Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 17 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.17

Sikkerhetsoppdatering for Chrome fikser utnyttet nulldagssårbarhet.

Sikkerhetsoppdatering for Chrome fikser utnyttet nulldagssårbarhet

Google har publisert en sikkerhetsoppdatering for Chrome etter at en ny nulldagssårbarhet har blitt utnyttet i aktivt angrep. Sårbarheten har fått kode CVE-2026-2441 med score 8.8. Det er en såkalt "use-after-free" feil i nettleserens CSS komponent som tillater angripere å kjøre vilkårlig kode i en sandbox via spesielt utformede HTML-sider. Google har bekreftet at det finnes utnyttelse av feilen i omløp, men har ikke offentliggjort detaljer om hvem som står bak angrepene eller hvordan de er utformet.

Sårbarheter:

Posted by tsoc at 12:02 0 comments

Saturday, 14 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.14

Ondsinnet 7-Zip nettsted distribuerer installasjonsfil med skjult proxy verktøy.

Ondsinnet 7-Zip nettsted distribuerer installasjonsfil med skjult proxy verktøy

Et falskt nettsted som imiterer den populære arkiveringsprogramvaren 7-Zip (hostet på 7zip[.]com i stedet for den legitime 7-zip.org) distribuerer en trojanisert installasjonsfil som i tillegg til selve 7-Zip programmet installerer skjult skadevare som gjør den infiserte enheten om til en "residential proxy node" for trusselaktører. Den ondsinnede koden legger igjen flere komponenter i C:\Windows\SysWOW64\hero, oppretter Windows tjenester med SYSTEM privilegier, og endrer brannmurregler for å tillate inn- og utgående tilkoblinger. Proxy-noden kan deretter brukes til å rute trafikk, maskere angriperes opprinnelse eller hjelpe annen kriminalitet, og skadevare trafikken kommuniserer via et roterende kommando- og kontrollnettverk (C2) med krypterte protokoller. Kampanjen ble først oppdaget etter at en bruker lastet ned installasjonen via en lenke fra en YouTube tutorial, og den ondsinnede siden var fortsatt aktiv ved artikkelens publisering. Tidligere analyser indikerer også at tilsvarende trojaniserte installatører for andre populære apper som Hola VPN, TikTok, WhatsApp og Wire har blitt distribuert på lignende vis.

Brukere anbefales å laste ned programvare kun fra offisielle nettsider og sjekke lenker nøye før installasjon for å være sikre på at disse kommer fra det offisielle nettstedet.

Posted by tsoc at 12:30 0 comments

Friday, 13 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.13

AMOS-infostealer retter seg mot macOS gjennom en populær AI-app.

AMOS-infostealer retter seg mot macOS gjennom en populær AI-app

En ny kampanje med infostealeren Atomic macOS Stealer (AMOS) målretter macOS-brukere ved å utnytte tilliten til AI verktøy og populære søk etter hjelp. I stedet for en tradisjonell infisert app-installasjon, blir brukere lurt via betalte Google annonser og AI samtaler (som ChatGPT) til nettsteder som later som de tilbyr legitime løsninger for vanlige problemer. Disse guidene inneholder kommando linjer som brukeren blir bedt om å kopiere og kjøre i Terminal, og dette installerer AMOS-malware. Når det kjører, samler AMOS inn og eksfiltrerer sensitiv informasjon som passord, nettleserdata, keychain innhold og lommebokdata fra offerets Mac. Denne metoden omgår mange av standard sikkerhetsmekanismene i macOS fordi brukeren selv starter prosessen.

Posted by tsoc at 12:56 0 comments

Thursday, 12 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.12

Windows Notepad sårbar for fjernkjøring av kode via Markdown-lenker. Apple retter aktivt utnyttet zero-day som påvirker iOS, macOS og Apple-enheter.

Windows Notepad sårbar for fjernkjøring av kode via Markdown-lenker

Microsoft har tettet et sikkerhetshull i den moderne Notepad-appen (den som kommer fra Microsoft Store – ikke den gamle, klassiske Notepad.exe). Sårbarheten har fått en CVSS-score på 8,8 og kan i verste fall la en angriper kjøre vilkårlig kode på maskinen din.

Feilen (CVE-2026-20841) er i bunn og grunn et command injection-problem. Den oppstår når Notepad åpner Markdown-filer (.md) med spesielt utformede lenker. Klikker du på en slik lenke, kan Notepad bli lurt til å starte uverifiserte protokoller som henter og kjører ondsinnet kode fra en ekstern server. Angriperen får da samme tilgangsnivå som deg, og har du høye rettigheter, kan skadepotensialet bli stort.

Fiksen kom som en del av Patch Tuesday 10. februar 2026.

Kun den moderne Notepad-appen fra Microsoft Store, i versjoner eldre enn build 11.2510. Bruker du fortsatt den klassiske Notepad.exe, er du ikke berørt.

Anbefaling:

Oppdater Notepad via Microsoft Store til versjon 11.2510 eller nyere Sjekk at automatiske app-oppdateringer er aktivert Vær forsiktig med å åpne ukjente Markdown-filer eller klikke på lenker i dem før du har oppdatert Microsoft sier det foreløpig ikke er sett aktiv utnyttelse, men lav angrepskompleksitet gjør dette til noe du bør prioritere å patche raskt.

Sårbarheter:

Apple retter aktivt utnyttet zero-day som påvirker iOS, macOS og Apple-enheter

Apple har publisert sikkerhetsoppdateringer for iOS, iPadOS, macOS Tahoe, tvOS, watchOS og visionOS for å rette en aktivt utnyttet zero-day-sårbarhet (CVE-2026-20700). Feilen er en minnekorrupsjon i dyld (Dynamic Link Editor) som kan gjøre det mulig for en angriper med skrive-tilgang til minne å kjøre vilkårlig kode på sårbare enheter. Sårbarheten ble oppdaget og rapportert av Google Threat Analysis Group (TAG) og skal ha blitt brukt i svært sofistikerte og målrettede angrep mot utvalgte personer på eldre iOS-versjoner.

Apple knytter også funnet til to tidligere sårbarheter som ble fikset i desember 2025:

  • CVE-2025-14174 (CVSS 8.8): Out-of-bounds minnetilgang i ANGLE sin Metal-renderer.

  • CVE-2025-43529 (CVSS 8.8): Use-after-free-feil i WebKit som kan føre til kodekjøring via ondsinnet webinnhold.

Oppdateringene gjelder blant annet:

  • iOS/iPadOS 26.3 (iPhone 11 og nyere, flere iPad-modeller)

  • macOS Tahoe 26.3

  • tvOS 26.3

  • watchOS 26.3

  • visionOS 26.3

Apple har også gitt ut sikkerhetsoppdateringer for eldre versjoner av iOS, iPadOS, macOS Sequoia, macOS Sonoma og Safari.

Dette er Apples første aktivt utnyttede zero-day i 2026. I 2025 patcher selskapet totalt ni zero-days som ble utnyttet i det fri.

Anbefaling:

Oppdater alle Apple-enheter umiddelbart til nyeste tilgjengelige versjon for å beskytte mot den aktivt utnyttede zero-day-sårbarheten. Virksomheter bør prioritere høyrisikobrukere og sikre at alle enheter er oppdatert og overvåkes for mistenkelig aktivitet.

Posted by tsoc at 14:29 0 comments

Wednesday, 11 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.11

Seks aktivt utnyttede nulldagssårbarheter fikset i Microsofts februar 2026 oppdateringer. SSH Stalker bruker 15 år gammel IRC teknikk til C2. Reynolds løsepengevirus installerer ondsinnet driver for å deaktivere sikkerhetsverktøy.

Seks aktivt utnyttede nulldagssårbarheter fikset i Microsofts februar 2026 oppdateringer

Microsofts Patch Tuesday for februar 2026 retter rundt 60 sårbarheter i ulike produkter, inkludert seks aktivt utnyttede nulldagssårbarheter. Disse påvirker blant annet Windows SmartScreen, Windows Shell, Microsoft 365/Office, Internet Explorer, Desktop Window Manager, Remote Desktop Services og Remote Access Connection Manager.

Flere av sårbarhetene kan utnyttes ved at brukeren lures til å åpne en ondsinnet lenke, HTML-, LNK- eller Office fil. Andre kan gi lokal rettighetseskalering til SYSTEM nivå eller føre til tjenestenekt (DoS). Det finnes foreløpig begrenset offentlig informasjon om konkrete angrep, men funnene er blant annet kreditert Google Threat Intelligence Group, Microsoft, CrowdStrike og Acros Security. Dette kan indikere at profesjonelle aktører, muligens statssponsede, har vært involvert.

CISA har lagt de seks nulldagssårbarhetene til i sin KEV katalog, noe som understreker alvoret. I tillegg til Windows og Office har Microsoft også patchet sårbarheter i Azure, Defender, Exchange, .NET, GitHub Copilot, Edge og Power BI.

Anbefaling:

Anbefalingen er å oppdatere berørte systemer så raskt som mulig.

SSH Stalker bruker 15 år gammel IRC teknikk til C2

Linux botnettet SSHStalker benytter klassiske IRC baserte kontrollmekanismer fremfor moderne C2 rammeverk, ifølge trusselintelligensselskapet Flare. I stedet for avansert stealth prioriterer aktørene skala, robusthet og lave kostnader. Botnettet sprer seg gjennom automatisert SSH skanning og brute force angrep, blant annet via en Go-binær som utgir seg for å være verktøyet nmap.

Når et system kompromitteres, brukes det videre til å skanne nye mål, en ormlignende spredningsmekanisme. På infiserte maskiner installeres blant annet GCC for å kompilere skadevare lokalt, og vedvarende tilgang sikres gjennom cron jobber som kjøres hvert minutt og relanserer bot prosessen dersom den stoppes.

SSHStalker inneholder også exploits for 16 eldre Linux kjerne (kernel) sårbarheter (fra 2009–2010) for å eskalere privilegier. Ifølge Flare er rundt 7 000 systemer trolig berørt, hovedsakelig innenfor skymiljøer som Oracle Cloud.

Når det gjelder formål, har forskerne observert funksjonalitet for blant annet innsamling av AWS nøkler, nettsideskanning, kryptomining (blant annet PhoenixMiner) og DDoS kapasitet, selv om aktiv bruk av DDoS foreløpig ikke er bekreftet. Botene ser i stor grad ut til å være i en ventefase, noe som kan indikere testing eller tilgangslagring.

Anbefaling:

Flare anbefaler blant annet å deaktivere passordbasert SSH-autentisering, fjerne kompilatorer fra produksjonsmiljøer, overvåke IRC-lignende utgående trafikk og reagere på mistenkelige cron-jobber med hyppig kjøring.

Reynolds løsepengevirus installerer ondsinnet driver for å deaktivere sikkerhetsverktøy

Den såkalte BYOVD teknikken går ut på å misbruke legitime, men sårbare drivere for å skaffe seg høyere rettigheter i Windows og deaktivere sikkerhetsløsninger slik at angrep kan gjennomføres uoppdaget. Metoden har i flere år vært populær blant løsepengegrupper.

I en fersk kampanje knyttet til løsepengevirus familien Reynolds ble en sårbar Windows driver fra NsecSoft pakket direkte inn i selve skadevaren. Normalt distribueres slike verktøy separat for å slå av sikkerhetsprogramvare før kryptering starter. Ved å kombinere alt i én fil blir angrepet både raskere og vanskeligere å stoppe.

Driveren inneholder en kjent sårbarhet som kan brukes til å avslutte vilkårlige prosesser, blant annet sikkerhetsprogrammer fra flere kjente leverandører. Forskerne peker på at denne typen integrert forsvarsomgåelse gjør angrep enklere å gjennomføre for tilknyttede aktører og reduserer muligheten for at forsvarere oppdager aktiviteten i tide.

Samtidig viser nye rapporter at ransomware landskapet blir stadig mer profesjonalisert. Flere grupper tilbyr nå støttefunksjoner for utpressing, benytter avanserte krypteringsmetoder og retter seg i økende grad mot skytjenester og feilkonfigurerte lagringsmiljøer. Antall angrep fortsatte å øke i 2025, og gjennomsnittlig løsepengebetaling steg betydelig mot slutten av året.

Eksperter understreker at misbruk av sårbare drivere fortsatt er en alvorlig utfordring, og at defensive tiltak ofte er reaktive, noe som gjør det krevende å stanse nye varianter før de tas i bruk i faktiske angrep.

Posted by tsoc at 12:01 0 comments

Tuesday, 10 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.10

Ny Kritisk sårbarhet i FortiClientEMS. Microsoft Exchange Online markerer legitime e-poster som phishing.

Ny Kritisk sårbarhet i FortiClientEMS

Fortinet har sluppet sikkerhetsoppdateringer for en kritisk sårbarhet i FortiClientEMS (CVE-2026-21643) med en alvorlighetsgrad på 9,1, som kan gjøre det mulig for en uautorisert angriper å kjøre vilkårlig kode gjennom SQL‑injeksjon via spesiallagde HTTP‑forespørsler.

Feilen berører spesielt FortiClientEMS 7.4.4, som må oppgraderes til versjon 7.4.5 eller nyere, mens versjonene 7.2 og 8.0 ikke er påvirket. Oppdagelsen krediteres Fortinets eget sikkerhetsteam, og selv om det ikke finnes tegn til aktiv utnyttelse, anbefales rask patching.

Dette kommer samtidig som Fortinet har håndtert en annen kritisk sårbarhet (CVE-2026-24858) i flere av sine produkter, som har blitt aktivt utnyttet til å opprette admin kontoer, endre konfigurasjoner og hente ut brannmurdata.

Microsoft Exchange Online markerer legitime e-poster som phishing

Microsoft bekrefter et pågående problem med Exchange Online hvor legitime e-poster blir feilaktig merket som phishing og satt i karantene.

Problemet startet 5. februar 2026 og påvirker kunder ved at både sending og mottak av e-post er forstyrret. Årsaken er en ny URL-regel i systemets antiphishing filtre som feilaktig vurderer enkelte trygge lenker som skadelige, noe som fører til at e-postene blir klassifisert som phishing og sperret.

Microsoft jobber med å løslate karanterte meldinger tilbake til innbokser og fjerne blokkeringen av legitime URL-er, men har ikke offentliggjort nøyaktig estimat for når hele problemet er løst. Tidligere har lignende feil forekommet i Exchange Online-tjenesten.

Posted by tsoc at 13:05 0 comments

Monday, 9 February 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.02.09

Cyberangrep rammer OL-forberedelser i Italia – kobles til russiske aktører. Anthropic Claude Opus 4.6 bruker AI til å finne 500+ ukjente sårbarheter i åpen kildekode. PST trusselvurdering 2026.

Cyberangrep rammer OL-forberedelser i Italia – kobles til russiske aktører

Italienske myndigheter har avdekket pågående cyberangrep mot digitale systemer knyttet til vinter-OL i Milano-Cortina 2026. Angrepene har rammet offentlige nettsteder, transportrelaterte tjenester og arrangementsinfrastruktur, og knyttes til trusselaktører med tilknytning til Russland. Aktiviteten har hovedsakelig bestått av tjenestenektangrep (DDoS) og forsøk på å forstyrre offentlig tilgjengelige tjenester.

Ifølge italienske sikkerhetsmyndigheter inngår angrepene i bredere statlig støttede påvirkningsoperasjoner, der internasjonale sportsarrangementer brukes som symbolske mål i en geopolitisk kontekst. Hendelsene illustrerer hvordan store arrangementer med høy synlighet representerer attraktive mål for cyberoperasjoner, og understreker behovet for styrket beskyttelse av eksponert infrastruktur og økt digital beredskap i forkant av slike arrangementer.

Anthropic Claude Opus 4.6 bruker AI til å finne 500+ ukjente sårbarheter i åpen kildekode

AI-selskapet Anthropic har lansert sin nyeste store språkmodell Claude Opus 4.6, som har utmerket seg med evnen til å identifisere sikkerhetssvakheter i programvare på et nivå som tradisjonelle verktøy sliter med. Under intern testing fant modellen mer enn 500 tidligere ukjente høy-alvorlige sårbarheter i populære åpen kildekode-biblioteker som Ghostscript, OpenSC og CGIF, inkludert feil som kan føre til systemkrasj og bufferoverflow-problemer. Modellen gjorde dette uten spesialtilpassede verktøy eller detaljerte instruksjoner, ved i stedet å resonere om kode på en måte som ligner en menneskelig forsker.

Evnen til å oppdage slike feil “out-of-the-box” markerer et skifte i hvordan AI kan brukes til sikkerhetsanalyse og sårbarhetsjakt. Samtidig understreker funnene viktigheten av hurtig patching og sikker gjennomgang av avhengigheter, spesielt i programvare der tradisjonelle fuzzere og automatiske tester ofte går glipp av komplekse logiske feil. Opus 4.6 representerer både et verktøy for forsvarere og et signal om hvordan avansert AI kan endre landskapet for programvaresikkerhet fremover.

PST trusselvurdering 2026

Norge står overfor et skjerpet og vedvarende cybertrusselbilde i 2026, ifølge den nye Nasjonale trusselvurderingen fra Politiets sikkerhetstjeneste (PST). Rapporten slår fast at cyberoperasjoner er det viktigste virkemiddelet fremmede stater bruker for etterretning mot Norge.

Russland, Kina, Iran og Nord-Korea gjennomfører cyberoperasjoner direkte eller via såkalte proxy-aktører. Angrepene retter seg mot både offentlige og private virksomheter og benyttes til etterretning, kartlegging av digital infrastruktur, påvirkningsoperasjoner og i enkelte tilfeller sabotasje. PST forventer at flere slike operasjoner vil lykkes i året som kommer.

Trusselaktørene utnytter både tekniske sårbarheter, som svakheter i rutere og zero-day-feil i e-postsystemer, og menneskelige sårbarheter gjennom avansert sosial manipulering. Kinesiske aktører trekkes frem som særlig aktive i det digitale domenet, og PST advarer om at kunstig intelligens vil gjøre cyberangrep mer målrettede, effektive og vanskeligere å oppdage.

PST understreker at cybersikkerhet er et felles ansvar og oppfordrer virksomheter til å styrke beskyttelsestiltak, situasjonsforståelse og rapportering av mistenkelig digital aktivitet.

Posted by tsoc at 13:02 0 comments
Subscribe to: Comments (Atom)
 
>