Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 18 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.18

Kritisk sårbarhet i Dell RecoverPoint for Virtual Machines. AI-assistenter kan misbrukes som skjulte C2-kanaler av trusselaktører.

Kritisk sårbarhet i Dell RecoverPoint for Virtual Machines

Versjoner av Dell RecoverPoint for Virtual Machines eldre enn 6.0.3.1 HF1 har en kritisk sårbarhet, CVE-2026-22769, som skyldes hardkodet legitimasjoner. Dette kan gjøre det mulig for en uautentisert angriper å få tilgang til systemet og oppnå høye privilegier. Sårbarheten har fått høyeste alvorlighetsgrad (CVSS 10.0) og kan i verste fall føre til full kompromittering av berørte systemer. Dell har publisert en sikkerhetsoppdatering og opplyser også at de har fått indikasjoner på begrenset aktiv utnyttelse. Det anbefales å oppgradere til en korrigert versjon eller følge Dells mitigeringstiltak.

Sårbarheter:

AI-assistenter kan misbrukes som skjulte C2-kanaler av trusselaktører

Sikkerhetsforskere fra Check Point har demonstrert at AI-assistenter med funksjonalitet for uthenting av URL kan misbrukes som skjulte kommando og kontrollkanaler (C2) av trusselaktører. Teknikken, kalt «AI as a C2 proxy», er demonstrert mot Microsoft Copilot og xAI Grok, og utnytter disse tjenestenes evne til å hente innhold fra eksterne URLer for å skape en toveis kommunikasjonskanal mellom en kompromittert maskin og en ondsinnet aktør.

Angrepet fungerer ved at ondartet kode, som allerede er installert på et kompromittert system, sender spesialtilpassede forespørsler til Copilot eller Grok. AI-assistenten henter deretter innhold fra en URL kontrollert av angriperen og returnerer svaret, inkludert kommandoer som skal kjøres på den infiserte enheten, tilbake til den ondartede koden. Kommunikasjonen skjer via legitime AI-tjenester, noe som gjør det vanskelig å skille ondartet trafikk fra normal bedriftskommunikasjon. Et særlig bekymringsfullt aspekt er at teknikken ikke krever API-nøkkel eller registrert konto, noe som gjør tradisjonelle mottiltak som tilbakekalling av nøkler eller konto sperring ineffektive.

Check Point påpeker også at en ondsinnet aktør kan gå lenger enn bare kommando generering. AI-agenten kan brukes til å analysere det kompromitterte systemet, vurdere unndragelses strategier og avgjøre neste steg i angrepet. Teknikken er beslektet med living-off-trusted-sites (LOTS) angrep, der legitime og klarerte tjenester misbrukes for skadelig trafikk. Forutsetningen er imidlertid at trussel aktøren allerede har kompromittert maskinen og installert ondartet kode på annen måte.

Posted by tsoc at 13:03 0 comments

Tuesday, 17 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.17

Sikkerhetsoppdatering for Chrome fikser utnyttet nulldagssårbarhet.

Sikkerhetsoppdatering for Chrome fikser utnyttet nulldagssårbarhet

Google har publisert en sikkerhetsoppdatering for Chrome etter at en ny nulldagssårbarhet har blitt utnyttet i aktivt angrep. Sårbarheten har fått kode CVE-2026-2441 med score 8.8. Det er en såkalt "use-after-free" feil i nettleserens CSS komponent som tillater angripere å kjøre vilkårlig kode i en sandbox via spesielt utformede HTML-sider. Google har bekreftet at det finnes utnyttelse av feilen i omløp, men har ikke offentliggjort detaljer om hvem som står bak angrepene eller hvordan de er utformet.

Sårbarheter:

Posted by tsoc at 12:02 0 comments

Saturday, 14 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.14

Ondsinnet 7-Zip nettsted distribuerer installasjonsfil med skjult proxy verktøy.

Ondsinnet 7-Zip nettsted distribuerer installasjonsfil med skjult proxy verktøy

Et falskt nettsted som imiterer den populære arkiveringsprogramvaren 7-Zip (hostet på 7zip[.]com i stedet for den legitime 7-zip.org) distribuerer en trojanisert installasjonsfil som i tillegg til selve 7-Zip programmet installerer skjult skadevare som gjør den infiserte enheten om til en "residential proxy node" for trusselaktører. Den ondsinnede koden legger igjen flere komponenter i C:\Windows\SysWOW64\hero, oppretter Windows tjenester med SYSTEM privilegier, og endrer brannmurregler for å tillate inn- og utgående tilkoblinger. Proxy-noden kan deretter brukes til å rute trafikk, maskere angriperes opprinnelse eller hjelpe annen kriminalitet, og skadevare trafikken kommuniserer via et roterende kommando- og kontrollnettverk (C2) med krypterte protokoller. Kampanjen ble først oppdaget etter at en bruker lastet ned installasjonen via en lenke fra en YouTube tutorial, og den ondsinnede siden var fortsatt aktiv ved artikkelens publisering. Tidligere analyser indikerer også at tilsvarende trojaniserte installatører for andre populære apper som Hola VPN, TikTok, WhatsApp og Wire har blitt distribuert på lignende vis.

Brukere anbefales å laste ned programvare kun fra offisielle nettsider og sjekke lenker nøye før installasjon for å være sikre på at disse kommer fra det offisielle nettstedet.

Posted by tsoc at 12:30 0 comments

Friday, 13 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.13

AMOS-infostealer retter seg mot macOS gjennom en populær AI-app.

AMOS-infostealer retter seg mot macOS gjennom en populær AI-app

En ny kampanje med infostealeren Atomic macOS Stealer (AMOS) målretter macOS-brukere ved å utnytte tilliten til AI verktøy og populære søk etter hjelp. I stedet for en tradisjonell infisert app-installasjon, blir brukere lurt via betalte Google annonser og AI samtaler (som ChatGPT) til nettsteder som later som de tilbyr legitime løsninger for vanlige problemer. Disse guidene inneholder kommando linjer som brukeren blir bedt om å kopiere og kjøre i Terminal, og dette installerer AMOS-malware. Når det kjører, samler AMOS inn og eksfiltrerer sensitiv informasjon som passord, nettleserdata, keychain innhold og lommebokdata fra offerets Mac. Denne metoden omgår mange av standard sikkerhetsmekanismene i macOS fordi brukeren selv starter prosessen.

Posted by tsoc at 12:56 0 comments

Thursday, 12 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.12

Windows Notepad sårbar for fjernkjøring av kode via Markdown-lenker. Apple retter aktivt utnyttet zero-day som påvirker iOS, macOS og Apple-enheter.

Windows Notepad sårbar for fjernkjøring av kode via Markdown-lenker

Microsoft har tettet et sikkerhetshull i den moderne Notepad-appen (den som kommer fra Microsoft Store – ikke den gamle, klassiske Notepad.exe). Sårbarheten har fått en CVSS-score på 8,8 og kan i verste fall la en angriper kjøre vilkårlig kode på maskinen din.

Feilen (CVE-2026-20841) er i bunn og grunn et command injection-problem. Den oppstår når Notepad åpner Markdown-filer (.md) med spesielt utformede lenker. Klikker du på en slik lenke, kan Notepad bli lurt til å starte uverifiserte protokoller som henter og kjører ondsinnet kode fra en ekstern server. Angriperen får da samme tilgangsnivå som deg, og har du høye rettigheter, kan skadepotensialet bli stort.

Fiksen kom som en del av Patch Tuesday 10. februar 2026.

Kun den moderne Notepad-appen fra Microsoft Store, i versjoner eldre enn build 11.2510. Bruker du fortsatt den klassiske Notepad.exe, er du ikke berørt.

Anbefaling:

Oppdater Notepad via Microsoft Store til versjon 11.2510 eller nyere Sjekk at automatiske app-oppdateringer er aktivert Vær forsiktig med å åpne ukjente Markdown-filer eller klikke på lenker i dem før du har oppdatert Microsoft sier det foreløpig ikke er sett aktiv utnyttelse, men lav angrepskompleksitet gjør dette til noe du bør prioritere å patche raskt.

Sårbarheter:

Apple retter aktivt utnyttet zero-day som påvirker iOS, macOS og Apple-enheter

Apple har publisert sikkerhetsoppdateringer for iOS, iPadOS, macOS Tahoe, tvOS, watchOS og visionOS for å rette en aktivt utnyttet zero-day-sårbarhet (CVE-2026-20700). Feilen er en minnekorrupsjon i dyld (Dynamic Link Editor) som kan gjøre det mulig for en angriper med skrive-tilgang til minne å kjøre vilkårlig kode på sårbare enheter. Sårbarheten ble oppdaget og rapportert av Google Threat Analysis Group (TAG) og skal ha blitt brukt i svært sofistikerte og målrettede angrep mot utvalgte personer på eldre iOS-versjoner.

Apple knytter også funnet til to tidligere sårbarheter som ble fikset i desember 2025:

  • CVE-2025-14174 (CVSS 8.8): Out-of-bounds minnetilgang i ANGLE sin Metal-renderer.

  • CVE-2025-43529 (CVSS 8.8): Use-after-free-feil i WebKit som kan føre til kodekjøring via ondsinnet webinnhold.

Oppdateringene gjelder blant annet:

  • iOS/iPadOS 26.3 (iPhone 11 og nyere, flere iPad-modeller)

  • macOS Tahoe 26.3

  • tvOS 26.3

  • watchOS 26.3

  • visionOS 26.3

Apple har også gitt ut sikkerhetsoppdateringer for eldre versjoner av iOS, iPadOS, macOS Sequoia, macOS Sonoma og Safari.

Dette er Apples første aktivt utnyttede zero-day i 2026. I 2025 patcher selskapet totalt ni zero-days som ble utnyttet i det fri.

Anbefaling:

Oppdater alle Apple-enheter umiddelbart til nyeste tilgjengelige versjon for å beskytte mot den aktivt utnyttede zero-day-sårbarheten. Virksomheter bør prioritere høyrisikobrukere og sikre at alle enheter er oppdatert og overvåkes for mistenkelig aktivitet.

Posted by tsoc at 14:29 0 comments

Wednesday, 11 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.11

Seks aktivt utnyttede nulldagssårbarheter fikset i Microsofts februar 2026 oppdateringer. SSH Stalker bruker 15 år gammel IRC teknikk til C2. Reynolds løsepengevirus installerer ondsinnet driver for å deaktivere sikkerhetsverktøy.

Seks aktivt utnyttede nulldagssårbarheter fikset i Microsofts februar 2026 oppdateringer

Microsofts Patch Tuesday for februar 2026 retter rundt 60 sårbarheter i ulike produkter, inkludert seks aktivt utnyttede nulldagssårbarheter. Disse påvirker blant annet Windows SmartScreen, Windows Shell, Microsoft 365/Office, Internet Explorer, Desktop Window Manager, Remote Desktop Services og Remote Access Connection Manager.

Flere av sårbarhetene kan utnyttes ved at brukeren lures til å åpne en ondsinnet lenke, HTML-, LNK- eller Office fil. Andre kan gi lokal rettighetseskalering til SYSTEM nivå eller føre til tjenestenekt (DoS). Det finnes foreløpig begrenset offentlig informasjon om konkrete angrep, men funnene er blant annet kreditert Google Threat Intelligence Group, Microsoft, CrowdStrike og Acros Security. Dette kan indikere at profesjonelle aktører, muligens statssponsede, har vært involvert.

CISA har lagt de seks nulldagssårbarhetene til i sin KEV katalog, noe som understreker alvoret. I tillegg til Windows og Office har Microsoft også patchet sårbarheter i Azure, Defender, Exchange, .NET, GitHub Copilot, Edge og Power BI.

Anbefaling:

Anbefalingen er å oppdatere berørte systemer så raskt som mulig.

SSH Stalker bruker 15 år gammel IRC teknikk til C2

Linux botnettet SSHStalker benytter klassiske IRC baserte kontrollmekanismer fremfor moderne C2 rammeverk, ifølge trusselintelligensselskapet Flare. I stedet for avansert stealth prioriterer aktørene skala, robusthet og lave kostnader. Botnettet sprer seg gjennom automatisert SSH skanning og brute force angrep, blant annet via en Go-binær som utgir seg for å være verktøyet nmap.

Når et system kompromitteres, brukes det videre til å skanne nye mål, en ormlignende spredningsmekanisme. På infiserte maskiner installeres blant annet GCC for å kompilere skadevare lokalt, og vedvarende tilgang sikres gjennom cron jobber som kjøres hvert minutt og relanserer bot prosessen dersom den stoppes.

SSHStalker inneholder også exploits for 16 eldre Linux kjerne (kernel) sårbarheter (fra 2009–2010) for å eskalere privilegier. Ifølge Flare er rundt 7 000 systemer trolig berørt, hovedsakelig innenfor skymiljøer som Oracle Cloud.

Når det gjelder formål, har forskerne observert funksjonalitet for blant annet innsamling av AWS nøkler, nettsideskanning, kryptomining (blant annet PhoenixMiner) og DDoS kapasitet, selv om aktiv bruk av DDoS foreløpig ikke er bekreftet. Botene ser i stor grad ut til å være i en ventefase, noe som kan indikere testing eller tilgangslagring.

Anbefaling:

Flare anbefaler blant annet å deaktivere passordbasert SSH-autentisering, fjerne kompilatorer fra produksjonsmiljøer, overvåke IRC-lignende utgående trafikk og reagere på mistenkelige cron-jobber med hyppig kjøring.

Reynolds løsepengevirus installerer ondsinnet driver for å deaktivere sikkerhetsverktøy

Den såkalte BYOVD teknikken går ut på å misbruke legitime, men sårbare drivere for å skaffe seg høyere rettigheter i Windows og deaktivere sikkerhetsløsninger slik at angrep kan gjennomføres uoppdaget. Metoden har i flere år vært populær blant løsepengegrupper.

I en fersk kampanje knyttet til løsepengevirus familien Reynolds ble en sårbar Windows driver fra NsecSoft pakket direkte inn i selve skadevaren. Normalt distribueres slike verktøy separat for å slå av sikkerhetsprogramvare før kryptering starter. Ved å kombinere alt i én fil blir angrepet både raskere og vanskeligere å stoppe.

Driveren inneholder en kjent sårbarhet som kan brukes til å avslutte vilkårlige prosesser, blant annet sikkerhetsprogrammer fra flere kjente leverandører. Forskerne peker på at denne typen integrert forsvarsomgåelse gjør angrep enklere å gjennomføre for tilknyttede aktører og reduserer muligheten for at forsvarere oppdager aktiviteten i tide.

Samtidig viser nye rapporter at ransomware landskapet blir stadig mer profesjonalisert. Flere grupper tilbyr nå støttefunksjoner for utpressing, benytter avanserte krypteringsmetoder og retter seg i økende grad mot skytjenester og feilkonfigurerte lagringsmiljøer. Antall angrep fortsatte å øke i 2025, og gjennomsnittlig løsepengebetaling steg betydelig mot slutten av året.

Eksperter understreker at misbruk av sårbare drivere fortsatt er en alvorlig utfordring, og at defensive tiltak ofte er reaktive, noe som gjør det krevende å stanse nye varianter før de tas i bruk i faktiske angrep.

Posted by tsoc at 12:01 0 comments

Tuesday, 10 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.10

Ny Kritisk sårbarhet i FortiClientEMS. Microsoft Exchange Online markerer legitime e-poster som phishing.

Ny Kritisk sårbarhet i FortiClientEMS

Fortinet har sluppet sikkerhetsoppdateringer for en kritisk sårbarhet i FortiClientEMS (CVE-2026-21643) med en alvorlighetsgrad på 9,1, som kan gjøre det mulig for en uautorisert angriper å kjøre vilkårlig kode gjennom SQL‑injeksjon via spesiallagde HTTP‑forespørsler.

Feilen berører spesielt FortiClientEMS 7.4.4, som må oppgraderes til versjon 7.4.5 eller nyere, mens versjonene 7.2 og 8.0 ikke er påvirket. Oppdagelsen krediteres Fortinets eget sikkerhetsteam, og selv om det ikke finnes tegn til aktiv utnyttelse, anbefales rask patching.

Dette kommer samtidig som Fortinet har håndtert en annen kritisk sårbarhet (CVE-2026-24858) i flere av sine produkter, som har blitt aktivt utnyttet til å opprette admin kontoer, endre konfigurasjoner og hente ut brannmurdata.

Microsoft Exchange Online markerer legitime e-poster som phishing

Microsoft bekrefter et pågående problem med Exchange Online hvor legitime e-poster blir feilaktig merket som phishing og satt i karantene.

Problemet startet 5. februar 2026 og påvirker kunder ved at både sending og mottak av e-post er forstyrret. Årsaken er en ny URL-regel i systemets antiphishing filtre som feilaktig vurderer enkelte trygge lenker som skadelige, noe som fører til at e-postene blir klassifisert som phishing og sperret.

Microsoft jobber med å løslate karanterte meldinger tilbake til innbokser og fjerne blokkeringen av legitime URL-er, men har ikke offentliggjort nøyaktig estimat for når hele problemet er løst. Tidligere har lignende feil forekommet i Exchange Online-tjenesten.

Posted by tsoc at 13:05 0 comments
Subscribe to: Comments (Atom)
 
>