Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 2 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.02

Ny DriveSurge trusselaktør bruker ClickFix og falske oppdateringer for å infisere besøkende på nettstedet. SmartApeSG kampanje bruker ClickFix teknikk for å distribuere NetSupport RAT.

Ny DriveSurge trusselaktør bruker ClickFix og falske oppdateringer for å infisere besøkende på nettstedet

DriveSurge er en ny identifisert trusselaktør som har kompromittert tusenvis av legitime nettsteder og bruker zTDS (Traffic Distribution System) til å omdirigere besøkende til skadevarekampanjer. Angrepene benytter enten falske nettleseroppdateringer (FakeUpdates) eller ClickFix teknikker som instruerer brukere til å lime inn ondsinnede kommandoer i PowerShell eller terminalvinduer. Den injiserte JavaScript-koden profilerer offerets operativsystem, nettleser og annen informasjon før passende angrepsmetode velges. Forskningen beskriver flere identifiserbare infrastrukturmønstre, inkludert spesifikke JavaScript-filer som t.js, ext-b.*.js og jsrepo, samt bruk av base64 obfuskering for å skjule zTDS komponenter. En analysert macOS payload lastes ned fra IP adressene 46.226.166[.]57 og 147.45.42[.]200, etablerer deretter C2-kommunikasjon mot 147.45.42[.]205:8133 og inneholder logikk for miljøprofilering og utklippsmanipulering. Aktøren ser ut til å operere som en Initial Access Broker med Pay-Per-Install modell der kompromitterte systemer videreselges til andre aktører

Anbefaling:

Blokker og overvåk kjente DriveSurge-indikatorer, inkludert zTDS-relatert JavaScript-innhold og kommunikasjon mot identifiserte C2-adresser.

SmartApeSG kampanje bruker ClickFix teknikk for å distribuere NetSupport RAT

SmartApeSG, også kjent som ZPHP eller HANEY MANEY, bruker kompromitterte nettsteder til å distribuere NetSupport RAT gjennom ClickFix baserte angrep. Besøkende blir presentert for en falsk CAPTCHA side som ber dem bekrefte at de er mennesker, men formålet er å få brukeren til å utføre ondsinnede kommandoer manuelt. Den injiserte JavaScript koden aktiveres bare under bestemte forhold og starter en infeksjonskjede som installerer NetSupport RAT på Windows-systemer. Angrepet har utviklet seg fra falske nettleseroppdateringer til ClickFix teknikker som gjør sosial manipulering mer troverdig og vanskeligere å oppdage. NetSupport RAT gir angriperen ekstern tilgang til det kompromitterte systemet og kan brukes til videre kontroll og aktivitet på maskinen. Kampanjen er observert på kompromitterte nettsteder hvor skjulte skript brukes til å omdirigere brukere til de falske verifikasjonssidene.

Anbefaling:

Overvåk kompromitterte nettsteder for uautoriserte JavaScript injeksjoner og blokker ClickFix relaterte verifikasjonssider som ber brukere kjøre kommandoer manuelt.

Posted by tsoc at 12:05 0 comments

Monday, 1 June 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.06.01

WP Maps Pro-feil utnyttet for å opprette administrator kontoer på WordPress nettsteder.

WP Maps Pro-feil utnyttet for å opprette administrator kontoer på WordPress nettsteder

En kritisk sårbarhet (CVE-2026-8732) i WordPress plugin WP Maps Pro gjør det mulig for angripere å opprette administrator kontoer uten autentisering. Feilen skyldes en svakhet i en “midlertidig tilgang” funksjon, som kan misbrukes til å generere en admin-bruker og gi passordfri innlogging. Sårbarheten utnyttes allerede aktivt, med tusenvis av blokkerte angrepsforsøk det siste døgnet. Med admin‑tilgang kan angripere ta full kontroll over nettstedet, installere skadevare og hente ut data. Brukere anbefales å oppdatere umiddelbart til versjon 6.1.1.

Sårbarheter:

Posted by tsoc at 12:04 0 comments

Friday, 29 May 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.05.29

Sårbarhet i Veeam Backup & Replication kan gi ekstern kodekjøring. Ny PureLogs variant bruker "process hollowing" via MsBuild.exe. Microsoft advarer mot offentlig publisering av zero-day-detaljer før koordinering med leverandør.

Sårbarhet i Veeam Backup & Replication kan gi ekstern kodekjøring

En kritisk sårbarhet er oppdaget i Veeam Backup & Replication og kan gi autentiserte domenebrukere mulighet til å utføre kode eksternt på backupserveren. Sårbarheten påvirker domenetilknyttede installasjoner av Veeam Backup & Replication versjon 12.3.0.310 og alle tidligere versjoner i 12 serien. Feilen skyldes utilstrekkelig validering av brukerinput i Veeam komponenter som er tilgjengelige for domenebrukere. En angriper med gyldig domenekonto kan sende spesiallagde forespørsler til backupserveren og oppnå kjøring av vilkårlig kode. Veeam har publisert sikkerhetsoppdateringer i versjon 12.3.1 for å løse sårbarheten. Backupsystemer er attraktive mål fordi kompromittering kan gi tilgang til sikkerhetskopier og påvirke gjenoppretting etter ransomwareangrep.

Anbefaling:

Oppgrader til Veeam Backup & Replication 13.0.2.29 uten forsinkelse og begrens privilegier for lokale brukere på backup-systemer.

Sårbarheter:

Ny PureLogs variant bruker "process hollowing" via MsBuild.exe

En ny variant av PureLogs malware distribueres gjennom phishingeposter som utgir seg for å være innkjøpsordrer med vedlagte arkivfiler. Angrepet starter med en obfuskert JavaScript fil som dekrypterer og kjører et PowerShell skript som igjen laster en kryptert .NET modul direkte i minnet. Kampanjen bruker prosesshuling mot Windows prosessen MsBuild.exe for å skjule kjøringen av skadevaren og redusere synlighet for sikkerhetsverktøy. Den nedlastede .NET modulen er forkledd som en legitim Windows Task Scheduler komponent og kommuniserer med en ekstern C2 server for å hente flere moduler. PureLogs er utviklet for å stjele nettleserdata, legitimasjon, kryptolommebokfiler og systeminformasjon fra kompromitterte Windows systemer. Angrepet benytter flere lag med obfuskering, filløs kjøring og legitime Windows komponenter for å gjøre analyse og deteksjon vanskeligere.

Microsoft advarer mot offentlig publisering av zero-day-detaljer før koordinering med leverandør

Microsoft advarte mot offentlig publisering av zero-day-sårbarheter uten forhåndskoordinering med leverandøren etter at flere Windows-relaterte sårbarheter ble publisert før sikkerhetsoppdateringer var tilgjengelige. De berørte sårbarhetene inkluderer RedSun, UnDefend, BlueHammer, YellowKey, GreenPlasma og MiniPlasma, hvor flere av dem gir SYSTEM-rettigheter eller påvirker sikkerhetsmekanismer som Windows Defender og BitLocker. Ifølge Microsoft ble tekniske detaljer og proof-of-concept-kode gjort offentlig uten Coordinated Vulnerability Disclosure (CVD), noe som økte eksponeringsvinduet for ubeskyttede systemer. BlueHammer, RedSun og UnDefend er beskrevet som sårbarheter som allerede har vært brukt i aktive angrep. Microsoft opplyser at manglende forhåndsvarsling kompliserer utvikling av mitigeringer og sikkerhetsoppdateringer. Selskapet fremhever at angripere aktivt overvåker offentlige disclosures for å utvikle exploit-kode før patcher er tilgjengelige.

Anbefaling:

Følg Microsofts sikkerhetsoppdateringer tett og implementer patcher umiddelbart når de blir tilgjengelige.

Posted by tsoc at 13:05 0 comments

Thursday, 28 May 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.05.28

Ny ondsinnet npm-pakke "Malware-Slop" eksfiltrerer data ved bruk av GitHub Tokens.

Ny ondsinnet npm-pakke "Malware-Slop" eksfiltrerer data ved bruk av GitHub Tokens

En ny ondsinnet npm-pakke under navnet "mouse5212-super-formatter" har blitt oppkalt "Malware-Slop" og fungerer som en infostealer og forsøker å stjele filer, tokens og sensitiv utviklerinformasjon fra kompromitterte miljøer. Skadevaren ble oppdaget av OX Security, og det spesielle i dette tilfellet er at angriperen ved en feil inkluderte sin egen hardkodede private GitHub-token i pakken. Dette leder direkte til hvorfor skadevaren ble oppkalt Malware-Slop, hvor ondsinnede agenter uten forståelse for opsec-konsepter kan ta i bruk AI verktøy for å generere lugubre skadevarer.

Hendelsen føyer seg inn i en større trend med supply-chain-angrep mot npm-økosystemet, hvor angripere kompromitterer eller publiserer falske pakker for å infisere utviklermiljøer og CI/CD-pipelines. Flere nyere kampanjer som Shai-Hulud og lignende skadevare-familier har vist hvor effektivt slike angrep kan spre seg gjennom kompromitterte avhengigheter og stjålne utviklertokens.

Anbefaling:

Om man har lastet ned "mouse5212-super-formatter" anbefaler OX Security at man bør tilbakekalle sine GitHub Access Tokens, i tillegg til å se etter sensitive filer i mappen «/mnt/user-data» og behandle dem som kompromitterte.

Posted by tsoc at 12:01 0 comments

Wednesday, 27 May 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.05.27

Kritisk SharePoint sårbarhet kan gi fjernkjøring av kode.

Kritisk SharePoint sårbarhet kan gi fjernkjøring av kode

Microsoft har publisert informasjon om en alvorlig sårbarhet i Microsoft SharePoint, identifisert som CVE-2026-45659. Sårbarheten skyldes usikker deserialisering av upålitelig data, og kan utnyttes av en autentisert angriper til å kjøre vilkårlig kode over nettet. Feilen har CVSS-score 8.8 og krever lav kompleksitet for utnyttelse.

Berørte systemer inkluderer SharePoint Enterprise Server 2016, SharePoint Server 2019 og SharePoint Server Subscription Edition. Microsoft har publisert sikkerhetsoppdateringer for de berørte versjonene. Per nå finnes det ingen offentlig bekreftet aktiv utnyttelse, men er vurdert som mulig å bli utnyttet av autentiserte angripere.

Anbefaling:

Det anbefales å installere de siste sikkerhetsoppdateringene fra Microsoft som gjelder de påvirkede produktene.

Sårbarheter:

Posted by tsoc at 12:01 0 comments

Tuesday, 26 May 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.05.26

Ghost CMS-feil utnyttet til å kompromittere over 700 nettsteder. FBI advarer om Kali365 som retter seg mot Microsoft 365-kontoer. Alvorlige sårbarheter i mye brukt nettverksutstyr.

Ghost CMS-feil utnyttet til å kompromittere over 700 nettsteder

En aktiv kampanje utnytter SQL-injeksjonssårbarheten CVE-2026-26980 i Ghost CMS for å kompromittere nettsteder og distribuere ClickFix-relatert skadevare. Sårbarheten påvirker Ghost CMS Content API og gjør det mulig å hente ut data fra databasen uten autentisering, inkludert nettstedets Admin API Key. Ved bruk av denne nøkkelen kunne angriperne benytte Ghost Admin API til å endre eksisterende innhold og injisere ondsinnet JavaScript på nettstedene. Over 700 nettsteder ble kompromittert i kampanjen. Feilen ble rettet i Ghost versjon 6.19.1. Sårbarheten har en CVSS-score på 9,4 og gir tilgang til sensitive data som kan brukes til videre kompromittering av nettstedet.

Anbefaling:

Oppgrader Ghost CMS til versjon 6.19.1 eller nyere.

Sårbarheter:

FBI advarer om Kali365 som retter seg mot Microsoft 365-kontoer

Kali365 er en phishing-som-tjeneste (PhaaS) plattform som brukes til å kapre Microsoft 365-kontoer ved å misbruke OAuth Device Code autentisering. Plattformen ble først observert i april 2026 og distribueres via Telegram, der angripere får tilgang til ferdige phishing-kampanjer, AI-genererte lokkemeldinger og funksjoner for innsamling av OAuth-token.

Angrepet benytter «device code phishing», hvor offeret mottar en e-post som utgir seg for å komme fra en legitim sky- eller dokumentdelingstjeneste og inneholder en enhetskode. Når brukeren legger inn koden på Microsofts legitime innloggingsside og fullfører MFA, utstedes OAuth access- og refresh-token som angriperen fanger opp.

Berørt system er Microsoft 365 og tilhørende Microsoft Entra-identiteter. Den tekniske årsaken er misbruk av OAuth 2.0 Device Authorization Grant flyten, der angriperen får gyldige token uten å stjele passord eller MFA-koder.

Konsekvensen er vedvarende tilgang til tjenester som Outlook, Teams og OneDrive, samt andre applikasjoner tilgjengelige via brukerens Single Sign-On-konto. Dette gir mulighet for datatyveri og videre misbruk av kontoer uten nye MFA-utfordringer.

Anbefaling:

Begrens eller blokker Device Code Flow gjennom Conditional Access-policyer, slik FBI anbefaler.

Alvorlige sårbarheter i mye brukt nettverksutstyr

Ubiquiti har publisert sikkerhetsoppdateringer for flere alvorlige sårbarheter i UniFi OS, inkludert tre med maksimal alvorlighetsgrad.

Kritiske sårbarheter

  • CVE-2026-34908

    • Feil i tilgangskontroll gjør det mulig å utføre uautoriserte endringer

  • CVE-2026-34909

    • Path traversal gjør det mulig å få tilgang til filer på systemet

  • CVE-2026-34910

    • Command injection gjør det mulig å kjøre vilkårlige kommandoer

Alle tre kan utnyttes av angripere uten privilegier, og med lav kompleksitet.

Andre sårbarheter som er patchet

  • En ekstra command injection (CVE-2026-33000)

  • En informasjonlekkasje (CVE-2026-34911)

Risiko

  • Kan føre til full kompromittering av systemet

  • Kan gi tilgang til sensitiv informasjon

  • Kan utnyttes i automatiserte angrep

Omtrent 100 000 UniFi-enheter er eksponert på internett, noe som øker risikoen.

Anbefaling:

Dette er en kritisk situasjon som bør prioriteres høyt. Kombinasjonen av lav kompleksitet og mangel på autentisering gjør sårbarhetene spesielt farlige. - Oppdater UniFi OS umiddelbart - Unngå eksponering av management-grensesnitt mot internett - Overvåk logger for mistenkelig aktivitet

Posted by tsoc at 15:56 0 comments

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.05.26

Ghost CMS-feil utnyttet til å kompromittere over 700 nettsteder. FBI advarer om Kali365 som retter seg mot Microsoft 365-kontoer. Alvorlige sårbarheter i mye brukt nettverksutstyr.

Ghost CMS-feil utnyttet til å kompromittere over 700 nettsteder

En aktiv kampanje utnytter SQL-injeksjonssårbarheten CVE-2026-26980 i Ghost CMS for å kompromittere nettsteder og distribuere ClickFix-relatert skadevare. Sårbarheten påvirker Ghost CMS Content API og gjør det mulig å hente ut data fra databasen uten autentisering, inkludert nettstedets Admin API Key. Ved bruk av denne nøkkelen kunne angriperne benytte Ghost Admin API til å endre eksisterende innhold og injisere ondsinnet JavaScript på nettstedene. Over 700 nettsteder ble kompromittert i kampanjen. Feilen ble rettet i Ghost versjon 6.19.1. Sårbarheten har en CVSS-score på 9,4 og gir tilgang til sensitive data som kan brukes til videre kompromittering av nettstedet.

Anbefaling:

Oppgrader Ghost CMS til versjon 6.19.1 eller nyere.

Sårbarheter:

FBI advarer om Kali365 som retter seg mot Microsoft 365-kontoer

Kali365 er en phishing-som-tjeneste (PhaaS) plattform som brukes til å kapre Microsoft 365-kontoer ved å misbruke OAuth Device Code autentisering. Plattformen ble først observert i april 2026 og distribueres via Telegram, der angripere får tilgang til ferdige phishing-kampanjer, AI-genererte lokkemeldinger og funksjoner for innsamling av OAuth-token.

Angrepet benytter «device code phishing», hvor offeret mottar en e-post som utgir seg for å komme fra en legitim sky- eller dokumentdelingstjeneste og inneholder en enhetskode. Når brukeren legger inn koden på Microsofts legitime innloggingsside og fullfører MFA, utstedes OAuth access- og refresh-token som angriperen fanger opp.

Berørt system er Microsoft 365 og tilhørende Microsoft Entra-identiteter. Den tekniske årsaken er misbruk av OAuth 2.0 Device Authorization Grant flyten, der angriperen får gyldige token uten å stjele passord eller MFA-koder.

Konsekvensen er vedvarende tilgang til tjenester som Outlook, Teams og OneDrive, samt andre applikasjoner tilgjengelige via brukerens Single Sign-On-konto. Dette gir mulighet for datatyveri og videre misbruk av kontoer uten nye MFA-utfordringer.

Anbefaling:

Begrens eller blokker Device Code Flow gjennom Conditional Access-policyer, slik FBI anbefaler.

Alvorlige sårbarheter i mye brukt nettverksutstyr

Ubiquiti har publisert sikkerhetsoppdateringer for flere alvorlige sårbarheter i UniFi OS, inkludert tre med maksimal alvorlighetsgrad.

Kritiske sårbarheter

  • CVE-2026-34908

    • Feil i tilgangskontroll gjør det mulig å utføre uautoriserte endringer

  • CVE-2026-34909

    • Path traversal gjør det mulig å få tilgang til filer på systemet

  • CVE-2026-34910

    • Command injection gjør det mulig å kjøre vilkårlige kommandoer

Alle tre kan utnyttes av angripere uten privilegier, og med lav kompleksitet.

Andre sårbarheter som er patchet

  • En ekstra command injection (CVE-2026-33000)

  • En informasjonlekkasje (CVE-2026-34911)

Risiko

  • Kan føre til full kompromittering av systemet

  • Kan gi tilgang til sensitiv informasjon

  • Kan utnyttes i automatiserte angrep

Omtrent 100 000 UniFi-enheter er eksponert på internett, noe som øker risikoen.

Anbefaling:

Dette er en kritisk situasjon som bør prioriteres høyt. Kombinasjonen av lav kompleksitet og mangel på autentisering gjør sårbarhetene spesielt farlige. - Oppdater UniFi OS umiddelbart - Unngå eksponering av management-grensesnitt mot internett - Overvåk logger for mistenkelig aktivitet

Posted by tsoc at 13:41 0 comments
Subscribe to: Posts (Atom)
 
>