Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 16 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.16

Midnight Blizzard benytter ny GrapeLoader-malware i phishing-kampanje rettet mot ambassader. Kritisk Chrome-sikkerhetsoppdatering: Installer nå for å unngå CVE-2025-3619 og CVE-2025-3620.


Midnight Blizzard benytter ny GrapeLoader-malware i phishing-kampanje rettet mot ambassader

En ny spear-phishing-kampanje, utført av den russiske statssponsede etterretningsgruppen APT29 (også kjent som Midnight Blizzard eller Cozy Bear), retter seg mot diplomatiske mål i Europa. Kampanjen benytter en falsk e-postinvitasjon til vinsmaking for å lokke ofre til å laste ned en ondsinnet ZIP-fil.

Den inneholder en ny malware loader kalt GrapeLoader, som kjøres via DLL sideloading, etablerer persistence og kontakter en C2-server for å laste ned shellcode. Denne loaderen er designet for å være vanskelig å oppdage, med blant annet forsinket kjøring og minnebeskyttelse.

GrapeLoader leverer en ny variant av backdoor-programmet WineLoader, som samler inn detaljert informasjon om systemet og muliggjør videre spionasje. Den nye varianten er tungt obfuskert for å unngå analyse og oppdagelse.

Check Point Research konkluderer med at APT29 stadig forbedrer sine teknikker, og at denne kampanjen viser en høy grad av sofistikasjon og målrettethet.

Kritisk Chrome-sikkerhetsoppdatering: Installer nå for å unngå CVE-2025-3619 og CVE-2025-3620

Google har nettopp rullet ut Chrome 135.0.7049.95/.96 for Windows og macOS, samt 135.0.7049.95 for Linux, for å tette to alvorlige sårbarheter. En av dem, CVE-2025-3619, er klassifisert som «kritisk» og består av en heap buffer overflow-feil i kodekenes håndtering av data, noe som kan åpne for vilkårlig kodekjøring. Den andre feilen, CVE-2025-3620, er en bruk-etter-frigjøring («use-after-free») i USB-modulen, som også kan føre til utnyttelse med eksekvering av ondsinnet kode. Begge disse feilene kan la angripere ta kontroll over systemet dersom oppdatering ikke installeres.

Google begrenser bevisst detaljert informasjon om sårbarhetene for å gi flest mulig tid til å oppdatere, særlig hvis andre prosjekter er avhengige av ubeskyttet kode. Brukere og administratorer oppfordres derfor til å forsikre seg om at de kjører den nyeste Chrome-versjonen, enten ved å vente på automatisk oppdatering eller ved å sjekke manuelt via chrome://settings/help. Dette minimerer faren for at uvedkommende utvikler og sprer skadevare basert på disse sårbarhetene.

Tuesday, 15 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.15

New ResolverRAT Malware Targets Pharma And Healthcare Orgs Worldwide. Phishing Campaigns Use Real-Time Checks to Validate Victim Emails Before Credential Theft. Tycoon2FA Phishing Kit Targets Microsoft 365 With New Tricks.


New ResolverRAT Malware Targets Pharma And Healthcare Orgs Worldwide

Den nylig oppdagede fjernstyrte trojaneren "ResolverRAT" retter seg mot farmasøytiske og helsesektoren globalt via phishing-e-poster som utgir seg for å være juridiske varsler. Angrepet distribuerer en legitim fil ("hpreader.exe") som injiserer malwaren i minnet ved hjelp av reflektiv DLL-loading. ResolverRAT opererer fullstendig i minnet og benytter .NET "ResourceResolve"-mekanismer for å unngå tradisjonell deteksjon. Den benytter XOR-kryptering for persistens via Windows-registeret og sprer store datamengder i små biter for å unngå oppdagelse.

Phishing Campaigns Use Real-Time Checks to Validate Victim Emails Before Credential Theft

En ny type phishing-kampanje kalt "precision-validating phishing" bruker sanntidsvalidering av e-postadresser for å sikre at kun gyldige og aktive e-postkontoer angripes. Ved hjelp av API- eller JavaScript-basert validering testes e-postadressen før en falsk innloggingsside vises. Dersom adressen ikke er i angriperens database, blir brukeren omdirigert til uskyldige sider som Wikipedia. Dette gjør kampanjene vanskeligere å oppdage og mer effektive. En relatert kampanje bruker også "file deletion"-lokkemidler for å levere enten falske Microsoft-innloggingssider eller installere skjult fjernstyringsverktøy (ScreenConnect).

Tycoon2FA Phishing Kit Targets Microsoft 365 With New Tricks

Phishing-as-a-service-plattformen Tycoon2FA har fått betydelige oppdateringer som forbedrer evnen til å omgå sikkerhet og MFA-beskyttelse i Microsoft 365 og Gmail. Nye triks inkluderer usynlige Unicode-tegn i JavaScript, selv-hostet CAPTCHA via HTML5, og anti-debugging som blokkerer verktøy som Burp Suite. I tillegg er det registrert en 1800% økning i phishingangrep som benytter ondsinnede SVG-filer, ofte utformet som lydmeldinger eller dokumentikoner, som inneholder JavaScript som fører til falske Microsoft-innloggingssider.

Monday, 14 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.14

Fortinet advarer: Angripere beholder tilgang til FortiGate-enheter etter patching via SSL-VPN-symlink. Alvorlig sårbarhet i WordPress plugin OttoKit (SureTriggers) utnyttes. SpyNote, BadBazaar og MOONSHINE: Mobilspionvare truer Android- og iOS-brukere.


Fortinet advarer: Angripere beholder tilgang til FortiGate-enheter etter patching via SSL-VPN-symlink

Fortinet har oppdaget at trusselaktører utnytter tidligere kjente og nå patchede sårbarheter—inkludert CVE-2022-42475, CVE-2023-27997 og CVE-2024-21762—for å opprette en symbolsk lenke (symlink) mellom brukerfil- og rotfilsystemene i FortiGate-enheter. Denne symlinken, plassert i en mappe brukt for språkfiler i SSL-VPN, gir angriperne vedvarende lesetilgang til konfigurasjonsfiler, selv etter at de opprinnelige sårbarhetene er tettet. SSL-VPN-brukere er spesielt utsatt, mens de som aldri har aktivert denne funksjonen ikke er berørt. Fortinet har utgitt oppdateringer for FortiOS som automatisk fjerner slike symlinker og forhindrer at SSL-VPN-serveren distribuerer dem.

Alvorlig sårbarhet i WordPress plugin OttoKit (SureTriggers) utnyttes

Angripere utnytter nå en alvorlig sårbarhet i OttoKit (tidligere SureTriggers) for WordPress, som ble offentliggjort av Wordfence 9. april. Svakheten (CVE-2025-3102, score 8,1) gjør det mulig å omgå autentisering og opprette nye administratorbrukere, noe som i praksis kan gi angripere full kontroll over et nettsted. Sårbarheten skyldes manglende validering av secret_key variabelen og oppstår når plugin-en ikke er konfigurert med en API-nøkkel, noe som gjør at secret_key blir tom. Versjon 1.0.79 av OttoKit/SureTriggers retter feilen og det anbefales å oppgradere umiddelbart og kontrollere logger for uvanlige administrator­kontoer dersom plugin-en brukes.

Sårbarheter:

SpyNote, BadBazaar og MOONSHINE: Mobilspionvare truer Android- og iOS-brukere

Cybersecurity-forskere har avdekket at trusselaktører bruker nylig registrerte domener for å distribuere Android-malwaren SpyNote via falske nettsteder som etterligner Google Play Store. Disse sidene tilbyr tilsynelatende legitime apper, som Chrome-nettleseren, men installerer i virkeligheten SpyNote, en fjernstyrt trojaner (RAT) kjent for å misbruke tilgjengelighetstjenester for å samle inn sensitiv data som SMS, kontakter, samtalelogger, posisjonsinformasjon og filer. SpyNote gir også angripere mulighet til å aktivere kamera og mikrofon, manipulere samtaler og utføre vilkårlige kommandoer. I tillegg har etterretningsbyråer fra flere land advart om at malware-familiene BadBazaar og MOONSHINE brukes til å målrette mot minoritetsgrupper som uigurer, taiwanere og tibetanere, samt NGO-er, journalister og sivilsamfunnsaktører. Disse truslene spres gjennom apper som etterligner populære plattformer som WhatsApp og Skype, samt mindre kjente apper som Tibet One og Audio Quran.

Thursday, 10 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.10

Sårbarhet i Apache mod_auth_openidc kan gi uautentiserte brukere tilgang til beskyttet innhold.


Sårbarhet i Apache mod_auth_openidc kan gi uautentiserte brukere tilgang til beskyttet innhold.

En alvorlig sårbarhet i Apache mod_auth_openidc (CVE-2025-31492, score 8.2) gjør at uautentiserte brukere kan få tilgang til beskyttet innhold. Feilen ligger i håndteringen av forespørsler når OIDCProviderAuthRequestMethod er satt til POST og det ikke eksisterer noe "Gateway" eller lastbalanserer på applikasjonsnivå som beskytter serveren. Da returnerer modulen et svar som inneholder både autentiseringsskjema og det beskyttede innholdet. Oppdatering til versjon 2.4.16.11 eller nyere løser problemet, og man kan også bytte til OIDCProviderAuthRequestMethod GET for å unngå sårbarheten. Det anbefales å oppdatere eller justere konfigurasjonen.

Sårbarheter:

Wednesday, 9 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.09

Microsofts april 2025 Patch Tuesday patcher utnyttet zero-day og 134 sårbarheter. Fortinet oppfordrer til oppgradering av FortiSwitch for å rette kritisk sårbarhet i administrativ passordendring. Google retter totalt 62 sårbarheter, inkludert 2 zero-days.


Microsofts april 2025 Patch Tuesday patcher utnyttet zero-day og 134 sårbarheter

Microsofts april 2025 Patch Tuesday inkluderer sikkerhetsoppdateringer for 134 sårbarheter, hvorav en er en aktivt utnyttet zero-day-sårbarhet. Blant disse er elleve klassifisert som "Kritiske" og innebærer fjernkjøring av kode. Den aktivt utnyttede sårbarheten, CVE-2025-29824, er en eskalering av privilegier i Windows Common Log File System Driver, som tillater lokale angripere å oppnå SYSTEM-rettigheter. Denne sårbarheten har blitt utnyttet av RansomEXX løsepengevirusgruppen.

Anbefaling:

Det anbefales sterkt at brukere og administratorer installerer de nyeste sikkerhetsoppdateringene fra Microsoft for å beskytte systemene mot sårbarhetene, spesielt den aktivt utnyttede CVE-2025-29824.

Sårbarheter:

Fortinet oppfordrer til oppgradering av FortiSwitch for å rette kritisk sårbarhet i administrativ passordendring

Fortinet har utgitt sikkerhetsoppdateringer for å adressere en kritisk sårbarhet i FortiSwitch som kan tillate en angriper å utføre uautoriserte endringer av administratorpassord. Sårbarheten, identifisert som CVE-2024-48887, har en CVSS-score på 9.3 av 10.0. Den påvirker flere versjoner av FortiSwitch, inkludert 7.6.0, 7.4.0 til 7.4.4, 7.2.0 til 7.2.8, 7.0.0 til 7.0.10 og 6.4.0 til 6.4.14. Fortinet anbefaler brukere å oppdatere til de nyeste versjonene for å beskytte systemene sine mot potensielle angrep.

Anbefaling:

Brukere bør umiddelbart oppdatere FortiSwitch til de nyeste tilgjengelige versjonene for å beskytte mot denne sårbarheten. Som midlertidige tiltak anbefales det å deaktivere HTTP/HTTPS-tilgang til administrative grensesnitt og begrense systemtilgang til kun pålitelige verter.

Sårbarheter:

Google retter totalt 62 sårbarheter, inkludert 2 zero-days

Google har i april 2025-utgivelsen av Androids sikkerhetsoppdatering rettet 62 sårbarheter, inkludert to zero-day-feil som har blitt aktivt utnyttet i målrettede angrep. En av disse, en høy-severitets privilegieeskaleringssårbarhet (CVE-2024-53197) i Linux-kjernens USB-audio driver for ALSA-enheter, ble rapportert og utnyttet av serbiske myndigheter for å låse opp konfiskerte Android-enheter ved hjelp av en exploit-kjede utviklet av det israelske digitale etterforskningsselskapet Cellebrite. Den andre zero-day-feilen (CVE-2024-53150) er en informasjonssårbarhet i Android-kjernen forårsaket av en out-of-bounds lesesvakhet, som tillot lokale angripere å stjele sensitiv informasjon på sårbare enheter uten bruker interaskjon. Google delte disse rettelsene med OEM-partnere i januar 2025.

Anbefaling:

Brukere anbefales sterkt å oppdatere sine Android-enheter til den nyeste sikkerhetsoppdateringen for å beskytte mot disse sårbarhetene.

Monday, 7 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.07

Kritisk Ivanti-sårbarhet aktivt utnyttet for å distribuere TRAILBLAZE og BRUSHFIRE malware.


Kritisk Ivanti-sårbarhet aktivt utnyttet for å distribuere TRAILBLAZE og BRUSHFIRE malware

Ivanti har avslørt en kritisk sårbarhet (CVE-2025-22457) med en CVSS-score på 9.0, som påvirker Connect Secure, Policy Secure og ZTA Gateways. Sårbarheten er en stack-basert buffer overflow som tillater uautentiserte angripere å utføre vilkårlig kode eksternt. Google-eide Mandiant observerte utnyttelse av denne sårbarheten i midten av mars 2025, hvor angripere distribuerte en minnebasert minnebasert "dropper" 
kalt TRAILBLAZE og en passiv bakdør ved navn BRUSHFIRE. Disse verktøyene etablerer vedvarende bakdørstilgang på kompromitterte enheter, noe som potensielt muliggjør brukerinformasjons tyveri, dataeksfiltrering mm.

Anbefaling:

Ivanti anbefaler at kunder overvåker sine eksterne ICT-systemer for tegn på kompromittering, spesielt webserver-krasj. Hvis det oppdages tegn på kompromittering, bør enheten tilbakestilles til fabrikkinnstillinger og oppdateres til versjon 22.7R2.6 før den settes tilbake i produksjon. Videre bør kunder sikre at deres systemer er oppdatert til de nyeste versjonene som adresserer denne sårbarheten.

Friday, 4 April 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.04.04

Nytt GitHub-forsyningskjedeangrep sporet mot lekket SpotBugs-token. Google Patcher Quick Share-sårbarhet som muliggjør stille filoverføringer uten samtykke.


Nytt GitHub-forsyningskjedeangrep sporet mot lekket SpotBugs-token

Ett omfattende forsyningskjedeangrep på GitHub, som opprinnelig rettet seg mot Coinbase i mars 2025, har blitt sporet tilbake til en stjålet token fra SpotBugs sin arbeidsflyt. Angrepet startet i november 2024 da en vedlikeholder av SpotBugs inkluderte sin personlige tilgangstoken (PAT) i en CI-arbeidsflyt. En angriper utnyttet deretter en sårbar 'pull_request_target' arbeidsflyt for å stjele denne tokenen via en ondsinnet pull request. Den stjålne tokenen ble senere brukt til å kompromittere flere GitHub-prosjekter, inkludert Reviewdog og tj-actions/changed-files, noe som til slutt eksponerte hemmeligheter i 218 repositories.

Anbefaling:

Utviklere bør unngå å inkludere personlige tilgangstokens direkte i CI-arbeidsflyter. Det anbefales å bruke alternative autentiseringsmetoder som GitHub App-tokens eller OIDC for å minimere risikoen for token-lekkasje. I tillegg bør man være forsiktig med å bruke 'pull_request_target' arbeidsflyter, da disse kan være sårbare for ondsinnede pull requests.

Google Patcher Quick Share-sårbarhet som muliggjør stille filoverføringer uten samtykke

Google har utgitt en oppdatering for å adressere en sårbarhet i Quick Share for Windows, kjent som CVE-2024-10668 (CVSS-score: 5.9). Denne sårbarheten kunne utnyttes til å utføre denial-of-service (DoS) angrep eller sende vilkårlige filer til en brukers enhet uten deres godkjenning. Problemet oppsto som en omgåelse av tidligere rapporterte svakheter i Quick Share, som tillot angripere å krasje applikasjonen eller overføre filer uten brukerens samtykke. Google har løst dette i Quick Share for Windows versjon 1.0.2002.2.

Anbefaling:

Brukere av Quick Share for Windows bør umiddelbart oppdatere til versjon 1.0.2002.2 for å beskytte seg mot potensielle utnyttelser av denne sårbarheten.

 
>