrevis av observerte angriper IPer. Eksponerte legitimasjonsdata kan brukes til misbruk av e-posttjenester, utsending av spam, phishing eller videre kompromittering av berørte miljøer.

Anbefaling:

Oppgrader Gravity SMTP til versjon 2.1.5 eller nyere og roter alle SMTP passord, API nøkler og OAuth tokens som har vært konfigurert i pluginen.

Sårbarheter:

Posted by tsoc at 12:05 0 comments

Friday, 19 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.19

Skjult i Teams: DragonForce misbruker Microsoft Teams-reléer for å skjule bakdører.

Skjult i Teams: DragonForce misbruker Microsoft Teams-reléer for å skjule bakdører

DragonForce angripere skjulte kommando og kontrolltrafikk inne i Microsoft Teams sin reléinfrastruktur under et ransomware angrep mot et større amerikansk selskap. De benyttet en spesialutviklet Go basert RAT kalt Backdoor.Turn, som er den første kjente skadevaren som misbruker Microsoft Teams sine TURN reléservere for å maskere C2 trafikk. Backdoor.Turn henter et anonymt Teams besøkstoken fra Microsofts Skype baserte identitetstjenester, etablerer forbindelse via en legitim TURN relétjeneste og oppretter deretter en QUIC sesjon mot angripernes server. For nettverksforsvarere fremstår trafikken som legitime forbindelser til Microsoft Teams servere. Angriperne oppholdt seg i miljøet mellom én og to måneder. Kampanjen benyttet også Bring Your Own Vulnerable Driver (BYOVD) og en tidligere ukjent utnyttelse av Huawei driveren HWAuidoOs2Ec.sys for å omgå sikkerhetsmekanismer.

Anbefaling:

Overvåk og analyser uvanlig Microsoft Teams relatert nettverkstrafikk som etablerer vedvarende forbindelser via TURN reléer.

Posted by tsoc at 12:18 0 comments

Thursday, 18 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.18

«FortiBleed» eksponerer VPN-legitimasjon for titusenvis av Fortinet-enheter.

«FortiBleed» eksponerer VPN-legitimasjon for titusenvis av Fortinet-enheter

En omfattende datasamling kalt «FortiBleed» inneholder tilsynelatende gyldige VPN- og admin-legitimasjoner for rundt 74 000 Fortinet/FortiGate-enheter globalt. Datasettet, oppdaget av sikkerhetsforsker Bob Diachenko, inkluderer brukernavn, e‑postadresser og klartekstpassord knyttet til over 21 000 organisasjoner i 194 land. Flere store selskaper og kritiske sektorer er representert, og enkelte legitimasjoner er bekreftet som ekte.

Ifølge funnene stammer dataene trolig fra en langvarig credential-harvesting-kampanje med massiv brute force-aktivitet mot blant annet FortiGate SSL VPN og Microsoft SQL Server. Angriperne skal også ha fanget opp autentiseringshashes, knekt dem med GPU-klynger og brukt tilgangene til lateral bevegelse inn i interne Active Directory-miljøer. Datasettet inneholder detaljerte logger over vellykkede innbrudd og informasjon om målorganisasjoner, noe som tyder på strukturert og vedvarende aktivitet.

Opprinnelsen til lekkasjen er ikke fullt avklart. Fortinet sier selv at dataene trolig er en samling fra tidligere hendelser og bruteforce-angrep, og ikke knyttet til en ny sårbarhet. Likevel viser analyser at mange av de kompromitterte enhetene fortsatt er tilgjengelige på nett, ofte med eksponerte administrasjonsgrensesnitt.

Berørte virksomheter bør umiddelbart rotere passord, aktivere multifaktorautentisering (MFA), gjennomgå logger for mistenkelig aktivitet og kartlegge eventuell kompromittering av brukerkontoer. Det finnes også verktøy for å sjekke om man er påvirket, "Fortibleed Lookup".

Posted by tsoc at 12:25 0 comments
Subscribe to: Posts (Atom)
 
>