Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 27 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.27

Ny bakdør holder seg aktiv på Cisco enheter etter patching.

Ny bakdør holder seg aktiv på Cisco enheter etter patching

Cybersikkerhetsmyndigheter i USA og Storbritannia advarer om en avansert bakdør kalt Firestarter som opprettholder tilgang på Cisco Firepower- og Secure Firewall enheter selv etter oppdateringer og patching. Angriperen, kjent som UAT-4356, utnytter sårbarheter som CVE-2025-20333 og CVE-2025-20362 for å få initiell tilgang.

Et typisk angrep starter med skadevaren Line Viper, som brukes til å etablere VPN tilgang og hente ut sensitiv konfigurasjon som brukerdetaljer og nøkler. Deretter installeres Firestarter, som sørger for vedvarende tilgang ved å integrere seg i kjernen av systemet (LINA) og automatisk reinstallere seg selv ved omstart eller terminering.

Skadevaren kan også kjøre angriperstyrt kode direkte i minnet via manipulerte WebVPN forespørsler. En særlig alvorlig egenskap er at den overlever omstart, firmwareoppdateringer og sikkerhetsoppdateringer. Cisco anbefaler re-installering og oppgradering av enheter for å fjerne trusselen.

Anbefaling:

Administratorer kan sjekke kompromittering ved å kjøre kommandoen show kernel process | include lina_cs. Oppdater og reinstaller berørte enheter umiddelbart, overvåk for mistenkelig aktivitet, og sørg for at kjente sårbarheter er lukket. Unngå midlertidige løsninger som kan føre til systemfeil.

Posted by tsoc at 12:02 0 comments

Saturday, 25 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.25

Hackere bruker falske CAPTCHA sider for å lure brukere til skadevare og svindel.

Hackere bruker falske CAPTCHA sider for å lure brukere til skadevare og svindel

En økende trend der angripere bruker falske CAPTCHA verifiseringssider som etterligner legitime sikkerhetssjekker for å lure brukere til å utføre skadelige handlinger. Disse sidene ser ut som kjente løsninger som Cloudflare og utnytter tilliten brukere har til slike kontroller. I stedet for å bekrefte at brukeren er et menneske, blir ofrene bedt om å utføre handlinger som å kjøre kommandoer, gi tillatelser eller installere programvare, noe som fører til infeksjon av malware eller misbruk som SMS svindel. Kampanjen er omfattende og inkluderer tusenvis av kompromitterte nettsteder som distribuerer disse falske sidene, noe som gjør dette til en effektiv og raskt voksende sosial manipulasjonsmetode.

Anbefaling:

Brukere bør unngå å utføre handlinger utover standard CAPTCHA interaksjoner, som å kjøre kommandoer eller gi ekstra tillatelser, og umiddelbart forlate mistenkelige sider.

Posted by tsoc at 16:57 0 comments

Friday, 24 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.24

Bitwarden CLI kompromittert i pågående Checkmarx forsyningskjedeangrep. UNC6692 utnytter Microsoft Teams til Helpdesk Phishing og sprer SNOW skadevare.

Bitwarden CLI kompromittert i pågående Checkmarx forsyningskjedeangrep

Bitwarden CLI har blitt kompromittert som del av en pågåendeforsyningskjedeangrep kampanje knyttet til Checkmarx, hvor en ondsinnet versjon @bitwarden/cli@2026.4.0 ble publisert via npm. Angrepet utnyttet en kompromittert GitHub Actions komponent i CI/CD pipeline, og inkluderte skadelig kode i filen bw1.js. Skadevare kjørte via en preinstall hook og stjal sensitiv informasjon som GitHub og npm tokens, SSH nøkler, miljøvariabler og CI/CD hemmeligheter, før data ble eksfiltrert til domenet audit.checkmarx[.]cx eller til offentlige GitHub repositories. Angrepet kunne også bruke stjålne tokens til å injisere ondsinnede workflows i andre repositories og spre seg videre som en slags forsyningskjede orm. Hendelsen fant sted i et begrenset tidsrom 22. april 2026 (ca. 1,5 time), og Bitwarden bekrefter at ingen brukerdata eller vault data ble kompromittert. Kampanjen er knyttet til en bredere trusselaktør aktivitet (muligens TeamPCP) og representerer en avansert utvikling av tidligere forsyningskjedeangrep, inkludert målretting av AI utviklingsverktøy og CI/CD miljøer.

Anbefaling:

Fjern umiddelbart versjon @bitwarden/cli@2026.4.0 dersom den er installert. Roter alle potensielt eksponerte hemmeligheter, inkludert GitHub, npm og cloud tokens. Gjennomgå CI/CD pipelines for uautoriserte workflows og aktivitet. Implementer streng kontroll på avhengigheter og bruk verktøy for å validere integriteten til pakker. Overvåk GitHub repositories for uvanlige commits eller eksfiltrering av data.

UNC6692 utnytter Microsoft Teams til Helpdesk Phishing og sprer SNOW skadevare

En ny trusselaktør, UNC6692, bruker avansert sosial manipulering via Microsoft Teams for å kompromittere virksomheter. Angrepet starter med e-postbombing for å skape panikk, før angriperen kontakter offeret via Teams og utgir seg for å være IT support. Offeret blir deretter lurt til å installere en falsk “Mailbox Repair and Sync Utility”, som i realiteten laster ned et AutoHotkey script fra AWS. Scriptet installerer en ondsinnet nettleserutvidelse (SNOWBELT) i Microsoft Edge, som fungerer som bakdør og laster ned flere komponenter i SNOW skadevare familien, inkludert SNOWGLAZE (tunnelering) og SNOWBASIN (RCE og persistens). Angriperne kan deretter stjele brukerdetaljer, utføre lateral bevegelse via teknikker som "Pass-the-Hash", hente LSASS minne, og eksfiltrere data via legitime verktøy som Rclone og LimeWire. Kampanjen retter seg særlig mot ledere og nøkkelpersonell, og misbruker legitime skytjenester for å skjule aktivitet og omgå sikkerhetsfiltre.

Anbefalinger: Implementer strenge verifiseringsrutiner for IT support via Teams og begrens ekstern kommunikasjon i plattformen. Tren ansatte i å gjenkjenne sosial manipulering og phishing. Begrens bruk av fjernstyringsverktøy og overvåk installasjon av nettleserutvidelser. Hardening av PowerShell og overvåking av uvanlig aktivitet er kritisk. Overvåk også bruk av legitime verktøy som Rclone og uvanlig trafikk mot skytjenester.

Posted by tsoc at 12:08 0 comments

Thursday, 23 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.23

Microsoft publiserer sikkerhetsoppdateringer for kritisk ASP.NET sårbarhet. Selvspredende orm rammer flere legitime npm-pakker.

Microsoft publiserer sikkerhetsoppdateringer for kritisk ASP.NET sårbarhet

Microsoft har publisert en hasteoppdatering utenfor den vanlige patchesyklusen for å rette sårbarheten CVE-2026-40372 i ASP.NET Core Data Protection. Sårbarheten skyldes feilvalidering av HMAC i krypterte payloads. Dette kan gjøre det mulig for en uautentisert angriper å forfalske autentiseringscookies og eskalere privilegier. Microsoft har rettet dette i versjon 10.0.7, men advarer om at tokens som allerede ble legitimt signert som følge av angrep under den sårbare perioden, fortsatt kan være gyldige dersom nøkkelringen ikke roteres.

Sårbarheter:

Selvspredende orm rammer flere legitime npm-pakker

En ny supply chain-kampanje omtalt som CanisterSprawl har kompromittert flere legitime npm-pakker og bruker en selvpropagerende orm for å stjele hemmeligheter fra utviklermiljøer og deretter spre seg videre ved å misbruke stjålne npm-tokener. Skadevaren kjøres via postinstall, samler inn diverse nøkler, .env filer og shell-historikk. Den forsøker også å hente data fra Chromium-baserte nettlesere samt kryptowallets. Data eksfiltreres så til et webhook-endepunkt og en ICP-canister. Kampanjen skiller seg ut fordi den ikke bare stjeler legitimasjon, men også inneholder logikk for å publisere nye ondsinnede pakkeversjoner med infisert postinstall ved hjelp av de stjålne publiseringstokenene.

Posted by tsoc at 12:05 0 comments

Wednesday, 22 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.22

CISA varsler om aktivt utnyttet SD WAN sårbarhet. Ny macOS-trussel: ClickFix-angrep stjeler passord og kryptolommebøker.

CISA varsler om aktivt utnyttet SD WAN sårbarhet

CISA har lagt til Cisco Catalyst SD WAN Manager sårbarheten CVE-2026-20133 (CVSS v3 score 7,5) i sin KEV-katalog (Known Exploited Vulnerabilities) etter bevis på aktiv utnyttelse. Cisco publiserte en fiks for feilen i slutten av februar 2026, men det er framdeles mange systemer uten sikkerhetsoppdateringene. Sårbarheten skyldes utilstrekkelige adgangskontroller mot filsystemet, som gjør at en uautentisert angriper kan lese sensitiv informasjon fra det underliggende operativsystemet via API-kall mot en upatchet enhet. Det anbefales at sikkerhetsoppdateringer installeres.

Sårbarheter:

Ny macOS-trussel: ClickFix-angrep stjeler passord og kryptolommebøker

En ny bølge av såkalte ClickFix-angrep retter seg mot macOS-brukere og sprer en avansert AppleScript-basert infostealer. Angrepet lurer brukere til å kjøre skadelige kommandoer selv, ofte via falske CAPTCHA-sider eller “feilrettinger”.

Ifølge Netskope Threat Labs utnytter kampanjen sosial manipulering for å få brukeren til å lime inn en skjult curl-kommando via Spotlight. Når kommandoen kjøres, lastes skadevare ned i bakgrunnen og begynner å samle inn sensitiv informasjon.

Skadevaren er særlig omfattende: Den retter seg mot minst 14 nettlesere, 16 kryptolommebøker og over 200 nettleserutvidelser. Blant dataene som stjeles er passord, sesjonscookies, autofyll-data og kredittkortinformasjon. I tillegg forsøker den å hente ut innhold fra macOS Keychain.

Et ekstra alvorlig element er at brukeren presses til å oppgi systempassordet sitt via en falsk, men svært troverdig macOS-dialogboks. Denne boksen kan ikke lukkes og fortsetter å dukke opp til korrekt passord blir skrevet inn.

Angrepene er primært observert mot finanssektoren i Asia, men teknikken kan enkelt ramme brukere globalt. Både Windows og macOS maskiner er sårbare, men nyere versjoner av macOS har fått innebygde varsler som kan stoppe slike angrep.

Anbefalinger til brukere:

  • Oppdater til nyeste versjon av macOS for å få innebygde sikkerhetsvarsler

  • Unngå å lime inn kommandoer i Terminal eller Spotlight fra ukjente kilder

  • Vær skeptisk til CAPTCHA-sider som ber deg utføre handlinger på egen maskin

  • Bruk tofaktorautentisering (2FA) der det er mulig

  • Installer og oppdater sikkerhetsprogramvare som kan oppdage infostealers

  • Vurder å bruke separate passordhvelv og unngå lagring av sensitive data i nettlesere

Posted by tsoc at 12:27 0 comments

Tuesday, 21 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.21

Hackere bruker MiningDropper til å levere infostealer, Remote Access Torjanere og skadelig programvare for banktjenester på Android. Vercel-brudd koblet til infostealer-infeksjon hos Context.ai.

Hackere bruker MiningDropper til å levere infostealer, Remote Access Torjanere og skadelig programvare for banktjenester på Android

En aktiv Android malwarekampanje bruker rammeverket MiningDropper som en flertrinns dropper for å levere sekundærlaster som infostealers, Remote Access Trojanere, banktrojanere og i noen tilfeller kryptominere. Kampanjen sprer seg via phishing-sider, falske nettsteder og lenker i sosiale medier, ofte forkledd som legitime apper, banker, telekomtjenester og transporttjenester. Ifølge forskere er aktiviteten observert i India, Europa, Latin Amerika og Asia, med ulike kampanjer rettet både mot datatyveri og fjernstyring av kompromitterte enheter. Trusselen er særlig alvorlig fordi den kombinerer sosial manipulering med modulær malwareleveranse som gjør videre skadevareutplassering fleksibel og vanskeligere å oppdage.

Anbefaling:

Unngå sidelasting av APK-filer fra uoffisielle kilder, håndhev installasjon kun fra betrodde app-butikker, overvåk Android-enheter for ukjente apper og uvanlig nettverkstrafikk, og styrk brukerbevissthet rundt phishing og falske applikasjoner.

Vercel-brudd koblet til infostealer-infeksjon hos Context.ai

En pågående analyse som knytter Vercel-bruddet til en sannsynlig kompromittering via en infostealer-infeksjon hos tredjepartsleverandøren Context.ai. Ifølge Hudson Rock skal en ansatt med sensitive tilganger ha blitt infisert med Lumma stealer i februar 2026, angivelig etter nedlasting av ondsinnede Roblox-relaterte “auto-farm”-skript og eksekverbare filer. Denne infeksjonen skal ha eksponert virksomhetskritiske legitimasjoner, inkludert tilgang til Google Workspace, Supabase, Datadog, Authkit og Vercel-administrative ressurser. Artikkelen peker på at denne kompromitteringen kan ha gitt trusselaktører, omtalt som ShinyHunters, et initialt tilgangspunkt som muliggjorde videre eskalering og potensielt inntrenging i Vercels infrastruktur.

Det understrekes at dette fremstår som en supply chain-relatert hendelse der svakheten ikke nødvendigvis lå hos Vercel direkte, men via kompromittert tredjepartstilgang. Artikkelen bygger på korrelasjon mellom infostealer-telemetri, kompromitterte tilgangslogger og observerte administrative tilganger, men presenterer dette som etterretningsbaserte funn og sannsynlig årsakssammenheng, ikke endelig offentlig bekreftet root cause.

Posted by tsoc at 12:28 0 comments

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.21

Hackere bruker MiningDropper til å levere infostealer, Remote Access Torjanere og skadelig programvare for banktjenester på Android. Vercel-brudd koblet til infostealer-infeksjon hos Context.ai.

Hackere bruker MiningDropper til å levere infostealer, Remote Access Torjanere og skadelig programvare for banktjenester på Android

En aktiv Android malwarekampanje bruker rammeverket MiningDropper som en flertrinns dropper for å levere sekundærlaster som infostealers, Remote Access Trojanere, banktrojanere og i noen tilfeller kryptominere. Kampanjen sprer seg via phishing-sider, falske nettsteder og lenker i sosiale medier, ofte forkledd som legitime apper, banker, telekomtjenester og transporttjenester. Ifølge forskere er aktiviteten observert i India, Europa, Latin Amerika og Asia, med ulike kampanjer rettet både mot datatyveri og fjernstyring av kompromitterte enheter. Trusselen er særlig alvorlig fordi den kombinerer sosial manipulering med modulær malwareleveranse som gjør videre skadevareutplassering fleksibel og vanskeligere å oppdage.

Anbefaling:

Unngå sidelasting av APK-filer fra uoffisielle kilder, håndhev installasjon kun fra betrodde app-butikker, overvåk Android-enheter for ukjente apper og uvanlig nettverkstrafikk, og styrk brukerbevissthet rundt phishing og falske applikasjoner.

Vercel-brudd koblet til infostealer-infeksjon hos Context.ai

En pågående analyse som knytter Vercel-bruddet til en sannsynlig kompromittering via en infostealer-infeksjon hos tredjepartsleverandøren Context.ai. Ifølge Hudson Rock skal en ansatt med sensitive tilganger ha blitt infisert med Lumma stealer i februar 2026, angivelig etter nedlasting av ondsinnede Roblox-relaterte “auto-farm”-skript og eksekverbare filer. Denne infeksjonen skal ha eksponert virksomhetskritiske legitimasjoner, inkludert tilgang til Google Workspace, Supabase, Datadog, Authkit og Vercel-administrative ressurser. Artikkelen peker på at denne kompromitteringen kan ha gitt trusselaktører, omtalt som ShinyHunters, et initialt tilgangspunkt som muliggjorde videre eskalering og potensielt inntrenging i Vercels infrastruktur.

Det understrekes at dette fremstår som en supply chain-relatert hendelse der svakheten ikke nødvendigvis lå hos Vercel direkte, men via kompromittert tredjepartstilgang. Artikkelen bygger på korrelasjon mellom infostealer-telemetri, kompromitterte tilgangslogger og observerte administrative tilganger, men presenterer dette som etterretningsbaserte funn og sannsynlig årsakssammenheng, ikke endelig offentlig bekreftet root cause.

Posted by tsoc at 12:24 0 comments
Subscribe to: Comments (Atom)
 
>