Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 14 April 2021

2021.04.14 - Nyhetsbrev

Patche-tirsdag for April: Microsoft, Adobe og Chrome. Myndigheter i USA benytter Exchange-bakdør til å slette bakdøren. IcedID tar over for Emotet.

Patche-tirsdag for April: Microsoft, Adobe og Chrome

Microsoft fikser 114 sårbarheter, der 19 er vurdert som kritiske. En av disse er en lokal rettighetseskalering som blir aktivt utnyttet. Det er også sluppet flere fikser for Exchange med høy CVSS score, og det anbefales at disse installeres så raskt som mulig. Exchange-sårbarhetene har blitt meldt til Microsoft av NSA.

Adobe slipper flere oppdateringer, blant annet for RoboHelp, Bridge og Photoshop.

Google slipper 2 oppdateringer til Chrome og melder at begge blir utnyttet i angrep. Patching anbefales!
Referanser
https://msrc-blog.microsoft.com/2021/04/13/ap[...]
https://www.bleepingcomputer.com/news/securit[...]
https://us-cert.cisa.gov/ncas/current-activit[...]
https://chromereleases.googleblog.com/2021/04[...]

Myndigheter i USA benytter Exchange-bakdør til å slette bakdøren

FBI har aktivt gått etter bakdører som ble installert på amerikanske systemer etter utenyttelse av Exchange-sårbarhetene ProxyLogon i mars. De har benyttet bakdøren for å automatisk forsøke å fjerne bakdøren. Eierne av serverne som ble berørt ble ikke kontaktet først.
Referanser
https://www.justice.gov/usao-sdtx/pr/justice-[...]

IcedID tar over for Emotet

Etter at flere grupperinger har jobbet med å ta ned banktrojaneren Emotet de siste månedene, ser det ut til at trojaneren IcedID tar over tomrommet.
Referanser
https://threatpost.com/icedid-banking-trojan-[...]

Tuesday, 13 April 2021

2021.04.13 - Nyhetsbrev

0-dags sårbarhet i Google Chrome og Microsoft Edge delt på Twitter.

0-dags sårbarhet i Google Chrome og Microsoft Edge delt på Twitter

En indisk sikkerhetsforsker har delt eksempelkode (PoC) for en 0-dags sårbarhet som rammer Chromium-baserte nettlesere som Chrome og Edge. Feilen ligger i v8 Javascript-motoren som tegner opp nettsidene. Eksempelet som er lagt ut har ikke kode for å komme seg ut av Chromiums innebygde sandkasse. Exploit-koden er antakeligvis laget ved å analysere Googles patch til en svakhet som ble demonstrert ved Pwn2Own.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://thehackernews.com/2021/04/rce-exploit[...]
https://twitter.com/r4j0x00/status/1381643526[...]

Friday, 9 April 2021

2021.04.09 - Nyhetsbrev

APT 34, også kjent som OilRig fra Iran, returnerer med nye verktøy. Angripere øker bruken av sammarbeidsplatformer som Discord og Slack for å spre skadevare. Oppdateringer fra årets Pwn2Own-konkurranse.

APT 34, også kjent som OilRig fra Iran, returnerer med nye verktøy

Checkpoint har oppdaget en ny kampanje styrt av APT34 som antagelig angriper ett libanesisk mål. Dette er fordi en fil som ble lastet opp til VirusTotal kom fra Libanon. Etter at flere av APT34 sine verktøy ble lekket i 2019, har de fortsatt med å utvikle verktøyene sine for å unngå deteksjon. En av metodene denne APTen bruker for å spre skadevaren er gjennom direkte meldinger til målene på Linkedin. Checkpoint har gjort en analyse av skadevaren som ble lastet opp til VirusTotal i januar.
Referanser
https://research.checkpoint.com/2021/irans-ap[...]

Angripere øker bruken av sammarbeidsplatformer som Discord og Slack for å spre skadevare

Etter COVID-19 har det vært en økning i bruken av kommunikasjonsplatformer i bedrifter. Dette har medført at angripere også har økt misbruken av disse platformene for å infisere flere brukere. Disse platformene tillater angripere å dele skadevaren sin enklere og åpner også opp muligheter for mer målrettede phising-angrep. En stor årsak til dette er fordi brukere har lettere for å åpne og eller laste ned skadevare som blir delt i et kommunikasjonsrom som de stoler på. Talos Intelligense har tatt en gjennomgang av tre faser i et skadevare angrep. Dette innebærer levering av skadevaren, komponentinnhenting og C2 og data eksfiltrering.
Referanser
https://research.checkpoint.com/2021/irans-ap[...]

Oppdateringer fra årets Pwn2Own konkurranse

I løpet av den første dagen i Pwn2Own 2021 vant deltakerne 440 000 dollar etter å ha utnyttet tidligere ukjente sårbarheter for å hacke Microsofts Windows 10 OS, Exchange-mailserveren og Teams kommunikasjonsplattformen.

I løpet av den andre dagen på Pwn2Own hacket deltakere Microsofts Windows 10 OS to ganger, sammen med Google Chrome-nettleseren og Zoom-videokommunikasjonsplattformen.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Thursday, 8 April 2021

2021.04.08 - Nyhetsbrev

VISA: Hackere bruker i økende grad bakdører for å stjele kredittkort. Informasjon om 500 millioner LinkedIn-brukere selges online.

VISA: Hackere bruker i økende grad bakdører for å stjele kredittkort

VISA advarer om at trusselaktører i økende grad distribuerer bakdører på kompromitterte servere for å eksfiltrere kredittkortinformasjon stjålet fra nettbutikkunder.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Informasjon om 500 millioner LinkedIn-brukere selges online

Et arkiv som inneholder data som angivelig er samlet inn fra 500 millioner LinkedIn-profiler, har blitt lagt ut for salg på et populært hackerforum. Informasjon om 2 millioner av brukerne er lagt ut som en gratis prøvesmak av hackerne. Informasjonen er antakeligvis samlet inn via offentlig tilgjengelige data fra brukernes profiler.
Referanser
https://cybernews.com/news/stolen-data-of-500[...]

Wednesday, 7 April 2021

2021.04.07 - Nyhetsbrev

Løsepengergrupper får kunder av ofre til å presse på for å betale, og ny rapport detaljerer informasjon om aktive målrettede Cyber trusseler mot SAP.

Ny rapport detaljerer informasjon om aktive målrettede Cyber trusseler mot SAP

Onapsis og SAP har sluppet trusselinformasjon og rapport for å hjelpe SAP-brukere til å beskytte seg mot målrettede cyber-angrep mot SAP-installasjoner.
Referanser
https://blogs.sap.com/2021/04/06/active-cyber[...]

Løsepengergrupper får kunder av ofre til å presse på for å betale

Noen av de store løsepengegruppene har begynt å presse flere bedrifter til å betale løsepenger ved å sende eposter direkte til både kunder og partnere av offeret. I epostene står det at sensitive data om dem som kunder/brukere vil bli lekket. Mottakerne oppfordres videre til å legge press på offeret for løsepengevirus og få dem til å betale.
Referanser
https://krebsonsecurity.com/2021/04/ransom-ga[...]

Tuesday, 6 April 2021

2021.04.06 - Nyhetsbrev

Ubiquiti har bagatellisert datainnbrudd, FBI og CISA advarer mot statlige hackere som angriper Fortinet FortiOS-servere, VMware har gitt ut sikkerhetsoppdatering, Cybersikkerhetsforskere angrepet, BazarLoader jobber med tvilsomme call-centere og 533 millioner Facebook brukere har fått telefonnummeret sitt lekket.

Ubiquiti bagatelliserte datainnbrudd

Ubiquiti Networks, en større leverandør av blant annet nettskytilknyttede sikkerhetskameraer, videoopptakere og nettverksutstyr, har kommet ut for hardt vær. I januar i år opplyste selskapet at det var blitt berørt av at en tredjeparts nettskyleverandør hadde eksponert innloggingsinformasjon til kundekontoer.

Nå har en varsler kommet med en helt ny versjon av hva som egentlig skjedde. Den har han fortalt til den kjente sikkerhetsbloggeren Brian Krebs, men angivelig også til Det europeiske datatilsynet.
Referanser
https://www.digi.no/artikler/varsler-global-i[...]
https://krebsonsecurity.com/2021/03/whistlebl[...]

FBI og CISA advarer mot statlige hackere som angriper Fortinet FortiOS-servere

Federal Bureau of Investigation (FBI) og Cybersecurity and Infrastructure Security Agency (CISA) advarer mot Advanced Persistent Threat (APT) aktører som målretter seg mot Fortinet FortiOS-servere ved å utnytte svakheter som CVE-2018-13379, CVE-2020-12812 og CVE-2019-5591. Svakhetene brukes til å få fotfeste hos både statlige organisasjoner og kommersielle firmaer. Installerte bakdører kan bli brukt i fremtidlige angrep.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

VMware har utgitt sikkerhetsoppdatering for deres Carbon Black Cloud Workload Appliance

Svakheten som blir fikset tillot en angriper å ta over det berørte systemet. Man bør derfor lese gjennom VMSA-2021-005 og installere de nødvendige oppdateringene.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

Cybersikkerhetsforskere blir angrepet av hackere forbundet med Nord-Korea

Sikkerhetsforskere blir angrepet av hackere forbundet med Nord Korea gjennom sosiale medier. Google har nå kommet med en oppdatering rundt denne vedvarende kampanjen.

Det er blitt brukt forfalskede Twitter og LinkedIn brukere for å komme i kontakt med ofrene. Hackerene har også laget en nettside for et falsk sikkerhetsfirma ved navn SecuriElite, som gir seg ut for å tilby offensive sikkerhetstjenester. Siden forsøkte å kompromittere besøkende ved hjelp av svakheter i nettlesere.
Referanser
https://blog.google/threat-analysis-group/upd[...]

BazarLoader bruker tvilsomme call-center for å lure ofrene

Den kjente malware gruppen BazarLoader jobber med tvilsomme call-center for å lure ofrene til å laste ned et infisert dokument. Phishing-mailene ber personer om å ringe et nummer for å oppgradere et abonnement eller liknende. Når personene ringer nummeret, blir de guidet til å laste ned et Office-dokument og deretter slå av Office sikkerhetsfunksjoner for å tillate makroer å kjøre. Makroen laster deretter ned malware og infiserer maskinen. Denne måten å infiltrere personer på er referert til som BazarCall or BazaCall.
Referanser
https://therecord.media/malware-uses-undergro[...]

533 millioner Facebook brukere har fått telefonnummeret sitt lekket på et hackerforum

Telefonnummeret til 533 millioner Facebook-kontoer er lekket på et hackerforum, gratis. Det mistenkes at dette er data som var til salgs sommeren 2020, men nå er utgitt gratis. Data inneholder bl.a. Facebook ID, navn, kjønn, lokasjon, arbeidsforhold, fødselesdato og epost-adresser. Dataene har blitt lastet ned fra Facebook i 2019 gjennom svakheter som nå har blitt fikset.

Du kan sjekke om ditt telefonnummer er med i listene ved hjelp av tjenesten haveibeenpwned.com.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://haveibeenpwned.com/

Wednesday, 31 March 2021

2021.03.31 - Nyhetsbrev

Data fra hackerangrep mot Østre Toten kan ha blitt lagt ut på det mørke nettet

Data fra hackerangrep mot Østre Toten kan ha blitt lagt ut på det mørke nettet

Kommunen ble rammet av et angrep i Januar hvor hackere krypterte data på kommunens datasystem. Da krevde hackerne løsepenger, men dette ble ikke betalt. Nå har hackerne informert om at data er blitt lagt ut på det mørke nettet. Dette er trolig for å presse kommunen til å betale løsepenger.
Referanser
https://www.nrk.no/innlandet/info-som-hackara[...]