Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 24 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.24

Bitwarden CLI kompromittert i pågående Checkmarx forsyningskjedeangrep. UNC6692 utnytter Microsoft Teams til Helpdesk Phishing og sprer SNOW skadevare.

Bitwarden CLI kompromittert i pågående Checkmarx forsyningskjedeangrep

Bitwarden CLI har blitt kompromittert som del av en pågåendeforsyningskjedeangrep kampanje knyttet til Checkmarx, hvor en ondsinnet versjon @bitwarden/cli@2026.4.0 ble publisert via npm. Angrepet utnyttet en kompromittert GitHub Actions komponent i CI/CD pipeline, og inkluderte skadelig kode i filen bw1.js. Skadevare kjørte via en preinstall hook og stjal sensitiv informasjon som GitHub og npm tokens, SSH nøkler, miljøvariabler og CI/CD hemmeligheter, før data ble eksfiltrert til domenet audit.checkmarx[.]cx eller til offentlige GitHub repositories. Angrepet kunne også bruke stjålne tokens til å injisere ondsinnede workflows i andre repositories og spre seg videre som en slags forsyningskjede orm. Hendelsen fant sted i et begrenset tidsrom 22. april 2026 (ca. 1,5 time), og Bitwarden bekrefter at ingen brukerdata eller vault data ble kompromittert. Kampanjen er knyttet til en bredere trusselaktør aktivitet (muligens TeamPCP) og representerer en avansert utvikling av tidligere forsyningskjedeangrep, inkludert målretting av AI utviklingsverktøy og CI/CD miljøer.

Anbefaling:

Fjern umiddelbart versjon @bitwarden/cli@2026.4.0 dersom den er installert. Roter alle potensielt eksponerte hemmeligheter, inkludert GitHub, npm og cloud tokens. Gjennomgå CI/CD pipelines for uautoriserte workflows og aktivitet. Implementer streng kontroll på avhengigheter og bruk verktøy for å validere integriteten til pakker. Overvåk GitHub repositories for uvanlige commits eller eksfiltrering av data.

UNC6692 utnytter Microsoft Teams til Helpdesk Phishing og sprer SNOW skadevare

En ny trusselaktør, UNC6692, bruker avansert sosial manipulering via Microsoft Teams for å kompromittere virksomheter. Angrepet starter med e-postbombing for å skape panikk, før angriperen kontakter offeret via Teams og utgir seg for å være IT support. Offeret blir deretter lurt til å installere en falsk “Mailbox Repair and Sync Utility”, som i realiteten laster ned et AutoHotkey script fra AWS. Scriptet installerer en ondsinnet nettleserutvidelse (SNOWBELT) i Microsoft Edge, som fungerer som bakdør og laster ned flere komponenter i SNOW skadevare familien, inkludert SNOWGLAZE (tunnelering) og SNOWBASIN (RCE og persistens). Angriperne kan deretter stjele brukerdetaljer, utføre lateral bevegelse via teknikker som "Pass-the-Hash", hente LSASS minne, og eksfiltrere data via legitime verktøy som Rclone og LimeWire. Kampanjen retter seg særlig mot ledere og nøkkelpersonell, og misbruker legitime skytjenester for å skjule aktivitet og omgå sikkerhetsfiltre.

Anbefalinger: Implementer strenge verifiseringsrutiner for IT support via Teams og begrens ekstern kommunikasjon i plattformen. Tren ansatte i å gjenkjenne sosial manipulering og phishing. Begrens bruk av fjernstyringsverktøy og overvåk installasjon av nettleserutvidelser. Hardening av PowerShell og overvåking av uvanlig aktivitet er kritisk. Overvåk også bruk av legitime verktøy som Rclone og uvanlig trafikk mot skytjenester.

Posted by tsoc at 12:08 0 comments

Thursday, 23 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.23

Microsoft publiserer sikkerhetsoppdateringer for kritisk ASP.NET sårbarhet. Selvspredende orm rammer flere legitime npm-pakker.

Microsoft publiserer sikkerhetsoppdateringer for kritisk ASP.NET sårbarhet

Microsoft har publisert en hasteoppdatering utenfor den vanlige patchesyklusen for å rette sårbarheten CVE-2026-40372 i ASP.NET Core Data Protection. Sårbarheten skyldes feilvalidering av HMAC i krypterte payloads. Dette kan gjøre det mulig for en uautentisert angriper å forfalske autentiseringscookies og eskalere privilegier. Microsoft har rettet dette i versjon 10.0.7, men advarer om at tokens som allerede ble legitimt signert som følge av angrep under den sårbare perioden, fortsatt kan være gyldige dersom nøkkelringen ikke roteres.

Sårbarheter:

Selvspredende orm rammer flere legitime npm-pakker

En ny supply chain-kampanje omtalt som CanisterSprawl har kompromittert flere legitime npm-pakker og bruker en selvpropagerende orm for å stjele hemmeligheter fra utviklermiljøer og deretter spre seg videre ved å misbruke stjålne npm-tokener. Skadevaren kjøres via postinstall, samler inn diverse nøkler, .env filer og shell-historikk. Den forsøker også å hente data fra Chromium-baserte nettlesere samt kryptowallets. Data eksfiltreres så til et webhook-endepunkt og en ICP-canister. Kampanjen skiller seg ut fordi den ikke bare stjeler legitimasjon, men også inneholder logikk for å publisere nye ondsinnede pakkeversjoner med infisert postinstall ved hjelp av de stjålne publiseringstokenene.

Posted by tsoc at 12:05 0 comments

Wednesday, 22 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.22

CISA varsler om aktivt utnyttet SD WAN sårbarhet. Ny macOS-trussel: ClickFix-angrep stjeler passord og kryptolommebøker.

CISA varsler om aktivt utnyttet SD WAN sårbarhet

CISA har lagt til Cisco Catalyst SD WAN Manager sårbarheten CVE-2026-20133 (CVSS v3 score 7,5) i sin KEV-katalog (Known Exploited Vulnerabilities) etter bevis på aktiv utnyttelse. Cisco publiserte en fiks for feilen i slutten av februar 2026, men det er framdeles mange systemer uten sikkerhetsoppdateringene. Sårbarheten skyldes utilstrekkelige adgangskontroller mot filsystemet, som gjør at en uautentisert angriper kan lese sensitiv informasjon fra det underliggende operativsystemet via API-kall mot en upatchet enhet. Det anbefales at sikkerhetsoppdateringer installeres.

Sårbarheter:

Ny macOS-trussel: ClickFix-angrep stjeler passord og kryptolommebøker

En ny bølge av såkalte ClickFix-angrep retter seg mot macOS-brukere og sprer en avansert AppleScript-basert infostealer. Angrepet lurer brukere til å kjøre skadelige kommandoer selv, ofte via falske CAPTCHA-sider eller “feilrettinger”.

Ifølge Netskope Threat Labs utnytter kampanjen sosial manipulering for å få brukeren til å lime inn en skjult curl-kommando via Spotlight. Når kommandoen kjøres, lastes skadevare ned i bakgrunnen og begynner å samle inn sensitiv informasjon.

Skadevaren er særlig omfattende: Den retter seg mot minst 14 nettlesere, 16 kryptolommebøker og over 200 nettleserutvidelser. Blant dataene som stjeles er passord, sesjonscookies, autofyll-data og kredittkortinformasjon. I tillegg forsøker den å hente ut innhold fra macOS Keychain.

Et ekstra alvorlig element er at brukeren presses til å oppgi systempassordet sitt via en falsk, men svært troverdig macOS-dialogboks. Denne boksen kan ikke lukkes og fortsetter å dukke opp til korrekt passord blir skrevet inn.

Angrepene er primært observert mot finanssektoren i Asia, men teknikken kan enkelt ramme brukere globalt. Både Windows og macOS maskiner er sårbare, men nyere versjoner av macOS har fått innebygde varsler som kan stoppe slike angrep.

Anbefalinger til brukere:

  • Oppdater til nyeste versjon av macOS for å få innebygde sikkerhetsvarsler

  • Unngå å lime inn kommandoer i Terminal eller Spotlight fra ukjente kilder

  • Vær skeptisk til CAPTCHA-sider som ber deg utføre handlinger på egen maskin

  • Bruk tofaktorautentisering (2FA) der det er mulig

  • Installer og oppdater sikkerhetsprogramvare som kan oppdage infostealers

  • Vurder å bruke separate passordhvelv og unngå lagring av sensitive data i nettlesere

Posted by tsoc at 12:27 0 comments

Tuesday, 21 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.21

Hackere bruker MiningDropper til å levere infostealer, Remote Access Torjanere og skadelig programvare for banktjenester på Android. Vercel-brudd koblet til infostealer-infeksjon hos Context.ai.

Hackere bruker MiningDropper til å levere infostealer, Remote Access Torjanere og skadelig programvare for banktjenester på Android

En aktiv Android malwarekampanje bruker rammeverket MiningDropper som en flertrinns dropper for å levere sekundærlaster som infostealers, Remote Access Trojanere, banktrojanere og i noen tilfeller kryptominere. Kampanjen sprer seg via phishing-sider, falske nettsteder og lenker i sosiale medier, ofte forkledd som legitime apper, banker, telekomtjenester og transporttjenester. Ifølge forskere er aktiviteten observert i India, Europa, Latin Amerika og Asia, med ulike kampanjer rettet både mot datatyveri og fjernstyring av kompromitterte enheter. Trusselen er særlig alvorlig fordi den kombinerer sosial manipulering med modulær malwareleveranse som gjør videre skadevareutplassering fleksibel og vanskeligere å oppdage.

Anbefaling:

Unngå sidelasting av APK-filer fra uoffisielle kilder, håndhev installasjon kun fra betrodde app-butikker, overvåk Android-enheter for ukjente apper og uvanlig nettverkstrafikk, og styrk brukerbevissthet rundt phishing og falske applikasjoner.

Vercel-brudd koblet til infostealer-infeksjon hos Context.ai

En pågående analyse som knytter Vercel-bruddet til en sannsynlig kompromittering via en infostealer-infeksjon hos tredjepartsleverandøren Context.ai. Ifølge Hudson Rock skal en ansatt med sensitive tilganger ha blitt infisert med Lumma stealer i februar 2026, angivelig etter nedlasting av ondsinnede Roblox-relaterte “auto-farm”-skript og eksekverbare filer. Denne infeksjonen skal ha eksponert virksomhetskritiske legitimasjoner, inkludert tilgang til Google Workspace, Supabase, Datadog, Authkit og Vercel-administrative ressurser. Artikkelen peker på at denne kompromitteringen kan ha gitt trusselaktører, omtalt som ShinyHunters, et initialt tilgangspunkt som muliggjorde videre eskalering og potensielt inntrenging i Vercels infrastruktur.

Det understrekes at dette fremstår som en supply chain-relatert hendelse der svakheten ikke nødvendigvis lå hos Vercel direkte, men via kompromittert tredjepartstilgang. Artikkelen bygger på korrelasjon mellom infostealer-telemetri, kompromitterte tilgangslogger og observerte administrative tilganger, men presenterer dette som etterretningsbaserte funn og sannsynlig årsakssammenheng, ikke endelig offentlig bekreftet root cause.

Posted by tsoc at 12:28 0 comments

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.21

Hackere bruker MiningDropper til å levere infostealer, Remote Access Torjanere og skadelig programvare for banktjenester på Android. Vercel-brudd koblet til infostealer-infeksjon hos Context.ai.

Hackere bruker MiningDropper til å levere infostealer, Remote Access Torjanere og skadelig programvare for banktjenester på Android

En aktiv Android malwarekampanje bruker rammeverket MiningDropper som en flertrinns dropper for å levere sekundærlaster som infostealers, Remote Access Trojanere, banktrojanere og i noen tilfeller kryptominere. Kampanjen sprer seg via phishing-sider, falske nettsteder og lenker i sosiale medier, ofte forkledd som legitime apper, banker, telekomtjenester og transporttjenester. Ifølge forskere er aktiviteten observert i India, Europa, Latin Amerika og Asia, med ulike kampanjer rettet både mot datatyveri og fjernstyring av kompromitterte enheter. Trusselen er særlig alvorlig fordi den kombinerer sosial manipulering med modulær malwareleveranse som gjør videre skadevareutplassering fleksibel og vanskeligere å oppdage.

Anbefaling:

Unngå sidelasting av APK-filer fra uoffisielle kilder, håndhev installasjon kun fra betrodde app-butikker, overvåk Android-enheter for ukjente apper og uvanlig nettverkstrafikk, og styrk brukerbevissthet rundt phishing og falske applikasjoner.

Vercel-brudd koblet til infostealer-infeksjon hos Context.ai

En pågående analyse som knytter Vercel-bruddet til en sannsynlig kompromittering via en infostealer-infeksjon hos tredjepartsleverandøren Context.ai. Ifølge Hudson Rock skal en ansatt med sensitive tilganger ha blitt infisert med Lumma stealer i februar 2026, angivelig etter nedlasting av ondsinnede Roblox-relaterte “auto-farm”-skript og eksekverbare filer. Denne infeksjonen skal ha eksponert virksomhetskritiske legitimasjoner, inkludert tilgang til Google Workspace, Supabase, Datadog, Authkit og Vercel-administrative ressurser. Artikkelen peker på at denne kompromitteringen kan ha gitt trusselaktører, omtalt som ShinyHunters, et initialt tilgangspunkt som muliggjorde videre eskalering og potensielt inntrenging i Vercels infrastruktur.

Det understrekes at dette fremstår som en supply chain-relatert hendelse der svakheten ikke nødvendigvis lå hos Vercel direkte, men via kompromittert tredjepartstilgang. Artikkelen bygger på korrelasjon mellom infostealer-telemetri, kompromitterte tilgangslogger og observerte administrative tilganger, men presenterer dette som etterretningsbaserte funn og sannsynlig årsakssammenheng, ikke endelig offentlig bekreftet root cause.

Posted by tsoc at 12:24 0 comments

Monday, 20 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.20

Cisco patcher fire kritiske sårbarheter i Identity Services og Webex som muliggjør RCE og brukerimitasjon. Mirai-varianten Nexcorium utnytter CVE-2024-3721 for å kapre TBK DVR-er til DDoS-botnett. Kritisk feil i Protobuf-biblioteket gjør det mulig å kjøre JavaScript-kode.

Cisco patcher fire kritiske sårbarheter i Identity Services og Webex som muliggjør RCE og brukerimitasjon

Cisco har publisert sikkerhetsoppdateringer for fire kritiske sårbarheter i Identity Services Engine (ISE), ISE-PIC og Webex som kan føre til fjernkjøring av kode, kommandoeksekvering og brukerimitasjon. De mest alvorlige feilene (CVSS opptil 9.9) skyldes utilstrekkelig validering av brukerinput og svak sertifikatvalidering i SSO-integrasjon. Dette kan gjøre det mulig for angripere med gyldige eller til og med uten autentisering i enkelte tilfeller å kjøre vilkårlige kommandoer, eskalere privilegier til root eller utgi seg for legitime brukere i Webex. I enkelte scenarioer kan også DoS oppstå ved at ISE-noder blir utilgjengelige. Cisco opplyser at det ikke er observert aktiv utnyttelse, men anbefaler rask oppdatering.

Anbefaling:

Oppdater til siste tilgjengelige versjoner av Cisco ISE og ISE-PIC i henhold til anbefalte patch-nivåer. For Webex SSO-brukere anbefales det å laste opp nytt SAML-sertifikat i Control Hub.

Mirai-varianten Nexcorium utnytter CVE-2024-3721 for å kapre TBK DVR-er til DDoS-botnett

Sikkerhetsforskere fra Fortinet og Palo Alto Networks har avdekket at angripere aktivt utnytter kjente sårbarheter i IoT‑ og nettverksenheter for å spre Mirai‑baserte botnett. I TBK‑DVR‑enheter misbrukes sårbarheten CVE‑2024‑3721 til å installere skadevaren Nexcorium, som gir angriperen varig tilgang og mulighet til å utføre DDoS‑angrep. Skadevaren kombinerer utnyttelse av sårbarheter med brute‑force‑angrep og sideveis spredning for å infisere flere enheter i samme nettverk. Samtidig observeres aktive angrepsforsøk mot utgåtte (EoL) TP‑Link‑rutere via CVE‑2023‑33538, og selv om mange av disse forsøkene feiler, viser de at gamle enheter uten oppdateringer og med standardpassord fortsatt utgjør en betydelig sikkerhetsrisiko og bør erstattes.

Kritisk feil i Protobuf-biblioteket gjør det mulig å kjøre JavaScript-kode

Det er avdekket en kritisk remote code execution‑sårbarhet (RCE) i protobuf.js, et svært utbredt JavaScript‑bibliotek brukt til strukturert datakommunikasjon i Node.js og skybaserte applikasjoner. Sårbarheten skyldes utrygg dynamisk kodegenerering, der biblioteket bygger og kjører JavaScript‑funksjoner basert på protobuf‑skjemaer uten tilstrekkelig validering av identifikatorer. Dette gjør det mulig for en angriper å levere et ondsinnet skjema som kan injisere og kjøre vilkårlig kode når applikasjonen behandler data. Feilen påvirker eldre versjoner av biblioteket og kan føre til kompromittering av servere eller utviklermiljøer. Brukere anbefales å oppgradere til oppdaterte versjoner og behandle protobuf-skjemaer som ikke-sikker input.

Posted by tsoc at 11:55 0 comments

Friday, 17 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.17

Cisco patcher fire kritiske sårbarheter i Identity Services og Webex som muliggjør RCE og brukerimitasjon.

Cisco patcher fire kritiske sårbarheter i Identity Services og Webex som muliggjør RCE og brukerimitasjon

Cisco har publisert sikkerhetsoppdateringer for fire kritiske sårbarheter i Identity Services Engine (ISE), ISE-PIC og Webex som kan føre til fjernkjøring av kode, kommandoeksekvering og brukerimitasjon. De mest alvorlige feilene (CVSS opptil 9.9) skyldes utilstrekkelig validering av brukerinput og svak sertifikatvalidering i SSO-integrasjon. Dette kan gjøre det mulig for angripere med gyldige eller til og med uten autentisering i enkelte tilfeller å kjøre vilkårlige kommandoer, eskalere privilegier til root eller utgi seg for legitime brukere i Webex. I enkelte scenarioer kan også DoS oppstå ved at ISE-noder blir utilgjengelige. Cisco opplyser at det ikke er observert aktiv utnyttelse, men anbefaler rask oppdatering.

Anbefaling:

Oppdater til siste tilgjengelige versjoner av Cisco ISE og ISE-PIC i henhold til anbefalte patch-nivåer. For Webex SSO-brukere anbefales det å laste opp nytt SAML-sertifikat i Control Hub.

Posted by tsoc at 13:04 0 comments
Subscribe to: Comments (Atom)
 
>