Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday, 22 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.22

CISA varsler om aktivt utnyttet SD WAN sårbarhet. Ny macOS-trussel: ClickFix-angrep stjeler passord og kryptolommebøker.

CISA varsler om aktivt utnyttet SD WAN sårbarhet

CISA har lagt til Cisco Catalyst SD WAN Manager sårbarheten CVE-2026-20133 (CVSS v3 score 7,5) i sin KEV-katalog (Known Exploited Vulnerabilities) etter bevis på aktiv utnyttelse. Cisco publiserte en fiks for feilen i slutten av februar 2026, men det er framdeles mange systemer uten sikkerhetsoppdateringene. Sårbarheten skyldes utilstrekkelige adgangskontroller mot filsystemet, som gjør at en uautentisert angriper kan lese sensitiv informasjon fra det underliggende operativsystemet via API-kall mot en upatchet enhet. Det anbefales at sikkerhetsoppdateringer installeres.

Sårbarheter:

Ny macOS-trussel: ClickFix-angrep stjeler passord og kryptolommebøker

En ny bølge av såkalte ClickFix-angrep retter seg mot macOS-brukere og sprer en avansert AppleScript-basert infostealer. Angrepet lurer brukere til å kjøre skadelige kommandoer selv, ofte via falske CAPTCHA-sider eller “feilrettinger”.

Ifølge Netskope Threat Labs utnytter kampanjen sosial manipulering for å få brukeren til å lime inn en skjult curl-kommando via Spotlight. Når kommandoen kjøres, lastes skadevare ned i bakgrunnen og begynner å samle inn sensitiv informasjon.

Skadevaren er særlig omfattende: Den retter seg mot minst 14 nettlesere, 16 kryptolommebøker og over 200 nettleserutvidelser. Blant dataene som stjeles er passord, sesjonscookies, autofyll-data og kredittkortinformasjon. I tillegg forsøker den å hente ut innhold fra macOS Keychain.

Et ekstra alvorlig element er at brukeren presses til å oppgi systempassordet sitt via en falsk, men svært troverdig macOS-dialogboks. Denne boksen kan ikke lukkes og fortsetter å dukke opp til korrekt passord blir skrevet inn.

Angrepene er primært observert mot finanssektoren i Asia, men teknikken kan enkelt ramme brukere globalt. Både Windows og macOS maskiner er sårbare, men nyere versjoner av macOS har fått innebygde varsler som kan stoppe slike angrep.

Anbefalinger til brukere:

  • Oppdater til nyeste versjon av macOS for å få innebygde sikkerhetsvarsler

  • Unngå å lime inn kommandoer i Terminal eller Spotlight fra ukjente kilder

  • Vær skeptisk til CAPTCHA-sider som ber deg utføre handlinger på egen maskin

  • Bruk tofaktorautentisering (2FA) der det er mulig

  • Installer og oppdater sikkerhetsprogramvare som kan oppdage infostealers

  • Vurder å bruke separate passordhvelv og unngå lagring av sensitive data i nettlesere

Posted by tsoc at 12:27 0 comments

Tuesday, 21 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.21

Hackere bruker MiningDropper til å levere infostealer, Remote Access Torjanere og skadelig programvare for banktjenester på Android. Vercel-brudd koblet til infostealer-infeksjon hos Context.ai.

Hackere bruker MiningDropper til å levere infostealer, Remote Access Torjanere og skadelig programvare for banktjenester på Android

En aktiv Android malwarekampanje bruker rammeverket MiningDropper som en flertrinns dropper for å levere sekundærlaster som infostealers, Remote Access Trojanere, banktrojanere og i noen tilfeller kryptominere. Kampanjen sprer seg via phishing-sider, falske nettsteder og lenker i sosiale medier, ofte forkledd som legitime apper, banker, telekomtjenester og transporttjenester. Ifølge forskere er aktiviteten observert i India, Europa, Latin Amerika og Asia, med ulike kampanjer rettet både mot datatyveri og fjernstyring av kompromitterte enheter. Trusselen er særlig alvorlig fordi den kombinerer sosial manipulering med modulær malwareleveranse som gjør videre skadevareutplassering fleksibel og vanskeligere å oppdage.

Anbefaling:

Unngå sidelasting av APK-filer fra uoffisielle kilder, håndhev installasjon kun fra betrodde app-butikker, overvåk Android-enheter for ukjente apper og uvanlig nettverkstrafikk, og styrk brukerbevissthet rundt phishing og falske applikasjoner.

Vercel-brudd koblet til infostealer-infeksjon hos Context.ai

En pågående analyse som knytter Vercel-bruddet til en sannsynlig kompromittering via en infostealer-infeksjon hos tredjepartsleverandøren Context.ai. Ifølge Hudson Rock skal en ansatt med sensitive tilganger ha blitt infisert med Lumma stealer i februar 2026, angivelig etter nedlasting av ondsinnede Roblox-relaterte “auto-farm”-skript og eksekverbare filer. Denne infeksjonen skal ha eksponert virksomhetskritiske legitimasjoner, inkludert tilgang til Google Workspace, Supabase, Datadog, Authkit og Vercel-administrative ressurser. Artikkelen peker på at denne kompromitteringen kan ha gitt trusselaktører, omtalt som ShinyHunters, et initialt tilgangspunkt som muliggjorde videre eskalering og potensielt inntrenging i Vercels infrastruktur.

Det understrekes at dette fremstår som en supply chain-relatert hendelse der svakheten ikke nødvendigvis lå hos Vercel direkte, men via kompromittert tredjepartstilgang. Artikkelen bygger på korrelasjon mellom infostealer-telemetri, kompromitterte tilgangslogger og observerte administrative tilganger, men presenterer dette som etterretningsbaserte funn og sannsynlig årsakssammenheng, ikke endelig offentlig bekreftet root cause.

Posted by tsoc at 12:28 0 comments

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.21

Hackere bruker MiningDropper til å levere infostealer, Remote Access Torjanere og skadelig programvare for banktjenester på Android. Vercel-brudd koblet til infostealer-infeksjon hos Context.ai.

Hackere bruker MiningDropper til å levere infostealer, Remote Access Torjanere og skadelig programvare for banktjenester på Android

En aktiv Android malwarekampanje bruker rammeverket MiningDropper som en flertrinns dropper for å levere sekundærlaster som infostealers, Remote Access Trojanere, banktrojanere og i noen tilfeller kryptominere. Kampanjen sprer seg via phishing-sider, falske nettsteder og lenker i sosiale medier, ofte forkledd som legitime apper, banker, telekomtjenester og transporttjenester. Ifølge forskere er aktiviteten observert i India, Europa, Latin Amerika og Asia, med ulike kampanjer rettet både mot datatyveri og fjernstyring av kompromitterte enheter. Trusselen er særlig alvorlig fordi den kombinerer sosial manipulering med modulær malwareleveranse som gjør videre skadevareutplassering fleksibel og vanskeligere å oppdage.

Anbefaling:

Unngå sidelasting av APK-filer fra uoffisielle kilder, håndhev installasjon kun fra betrodde app-butikker, overvåk Android-enheter for ukjente apper og uvanlig nettverkstrafikk, og styrk brukerbevissthet rundt phishing og falske applikasjoner.

Vercel-brudd koblet til infostealer-infeksjon hos Context.ai

En pågående analyse som knytter Vercel-bruddet til en sannsynlig kompromittering via en infostealer-infeksjon hos tredjepartsleverandøren Context.ai. Ifølge Hudson Rock skal en ansatt med sensitive tilganger ha blitt infisert med Lumma stealer i februar 2026, angivelig etter nedlasting av ondsinnede Roblox-relaterte “auto-farm”-skript og eksekverbare filer. Denne infeksjonen skal ha eksponert virksomhetskritiske legitimasjoner, inkludert tilgang til Google Workspace, Supabase, Datadog, Authkit og Vercel-administrative ressurser. Artikkelen peker på at denne kompromitteringen kan ha gitt trusselaktører, omtalt som ShinyHunters, et initialt tilgangspunkt som muliggjorde videre eskalering og potensielt inntrenging i Vercels infrastruktur.

Det understrekes at dette fremstår som en supply chain-relatert hendelse der svakheten ikke nødvendigvis lå hos Vercel direkte, men via kompromittert tredjepartstilgang. Artikkelen bygger på korrelasjon mellom infostealer-telemetri, kompromitterte tilgangslogger og observerte administrative tilganger, men presenterer dette som etterretningsbaserte funn og sannsynlig årsakssammenheng, ikke endelig offentlig bekreftet root cause.

Posted by tsoc at 12:24 0 comments

Monday, 20 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.20

Cisco patcher fire kritiske sårbarheter i Identity Services og Webex som muliggjør RCE og brukerimitasjon. Mirai-varianten Nexcorium utnytter CVE-2024-3721 for å kapre TBK DVR-er til DDoS-botnett. Kritisk feil i Protobuf-biblioteket gjør det mulig å kjøre JavaScript-kode.

Cisco patcher fire kritiske sårbarheter i Identity Services og Webex som muliggjør RCE og brukerimitasjon

Cisco har publisert sikkerhetsoppdateringer for fire kritiske sårbarheter i Identity Services Engine (ISE), ISE-PIC og Webex som kan føre til fjernkjøring av kode, kommandoeksekvering og brukerimitasjon. De mest alvorlige feilene (CVSS opptil 9.9) skyldes utilstrekkelig validering av brukerinput og svak sertifikatvalidering i SSO-integrasjon. Dette kan gjøre det mulig for angripere med gyldige eller til og med uten autentisering i enkelte tilfeller å kjøre vilkårlige kommandoer, eskalere privilegier til root eller utgi seg for legitime brukere i Webex. I enkelte scenarioer kan også DoS oppstå ved at ISE-noder blir utilgjengelige. Cisco opplyser at det ikke er observert aktiv utnyttelse, men anbefaler rask oppdatering.

Anbefaling:

Oppdater til siste tilgjengelige versjoner av Cisco ISE og ISE-PIC i henhold til anbefalte patch-nivåer. For Webex SSO-brukere anbefales det å laste opp nytt SAML-sertifikat i Control Hub.

Mirai-varianten Nexcorium utnytter CVE-2024-3721 for å kapre TBK DVR-er til DDoS-botnett

Sikkerhetsforskere fra Fortinet og Palo Alto Networks har avdekket at angripere aktivt utnytter kjente sårbarheter i IoT‑ og nettverksenheter for å spre Mirai‑baserte botnett. I TBK‑DVR‑enheter misbrukes sårbarheten CVE‑2024‑3721 til å installere skadevaren Nexcorium, som gir angriperen varig tilgang og mulighet til å utføre DDoS‑angrep. Skadevaren kombinerer utnyttelse av sårbarheter med brute‑force‑angrep og sideveis spredning for å infisere flere enheter i samme nettverk. Samtidig observeres aktive angrepsforsøk mot utgåtte (EoL) TP‑Link‑rutere via CVE‑2023‑33538, og selv om mange av disse forsøkene feiler, viser de at gamle enheter uten oppdateringer og med standardpassord fortsatt utgjør en betydelig sikkerhetsrisiko og bør erstattes.

Kritisk feil i Protobuf-biblioteket gjør det mulig å kjøre JavaScript-kode

Det er avdekket en kritisk remote code execution‑sårbarhet (RCE) i protobuf.js, et svært utbredt JavaScript‑bibliotek brukt til strukturert datakommunikasjon i Node.js og skybaserte applikasjoner. Sårbarheten skyldes utrygg dynamisk kodegenerering, der biblioteket bygger og kjører JavaScript‑funksjoner basert på protobuf‑skjemaer uten tilstrekkelig validering av identifikatorer. Dette gjør det mulig for en angriper å levere et ondsinnet skjema som kan injisere og kjøre vilkårlig kode når applikasjonen behandler data. Feilen påvirker eldre versjoner av biblioteket og kan føre til kompromittering av servere eller utviklermiljøer. Brukere anbefales å oppgradere til oppdaterte versjoner og behandle protobuf-skjemaer som ikke-sikker input.

Posted by tsoc at 11:55 0 comments

Friday, 17 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.17

Cisco patcher fire kritiske sårbarheter i Identity Services og Webex som muliggjør RCE og brukerimitasjon.

Cisco patcher fire kritiske sårbarheter i Identity Services og Webex som muliggjør RCE og brukerimitasjon

Cisco har publisert sikkerhetsoppdateringer for fire kritiske sårbarheter i Identity Services Engine (ISE), ISE-PIC og Webex som kan føre til fjernkjøring av kode, kommandoeksekvering og brukerimitasjon. De mest alvorlige feilene (CVSS opptil 9.9) skyldes utilstrekkelig validering av brukerinput og svak sertifikatvalidering i SSO-integrasjon. Dette kan gjøre det mulig for angripere med gyldige eller til og med uten autentisering i enkelte tilfeller å kjøre vilkårlige kommandoer, eskalere privilegier til root eller utgi seg for legitime brukere i Webex. I enkelte scenarioer kan også DoS oppstå ved at ISE-noder blir utilgjengelige. Cisco opplyser at det ikke er observert aktiv utnyttelse, men anbefaler rask oppdatering.

Anbefaling:

Oppdater til siste tilgjengelige versjoner av Cisco ISE og ISE-PIC i henhold til anbefalte patch-nivåer. For Webex SSO-brukere anbefales det å laste opp nytt SAML-sertifikat i Control Hub.

Posted by tsoc at 13:04 0 comments

Thursday, 16 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.16

April Patch Tuesday fikser kritiske sårbarheter i SAP, Adobe, Microsoft og flere. UAC-0247 retter datatyv-kampanje mot ukrainske klinikker og myndigheter.

April Patch Tuesday fikser kritiske sårbarheter i SAP, Adobe, Microsoft og flere

April Patch Tuesday 2026 inkluderer en rekke kritiske sikkerhetsoppdateringer fra leverandører som Microsoft, SAP, Adobe og Fortinet. Oppdateringene adresserer flere alvorlige sårbarheter, inkludert fjernkjøring av kode (RCE) og risiko for datatyveri. Microsoft alene har fikset over 160 sårbarheter, inkludert minst én aktivt utnyttet nulldagssårbarhet i SharePoint (CVE-2026-32201). Flere av sårbarhetene er klassifisert som kritiske og kan gi angripere mulighet til å ta kontroll over systemer eller eskalere privilegier.

Anbefaling:

Organisasjoner bør prioritere å installere alle tilgjengelige sikkerhetsoppdateringer umiddelbart, spesielt for internett-eksponerte systemer som SharePoint. Det anbefales også å teste patcher raskt og rulle dem ut for å redusere risiko for aktiv utnyttelse.

Sårbarheter:

UAC-0247 retter datatyv-kampanje mot ukrainske klinikker og myndigheter

Ukrainas Computer Emergencies Response Team (CERT-UA) har avdekket en ny kampanje som har rettet seg mot myndigheter og kommunale helseinstitusjoner for å distribuere skadevare som kan stjele sensitive data fra Chromium-baserte nettlesere og WhatsApp. Aktiviteten ble observert mellom mars og april 2026, og tilskrives en trusselgruppe kalt UAC-0247. Opprinnelsen til kampanjen er foreløpig ukjent.

Angrepskjeden starter med en e-post som utgir seg for å være et forslag om humanitær hjelp, og oppfordrer mottakerne til å klikke på en lenke som omdirigerer til enten et legitimt nettsted kompromittert via en cross-site scripting (XSS)-sårbarhet, eller et falskt nettsted laget ved hjelp av AI-verktøy. Målet i begge tilfeller er å få offeret til å kjøre en Windows Shortcut-fil (LNK), som i sin tur kjører en ekstern HTML Application (HTA) via det legitime Windows-verktøyet "mshta.exe". HTA-filen viser et lokkeskjema for å distrahere offeret, mens den i bakgrunnen laster ned en binærfil som injiserer shellcode i en legitim prosess som "runtimeBroker.exe". CERT-UA har også observert en to-stegs loader der andre steg er implementert i et egenutviklet eksekverbart filformat, med payload som er både komprimert og kryptert.

Blant skadevaren som distribueres finnes:

  • RAVENSHELL: et TCP reverse shell som oppretter tilkobling til en styringsserver for å motta kommandoer som utføres via "cmd.exe".

  • AGINGFLY: et C#-basert fjernstyringsverktøy som kommuniserer med en C2-server via WebSockets, og som kan kjøre kommandoer, starte keylogger, laste ned filer og kjøre ytterligere nyttelaster.

  • SILENTLOOP: et PowerShell-skript som blant annet henter C2-serverens aktuelle IP-adresse fra en Telegram-kanal, med fallback til alternative mekanismer.

I tillegg benyttes flere åpen kildekode-verktøy: ChromElevator (omgår Chromiums app-bound encryption for å hente cookies og lagrede passord), ZAPiXDESK (dekrypterer lokale WhatsApp Web-databaser), RustScan (nettverksskanner), Ligolo-Ng og Chisel (tunneling over TCP/UDP/TLS), samt kryptoutvinneren XMRig.

Gjennomgang av omtrent et dusin hendelser viser at angrepene legger til rette for rekognosering, lateral bevegelse og tyveri av legitimasjon og andre sensitive data. CERT-UA indikerer også at representanter for Ukrainas forsvarsstyrker kan ha vært mål, gjennom distribusjon av skadelige ZIP-arkiver via Signal som leverer AGINGFLY ved bruk av DLL side-loading.

For å redusere risikoen anbefales det å begrense kjøring av LNK-, HTA- og JS-filer, samt legitime verktøy som "mshta.exe", "powershell.exe" og "wscript.exe".

Posted by tsoc at 12:21 0 comments

Wednesday, 15 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.15

Silent Storm infostealer kaprer sesjoner og dekrypterer server-side data.

Silent Storm infostealer kaprer sesjoner og dekrypterer server-side data

En ny infostealer kalt Silent Storm er identifisert som en avansert trussel som kan kapre aktive brukersesjoner og dekryptere sensitiv data direkte fra server side lagring. I motsetning til tradisjonelle infostealers som kun stjeler lagrede passord eller cookies, utnytter denne teknikker for å hente og dekryptere autentiseringsdata i sanntid, noe som gjør det mulig å omgå multifaktorautentisering. Angrepene retter seg spesielt mot nettlesere og autentiseringsmekanismer, og gjør det mulig for angripere å få vedvarende tilgang til kontoer uten å måtte logge inn på nytt. Silent Storm benytter avanserte metoder for å unngå deteksjon og opererer i minnet, noe som gjør den vanskelig å oppdage med tradisjonelle sikkerhetsverktøy.

Posted by tsoc at 11:55 0 comments
Subscribe to: Comments (Atom)
 
>