Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 24 June 2022

2022.06.24 - Nyhetsbrev

Google: Italiensk-produsert spionvare brukt mot Android- og Apple-telefoner. Kinesiske APTer bruker ransomware for å skjule informasjons-tyveri. Litauen under cyber-angrep etter å ha bannlyst russisk godstransport.

Google: Italiensk-produsert spionvare brukt mot Android- og Apple-telefoner

Google har gitt ut en ny rapport der de går igjennom bruk av spionvare mot mobiltelefon-brukere i Italia og Kasakhstan. Programvaren som er brukt er produsert av Milan-baserte RCS Lab. RCS har kommentert at deres produkter og tjenester overholder europeisk lovgivning og hjelper myndighetene med å oppklare saker.

Google mener at noen av infeksjonene ble gjennomført i samarbeid med mobiloperatørene som målene brukte. Mobiloperatøren slo med vilje av dataforbindelsen til målet og det ble sendt ut en tekst-melding med en app som måtte lastes ned for å få tilbake forbindelsen. Appen som ble lastet ned var forkledd som en offisiell app fra mobiloperatøren, men var i virkeligheten spionvare. Appene for iOS var gyldige og signerte, men ikke tilgjengelig fra de offisielle app-butikkene.
Referanser
https://edition.cnn.com/2022/06/23/tech/apple[...]
https://therecord.media/google-seven-zero-day[...]
https://blog.google/threat-analysis-group/ita[...]

Kinesiske APTer bruker ransomware for å skjule informasjons-tyveri

Secureworks har publisert informasjon om de to statlig tilknyttede APTene (Advanced Persistent Threat) Bronze Riverside og Bronze Starlight. Begge har vært involvert i en koordinert kampanje for å stjele intern informasjon fra bedrifter og stater. Etter å ha kopiert ut informasjonen, har aktørene gjennomført angrep med ransomware mot de samme ofrene for å skjule sporene og den egentlige grunnen til datainnbruddene.
Referanser
https://www.secureworks.com/research/bronze-s[...]

Litauen under cyber-angrep etter å ha bannlyst russisk godstransport

Hacktivist-gruppen Cyber Spetsnaz har angrepet litauiske regjeringssider og annen kritisk infrastruktur ved hjelp av DDoS-angrep. Bakgrunnen er at Litauen har begynt å nekte russiske godstog adgang til landet. Normalt er det stor transport av russiske varer gjennom Litauen mellom Russland og den russiske enklaven Kaliningrad.
Referanser
http://securityaffairs.co/wordpress/132518/ha[...]

Thursday, 23 June 2022

2022.06.23 - Nyhetsbrev

Microsoft med ny rapport om Ukraina-krigen i relasjon til cybersikkerhet.

Microsoft med ny rapport om Ukraina-krigen i relasjon til cybersikkerhet

Microsoft har sluppet en lengre rapport om hendelser i cyber-domenet i forbindelse med krigen i Ukraina og kommer med flere råd til hvordan land bør forberede seg på konflikter i dette nye domenet.

Selskapet sier også at Russiske cyberoperasjoner har vært målrettet mot Baltiske stater. De siste to månedene har også Norge, Danmark, Finland, Sverige og Tyrkia sett en økning i lignende aktivitet mot sine datanettverk. Microsoft melder at totalt 42 Ukraina-vennlige land har opplevd strategisk spionasje fra Russiske hackere.
Referanser
https://blogs.microsoft.com/on-the-issues/202[...]
https://www.digi.no/artikler/microsoft-sier-r[...]

Wednesday, 22 June 2022

2022.06.22 - Nyhetsbrev

Ukjent APT aktør angriper flere høy-profil enheter i Europa og Asia
56 Sårbarheter på OT enheter fra 10 forskjellige fabrikanter
Leveringsselskapet Yodel bekreftet at cyberangrepet påvirker leveranser
Økende bruk i LNK filer som skadevare
Google Chrome får en oppdatering som løser 14 sikkerhetsproblemer

Ukjent APT aktør angriper flere høy-profil enheter i Europa og Asia

ToddyCat er en relativt ny APT aktør som ikke har blitt koblet opp mot andre kjente aktører, men er ansvarlig for flere angrep siden Desember 2020. Blant annet flere Microsoft Exchange servere fram til Februar 2021. Etter dette skjedde en kjapp eskalering til som økte angrepene til flere selskaper over hele Europa og Asia.
Referanser
https://securelist.com/toddycat/106799/

56 Sårbarheter på OT enheter fra 10 forskjellige fabrikanter

Det er funnet 56 sårbarheter på produkter fra Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, OMRON, Phoenix Contact, Siemens og Yokogawa.
Disse sårbarhetene er fordelt på 26 forskjellige modeller fra disse fabrikantene og har blitt kalt OT:ICEFALL av Forescout.
En av sårbarhetene som har blitt rapportert har blitt brukt i et angrep mot Omron NJ/NX kontrollere i form av lokal eksekvering av kode. (CVE-2022-31206)
Referanser
https://thehackernews.com/2022/06/researchers[...]

Leveringsselskapet Yodel bekreftet at cyberangrepet påvirker leveranser

Tjenestene til Yodel, et leveringsselskap basert i Storbritannia, har hatt et cyberangrep i helgen. Angrepet påvirker slik at kunder ikke får oversikt over sine leveranser og at pakkene blir forsinket under levering.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Økende bruk i LNK filer som skadevare

LNK er betegnelsen på snareveier på Windows. På flere forskjellige måter kan disse bli brukt til å implementere skadevare. LNK filer hvor Powershell, CMD MSHTA, etc, blir brukt kan gjøre alvorlig skade.
Som oftest blir disse brukt med Powershell eller CMD til å koble til ondsinnede URLer og laste ned forskjellige skadevare.
Referanser
https://www.mcafee.com/blogs/other-blogs/mcaf[...]

Google Chrome får en oppdatering som løser 14 sikkerhetsproblemer

Oppdateringen løser 14 kjente sikkerhetshull og kommer ut til Windows, Mac og Linux i løpet av de neste dagene/ukene.
Referanser
https://chromereleases.googleblog.com/2022/06[...]

Tuesday, 21 June 2022

2022.06.21 - Nyhetsbrev

Citrix slipper oppdatering for kritisk svakhet i ADM.

Citrix slipper oppdatering for kritisk svakhet i ADM.

Citrix har sluppet oppdatering for en svakhet i Application Delivery Mangement (ADM) produktet deres som tillot en angriper å tilbakestille admin-passord. Gjennom svakheten, med benevnelsen CVE-2022-27511, kan en uatutentisert angriper krasje serveren og tilbakestille admin-passord ved neste reboot. Deretter kan angriperen få SSH-tilgangsrettigheter som administrator.
Referanser
https://support.citrix.com/article/CTX460016/[...]
https://portswigger.net/daily-swig/critical-c[...]

Monday, 20 June 2022

2022.06.20 - Nyhetsbrev

Nulldag-angrep utført av kinesiske aktører mot Sophos brannmurer. Russisk botnet stanset i internasjonal kyber-operasjon. Cisco lanserer nye sikkerhetsoppdateringer for diverse produkter.

Cisco lanserer nye sikkerhetsoppdateringer for diverse produkter

Nye sikkerhetsoppdateringer for "Cisco Email Security Appliance" vil fikse sårbarheter som lar en angriper få ekstern tilgang på brukergrensesnittet til produktet, der dette skyldes svak LDAP autentisering på enheten. En angriper vil også kunne oppnå ekstern kode-eksekvering på "Small Business" produkter som følge av utilstrekkelig validering av inkommende HTTP trafikk.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]

Kinesiske aktører utnyttet nulldags sårbarhet på Sophos brannmurer

Kinesiske aktører utnyttet en nulldag-sårbarhet på Sophos brannmurer i flere uker før Sophos kom ut med en fiks. Sårbarheten, CVE-2022-1040 ble publisert av Sophos i mars og aktørene utnytte brukerportalen og grensesnittet for administrasjon av brannmuren til å fjern eksekvere kode.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Russisk botnet stanset i internasjonal kyber-operasjon

Det russiske botnettet "RSOCKS" som tilbydde kundene sine tilgang til et stort utvalg av ulovlige IP adresser blir stanset av et partnerskap mellom USA, Tyskland, Nederland og Stor Britannia. RSOCKS fungerte som en ulovlig proxy tjeneste som tilbydde kundene sine tilgang til IP adresser til kompromitterte klienter slik at ondsinnet trafikk kan passere gjennom anonymt.
Referanser
https://www.justice.gov/usao-sdca/pr/russian-[...]

Friday, 17 June 2022

2022.06.17 - Nyhetsbrev

Flere hundre arrestert i global Interpol-operasjon mot svindlere. SAP gir ut sikkerhetsoppdateringer for juni.

Flere hundre arrestert i global Interpol-operasjon mot svindlere

Interpol har gjennomført en verdensomspennende aksjon mot svindel og sosial manipulering via Internett. Operasjonen kalles First Light 2022 og innvolverte 76 land.

1,770 lokasjoner raidet internasjonalt
3,000 mistenkte identifisert
2,000 operatører, svindlere og hvitvaskere arrestert
4,000 bankkontoer fryst
ca. USD 50 millioner i ulovlige midler avskjært
Referanser
https://www.interpol.int/News-and-Events/News[...]

SAP gir ut sikkerhetsoppdateringer for Juni

SAP har utgitt en oppdatering for å adressere flere sårbarheter som rammer produktene deres. En potensiell angriper kan utnytte noen av sårbarhetene til å ta kontroll over et sårbart system. Dermed anbefaler CISA at brukere installerer nødvendige oppdateringer på SAP produktene deres der det trengs.
Anbefaling
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]
https://dam.sap.com/mac/app/e/pdf/preview/emb[...]

Thursday, 16 June 2022

2022.06.16 - Nyhetsbrev

MailBot en ny trojaner målrettet mot online banker og krypto lommebøker.

MailBot. En ny trojaner målrettet mot online banker og krypto lommebøker

En ny skadevare på Android som forsøker å stjele kredentialer, cookies, sniker seg forbi multifaktor-autentisering og misbruker Android sin tilgjengelighetsservice for å se på offerets skjerm.

MailBot utgir seg for å være kryptovaluta apper som for eksempel Mining X eller CryptoApp distribuert via svindelnettsider. Og den sprer seg ved å sende linker til nedlastning via kontaktlisten til infiserte telefoner.

Den kan også bli brukt til et bredere spekter, som for eksempel å stjele multifaktor-autentisering koder hos infiserte telefoner.
Referanser
https://thehackernews.com/2022/06/malibot-new[...]