2023.06.07 - Nyhetsbrev

0-dags svakhet utnyttes aktivt i Google Chrome. Google har gitt ut sin månedlige sikkerhetsoppdatering for Android. Oppsummering av nyhetsbildet innen datasikkerhet for mai 2023. Verizon har gitt ut sin 16. Data Breach Investigations Report (DBIR).

0-dags svakhet utnyttes aktivt i Google Chrome

Google ga ut en ny oppdatering for Google Chrome på mandag for å fikse en svakhet som allerede utnyttes i aktive angrep. Svakheten spores som CVE-2023-3079 og ligger i nettleserens JavaScript-motor. Dette er den tredje 0-dags sårbarheten i Chrome i år.
Referanser
https://thehackernews.com/2023/06/zero-day-al[...]

Google har gitt ut sin månedlige sikkerhetsoppdatering for Android

Google utbedrer denne måneden 56 svakheter i Android, 5 av dem regnet som kritiske. En av svakhetene som blir utbedret ligger i driveren til Mali GPUen. Denne svakheten har blitt brukt i forbindelse med målrettede angrep mot Samsung-mobiler.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2023

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for mai 2023. Denne måneden skriver vi blant annet om amerikanske myndigheters aksjon mot "Snake"-malwaren, som russiske FSB påstås å stå bak.
Referanser
https://telenorsoc.blogspot.com/2023/06/oppsu[...]

Verizon har gitt ut sin 16. Data Breach Investigations Report (DBIR)

I går ga Verizon ut siste versjon av sin årlige rapport som tar for seg datainnbrudd de har sett på i løpet av det siste året. Rapporten er basert på 16.000 sikkerhetshendelser og 5200 datainnbrudd. Verizon melder blant annet at antall ransomware-hendelser har gått ned, men kostnaden per hendelse har gått opp. De melder også at 75% av alle hendelsene involverer mennesker hos offeret på et eller annet vis.
Referanser
https://www.securityweek.com/verizon-2023-dbi[...] https://www.verizon.com/business/resources/T7[...]

2023.06.06 - Nyhetsbrev

GIGABYTE slipper firmware-oppdatering som lukker potensiell bakdør. KeePass fikser bug som lekket passord i klartekst. Rundt 30 nettleser-utvidelser fjernet fra Chrome Web Store. Clop ransomware bak nylig utnyttelse av MOVEit.

GIGABYTE slipper firmware oppdatering

GIGABYTE har sluppet en ny firmware oppdatering for over 270 hovedkort i Intel 400/500/600/700 og AMD 400/500/600 seriene. Grunne til denne oppdateringen er en sårbarhet i systemet for automatisk oppdateringe av firmwaren i hovedkortene. Denne sårbarheten gjorde det mulig for angripere å installere malware istedet for oppdateringen hovedkortet skulle installere, da GIGABYTE ikke verifiserte hvilke filer som ble lastet ned under installasjonen av oppdateringen. I noen tilfeller kunne også filene lastes ned ukryptert over nettet.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

KeePass fikser bug som lekket passord i klartekst

Over helgen har KeePass sluppet versjon 2.54 litt tidligere enn forventet. Årsaken er en svakhet som gjør det mulig for potensielle angripere å laste ned nesten hele "master"-passordet fra en minne-dump av maskinen. Dette master-passordet brukes for å få tilgang til den krypterte databasen med alle andre passord en bruker har lagret. Alle brukere som har versjon 2.x blir sterkt anbefalt å oppdatere til den nye versjonen som utbedrer problemet.
Referanser
https://securityaffairs.com/147109/security/k[...]

Rundt 30 nettleser-utvidelser fjernet fra Chrome Web Store

Google har fjernet rundt 30 nettleser-utvidelser (extensions) med flere millioner nedlastinger fra Chrome Web Store, etter at det ble oppdaget ondsinnet aktivitet fra disse. Utvidelsene gjør ofte det de utgir seg for å gjøre, men i tillegg har de funksjonalitet for å injisere java-script i nettsider. Dette brukes for å vise ekstra annonser, viser alternative søkeresultater osv.
Referanser
https://www.securityweek.com/dozens-of-malici[...]

Clop ransomware bak nylig utnyttelse av MOVEit

Sist uke ble det meldt at filoverføringstjenesten MOVEit var utsatt for en zero-day sårbarhet. Clop ransomware har nå tatt på seg ansvaret for angrepsbølgen. I løpet av de siste årene har Clop flere ganger utnyttet zero-day svakheter i singe angrep. Denne gangen virker det som om Clop ikke har kryptert data, kun hentet ut store mengder informasjon som de i etterkant vil true med å offentliggjøre, dersom løsepengene ikke blir betalt. Det er allerede kjent at BBC og British Airways er rammet av MOVEit-angrepet.
Referanser
https://therecord.media/clop-behind-moveit-at[...] https://www.bleepingcomputer.com/news/securit[...] https://therecord.media/bbc-british-airways-h[...]

2023.06.02 - Nyhetsbrev

Russland beskylder USA for å spionere gjennom å hacke Apple-enheter. Fersk svakhet i filoverføringssystemet MOVEit angripes aktivt. NSA: Nord-Korea hacker tenketanker, akademia og media. Flere hundre norske bilverksteder rammet av hacking.

Russland beskylder USA for å spionere gjennom å hacke Apple-enheter

Russlands FSB beskylder USA for å ha hacket tusenvis av Apple-enheter tilhørende diplomater og ansatte i stats-adminstrasjonen. Det russiske cybersikkerhetsfirmaet Kaspersky ga også ut en rapport på torsdag der de analyserer iOS-malware som har rammet ansatte hos dem. Malwaren infiserer mobilene uten at brukeren trenger å foreta seg noe, såkalt zero-click. Kaspersky har døpt operasjonen "Operation Triangulation". FSB påstår også at Apple samarbeider med NSA om å infisere mobilene. En talsmann for Apple har kommentert at de aldri har jobbet med noen regjering for å legge inn bakdører i Apple-produkter og at de heller aldri kommer til å gjøre det.
Referanser
https://therecord.media/russia-accusses-us-of[...] https://www.securityweek.com/russia-blames-us[...] https://securelist.com/operation-triangulatio[...]

Fersk svakhet i filoverføringssystemet MOVEit angripes aktivt

MOVEit er et filoverføringssystem som brukes av større virksomheter til å kopiere store mengder data. Systemet er dessverre i mange tilfeller eksponert direkte ut mot Internet. Angripere har nå utnyttet en svakhet i systemet til å laste ned store mengder data fra flere firmaer. Svakheten skal også gi mulighet til å ta kontroll over serveren. Firmaet bak programvaren, Progress, har gitt ut informasjon om hendelsen og oppdaterte versjoner som utbedrer svakheten. Servere som har vært eksponert mot Internett bør sjekkes grundig for innbrudd.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://community.progress.com/s/article/MOVE[...]

NSA: Nord-Korea hacker tenketanker, akademia og media

NSA advarer mot at Nord-Koreanske hackere bruker sosial manipulering for å lure ut informasjon fra diverse organisasjoner. For å oppnå tilgang brukes spesielt utformede phishing-eposter. Allerede hackede organisasjoner utnyttes igjen for å oppnå videre tilganger hos nye ofre. Formålet er å innhente informasjon om geopolitiske hendelser, utenrikspolitikk og sikkerhetstiltak fra forskjellige land.
Referanser
https://www.nsa.gov/Press-Room/Press-Releases[...] https://media.defense.gov/2023/Jun/01/2003234[...]

Flere hundre bilverksteder rammet av hacking

Flere hundre norske bilverksteder er rammet etter at IT-leverandøren Helios Auto i Verdal i Trøndelag ble hacket i helgen. Verkstedene må tilbake til manuelle rutiner siden de nå mangler informasjon om kunder, bilder, deler og priser. IT-leverandøren jobber med å få tjenestene tillbake og systemet skal nå fungere delvis igjen.
Referanser
https://www.nrk.no/sorlandet/flere-hundre-ver[...]

2023.06.01 - Nyhetsbrev

IBMs X-Force skriver om BlackCat/ALPHV ransomware. Funksjon for firmware-oppgradering av Gigabyte-hovedkort kan brukes som bakdør. Hacker-gruppe krever 3 millioner dollar fra Scandinavian Airlines. Telenor flytter sitt sikkerhets-operasjonssenter fra Arendal til Grimstad.

IBMs X-Force skriver om BlackCat/ALPHV ransomware

X-Force har skrevet en bloggpost om ransomware-operasjonen BlackCat/ALPHV. I det siste har de blant annet automatisert uthenting av informasjon fra ofre ved hjelp av verktøyet "ExMatter", samt sluppet en ny versjon av deres ransomware kalt "Sphynx".
Referanser
https://securityintelligence.com/posts/blackc[...]

Funksjon for firmware-oppgradering av Gigabyte-hovedkort kan brukes som bakdør

Sikkerhetsfirmaet Eclypsium har oppdaget at Gigabyte-hovedkort har en automatisk funksjon for å oppgradere firmware på hovedkortet. Denne funksjonen starter opp automatisk ved hver omstart av maskinen, før Windows starter skikkelig opp. 271 forskjellige modeller er rammet, med CPUer både fra Intel og AMD. Eclypsium har funnet flere svakheter i oppgraderings-prosessen som gjør at denne kan brukes til å ta kontroll over oppgraderings-prosessen og installere malware på sårbare maskiner. Ny firmware kan f.eks. i noen tilfeller lastes ned ukryptert over nettet. Gigabyte skal løse problemet ved å gi ut en ny firmware. I mellomtiden kan funksjonaliteten slås av i menyvalget "APP Center Download & Install" eller en kan slå på passord-beskyttelse av firmware.
Referanser
https://eclypsium.com/blog/supply-chain-risk-[...]

Hacker-gruppe krever 3 millioner dollar fra Scandinavian Airlines

Hacker-gruppen "Anonymous Sudan" krever $3 millioner for å avslutte DDoS-angrep mot SAS. Gruppen har angrepet SAS flere ganger de siste månedene, men de er usikkert hvor stor effekt disse har hatt. Gruppen ga først uttrykk for at angrepene var politisk motivert, men ser nå ut til å ha gått over til utpressing. Mange analytikere mener at det er personer fra Russland som står bak denne grupperingen.
Referanser
https://therecord.media/hacker-group-anonymou[...]

Telenor flytter sitt sikkerhets-operasjonssenter fra Arendal til Grimstad

I går var det offisiell av åpning Telenors nye sikkerhets-operasjonssenter i Grimstad. Fra senteret skal 50 ansatte jobbe med å overvåke datatrafikk og hindre cyber-angrep. Senteret etableres like ved Universitet i Agder, som er en viktig rekrutteringsarena.
Referanser
https://www.nrk.no/sorlandet/styrkar-innsatse[...]

2023.05.31 - Nyhetsbrev

Barracuda nulldags-sårbarhet utnyttet siden 2022. Android-apper med spyware lastet ned 421 millioner ganger. Ny sårbarhet i MacOS kan la root-bruker ødelegge systemts integritet.

Barracuda nulldags-sårbarhet utnyttet siden 2022

25. mai hadde vi en sak om en nulldags-sårbarhet i Barracuda Email Security Gateway (ESG). Det har kommet en patch for svakhetene, men Barracuda melder nå at svakheten allerede hadde blitt utnyttet i syv måneder da den ble oppdaget. Mange ESG-enheter har derfor en bakdør installert med tilgang til kundenes eposter. Kunder som er rammet av sårbarheten skal ha blitt varslet direkte av Barracuda.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Android-apper med spyware lastet ned 421 millioner ganger

Doctor Web har oppdaget at et reklame-rammeverk for Android inneholder spyware som kan samle inn og eksfiltrere filer og informasjon fra clip-board fra enheter det er installert på. Rammeverket er inkludert i flere populære apper på Google Play og har fått navnet "SpinOk". Normalt viser rammeverket reklame og diverse mini-spill. Det har også funksjonalitet for ikke å utføre ondsinnet aktivitet dersom det kjøres i simulerte miljøer. Google har nå slettet appene som inneholdt SpinOk fra Google Play Store.
Referanser
https://news.drweb.com/show/?i=14705&lng=en

Ny sårbarhet i MacOS kan la root-bruker ødelegge systemts integritet

Microsoft har oppdaget en ny svakhet i MacOS som de har kalt "Migraine". Svakheten gjør det mulig for en root-bruker å omgå System Integrity Protection (SIP), som er innebygd funksjonalitet for å garantere for integriteten til operativsystemet. Svakheten kan gjøre det mulig for angripere å installere usynlige rootkits og utvide sin angrepsflate mot operativsystemet.
Referanser
https://www.microsoft.com/en-us/security/blog[...]

2023.05.30 - Nyhetsbrev

Trend Micro skriver om Bandit Stealer, en ny informasjons-stjeler som retter seg mot nettlesere og krypto-lommebøker.

Trend Micro skriver om Bandit Stealer, en ny informasjons-stjeler

Trend Micro har publisert en analyse av en ny informasjons-stjeler de har oppdaget kalt Bandit Stealer. Verktøyet er skrevet i språket "Go" og er laget for å høste informasjon fra flere nettlesere og krypto-lommebøker. Det fungerer foreløpig kun på Windows og det reklameres for verktøyet på undergrunns-fora.
Referanser
https://www.trendmicro.com/en_us/research/23/[...]

2023.05.26 - Nyhetsbrev

HelseCERT varsler om kritiske svakheter i Zyxel-brannmurer som utnyttes aktivt. Mandiant har analysert russisk OT-malware som retter seg mot kraftforsyning. Cisco Talos og Citizen Lab har analysert overvåkingsprogramvaren PREDATOR. Microsoft-tjeneste for kryptering av epost misbrukes til phishing. Botnettet Dark Frost retter seg mot spillindustrien. Kripos mener å ha oppklart løsepenge-angrepet mot Hydro.

HelseCERT varsler om kritiske svakheter i Zyxel-brannmurer som utnyttes aktivt

Dette varselet gjelder sårbarheter i Zyxel brannmur, og er kritisk for de som benytter produktet. Kode for utnyttelse av en av sårbarhetene, CVE-2023-28771. er nå offentlig tilgjengelig og sårbarheten blir aktivt utnyttet i stor skala. Sårbare enheter bør umiddelbart oppdateres, kobles av nett eller sette på begrensninger mot UDP/500 for å unngå kompromittering. Gå igjennom loggdata på enheten for å se etter spor etter kompromittering, evt nullstill enheten. En potensiell måte å sjekke om noen har forsøkt å utnytte enheten er å se etter en melding tilsvarende denne i loggfilen /tmp/sdwan_vpndebug.log: [05/19 17:38:14] vpn_info: [cgnat] 4th cgnat convert wrong Siste og anbefalt patch-level er: - ATP, USG FLEX og VPN - patch ZLD v5.36 Patch2 - ZyWall/USG - patch ZLD v4.73 Patch 2
Referanser
https://www.zyxel.com/global/en/support/secur[...] https://cyberplace.social/@GossiTheDog/110428[...] https://thehackernews.com/2023/05/zyxel-issue[...]

Mandiant har analysert russisk OT-malware som retter seg mot kraftforsyning

Mandiant har foretatt en analyse av malware som retter seg mot industrielle styresystemer. Malwaren har fått navnet "CosmicEnergy" og retter seg mot enhetene IEC 60870-5-104 (IEC-104) ved å sende kommandoer for å slå av og på strømkretser. På denne måten kan en oppnå ustabilitet og kanskje brudd i strømforsyningen. Malwaren krever manuelt arbeid for å kunne fungere og stammer fra 2021. Mandiant tror også at malwaren kan ha vært benyttet internt i Russland for øvelser.
Referanser
https://www.mandiant.com/resources/blog/cosmi[...] https://www.securityweek.com/new-russia-linke[...]

Cisco Talos og Citizen Lab har analysert overvåkingsprogramvaren PREDATOR

Cisco og Citizen Lab har i samarbeid analysert PREDATOR, en komersiell overvåkingsprogamvare som selges av Intellexa til myndigheter i flere land. Det finnes versjoner både for iOS og Android, men det er Android-versjonen som er analysert her. PREDATOR har vært tilgjengelig siden 2019 og er basert på Python-moduler. Google avslørte i 2021 at fem svakheter på rad ble brukt for å installere denne programvaren på Android-mobiler.
Referanser
https://blog.talosintelligence.com/mercenary-[...] https://blog.google/threat-analysis-group/pro[...]

Microsoft-tjeneste for kryptering av epost misbrukes til phishing

Trustwave har sett på et phishing-angrep som benytter seg av Microsoft-tjenesten "Encrypted Restricted Permission Messages" for å levere epostene-sine. For å sende epostene brukes kompromitterte Microsoft 365-kontoer. For å stoppe denne typen angrep kan det være smart å stoppe eposter med .rpmsg-vedlegg fra eksterne kontakter og slå på sterk multi-faktor autentisering.
Referanser
https://www.trustwave.com/en-us/resources/blo[...]

Botnettet Dark Frost retter seg mot spillindustrien

Et nytt botnett kalt Dark Frost har blitt brukt til å utføre DDoS-angrep mot spillindustrien. Målene har vært spillprodusenter, selskaper som hoster servere, streamere og enkeltspillere. Botnettet bestod i februar av 414 maskiner og kan generere angrep opp mot 629Gbps gjennom UDP-floods. Det virker som om aktøren bak botnettet er en enkeltperson som ofte skryter av angrepene og streamer angrepene live. Akamai har skrevet om saken for å vise hvor enkelt det er å utføre DDoS-angrep i dag, selv for lite sofistikerte aktører.
Referanser
https://thehackernews.com/2023/05/dark-frost-[...] https://www.akamai.com/blog/security-research[...]

Kripos mener å ha oppklart løsepenge-angrepet mot Hydro

Kripos har funnet dem som sto bak løsepenge-angrepet mot Hydro og mener at «Norges største datakrim-sak» er oppklart. Det gjenstår å få domfelt de ansvarlige.
Referanser
https://e24.no/naeringsliv/i/EQ5m6K/kripos-me[...]