Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday 30 October 2020

2020.10.30 - Nyhetsbrev

Fortsatt mange WebLogic-servere som ikke er oppdatert mot svakhet.

Fortsatt mange WebLogic-servere som ikke er oppdatert mot svakhet

I den nylig utgitte kvartalsvis oppdateringen fra Oracle kom det fram at WebLogih har en svakhet som gjør det mulig å utføre uautorisert-kode-eksekvering. Rapid7 Labs fikk nylig sjekket at det fortsatt er mange servere som ikke er oppdatert for å rette dette sikkerhetshullet.

Det er nå mange som scanner etter og utnytter sårbare servere.
Referanser
https://blog.rapid7.com/2020/10/29/oracle-web[...]
https://isc.sans.edu/forums/diary/PATCH+NOW+C[...]

Thursday 29 October 2020

2020.10.29 - Nyhetsbrev

Aktører utfører cyberangrep mot deltakere på internasjonale konferanser. FBI med flere advarer om økning i antall cyber-angrep mot helsevesenet. Maze-gruppen legger ned sin operasjon. FBI: Hidden Cobra utgir seg for å være journalister.

Aktører utfører cyberangrep mot deltakere på internasjonale konferanser

Microsoft har stoppet flere angrepsforsøk fra gruppen Phosphorus (forbindes gjerne med Iran) som målretter seg mot de som skal delta på Think 20 Summit og Munich Security Conference. Phosphorus har sendt falske invitasjoner til personer som skal delta på konferansene. Det blir brukt nesten helt perfekt engelsk og påmeldingene brukes til å samle informasjon. Lederne av konferansene har blitt bedt om å advare sine deltakere mot falske invitasjoner, det anbefales evaluere epostene man mottar grundig. Microsoft har delt eksempler på epostene som brukes til å sende falske invitasjoner.
Referanser
https://blogs.microsoft.com/on-the-issues/202[...]

FBI med flere advarer om økning i antall cyber-angrep mot helsevesenet

Federal Bureau of Investigation (FBI), Department of Homeland Security (DHS) og Health and Human Services (HHS) har gitt ut et felles advarsel om en betydelig økning i antall cyber-angrep rettet spesifikt mot helsevesenet. Blant de mest utbredte truslene nevnes TrickBot-botnettet, samt Ryuk-ransomware som også rammet IT-giganten Sopra Steria i forrige uke. Det er også plukket opp informasjon om at kriminelle planlegger å angripe over 400 nye sykehus i USA.

Organisasjonene har publisert en rapport som omhandler taktikkene, verktøyene og prosedyrene trusselaktørene benytter i forbindelse med angrepene. Rapporten inneholder også en rekke IoCer (Indicator of Compromise) som kan brukes for å oppdage eventuelle innbrudd. Den fullstendige rapporten er tilgjengelig fra lenken til US-CERT.
Referanser
https://apnews.com/article/politics-crime-ele[...]
https://thehackernews.com/2020/10/ransomware-[...]
https://us-cert.cisa.gov/ncas/alerts/aa20-302a

Maze-gruppen legger ned sin operasjon

Gruppen som står bak løsepenegviruset Maze legger angivelig ned sin operasjon i følge BleepingComputer. Maze var en av de første gruppene som adopterte en såkalt "double-extortion"-strategi hvor de først hentet ut filene til et offer, krypterte de opprinnelige filee og truet med å offentliggjøre innholdet dersom offeret ikke betalte løsepengesummen.

I løpet av den siste uken har Maze gradvis fjernet en rekke ofre fra nettsiden hvor de tidligere har publisert lekkasjene sine og dette kan tyde på at det er kort tid til operasjonen legges ned. Ved flere anledninger har ransomware-grupper publisert dekrypteringsnøklene sine i forbindelse med nedleggingen av en operasjon, men aktørene bak Maze har ikke bekreftet om de kommer til å følge denne trenden enda.

Flere av aktørene i Maze ser likevel ut til å ha beveget seg videre til en ny form for ransomware som går under navnet Egregor og som deler mange likhetstrekk med Maze både i form av programvare og utpressings-meldinger. Det kan være at det er de samme personene som står bak begge grupperingene.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

FBI: Hidden Cobra utgir seg for å være journalister

Den nord-koreanske APTen Kimsuky, også kjent som Hidden Cobra, har utført en rekke angrep mot bedrifter. Gruppen har vært aktiv siden 2012 og opererer på vegne av den Nord-Koreanske regjeringen.

De største målene inkluderer tenkte-tanker og profilerte organisasjoner i Japan, Sør-Korea og USA. Spionene utgir seg for å være sør-koreanske reportere som ønsker å intervjue en person i bedriften. Først etter at vedkommende har akseptert forespørselen sender de et skadelig vedlegg som kompromitterer brukeren dersom det åpnes. Når datoen for intervjuet nærmer seg, sender de en ny epost om at de er nødt til å avlyse.

Denne aktøren benytter ofte fil-løse angrep, som vil si at eventuell skadevare blir lastet inn i minnet fra Internett og kjøres direkte i Powershell uten å mellomlagres på offerets maskin. Deretter benytter de diverse teknikker for å oppnå stadig høyere rettigheter på systemet og beveger seg dertter sideveis i nettverket. Formålet med angrepene ser primært ut til å være global etterretning.
Referanser
https://threatpost.com/north-korea-spy-report[...]

Wednesday 28 October 2020

2020.10.28 - Nyhetsbrev

Energiselskap Enel rammet av ransomware igjen. Informasjon om sikring av bygg stjålet fra Gunnebo i Sverige. Google fjerner 21 applikasjoner fra Google Play store.

Energiselskap Enel rammet av ransomware igjen

Enel har blitt rammet av ransomware for andre gang i år. I juni ble selskapet rammet av ramsomware-varianten Snake, men malwaren ble oppdaget og stanset før den fikk gjort skade. Denne gangen er det Netwalker som har rammet Enel. Banden bak malwaren krever $14 millioner for å låse opp krypterte maskiner og ikke lekke store mengder data angriperne påstår å ha lastet ned fra Enel.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Informasjon om sikring av bygg stjålet fra Gunnebo i Sverige

Det svenske firmaet Gunnebo ble utsatt for datainnbrudd i august. Totalt ble 19 gigabyte med informasjon stjålet. Blant innholdet var plantegninger av bygg, dokumentasjon av alarmsystemer og plasseringer av kamera og annet overvåkingutstyr. Flere banker og riksdagen er blant kundene som har fått sine data lekket.
Referanser
https://www.securityweek.com/swedish-authorit[...]

Google fjerner 21 applikasjoner fra Google Play store

Google har fjernet 21 apper fra Google Play store. Appene inneholdt adware relatert til HiddenAds og var forkledd som spill. De slettede appene er lastet ned over 8 millioner ganger.
Referanser
https://threatpost.com/google-boots-apps-from[...]

Monday 26 October 2020

2020.10.26 - Nyhetsbrev

VMware fikser flere feil i sine produkter. Pasienter forsøkt utpresset etter datainnbrudd hos finsk psykoterapisenter.

VMware fikser flere feil i sine produkter

VMware fikser flere feil i ESXi, Workstation, Fusion og NSX-T produktene, inkludert en kritisk kodeeksekverings-feil.
Referanser
https://securityaffairs.co/wordpress/109843/s[...]

Pasienter forsøkt utpresset etter datainnbrudd hos finsk psykoterapisenter

Datasystemet til selskapet Vastaamo, et psykoterapisenter med 20 lokasjoner i Finland, ble utsatt for datainnbrudd i 2018 og 2019. Ledelsen i selskapet ble forsøkt presset til å betale 40 Bitcoin for at utpresseren ikke skulle publisere pasientjournalene. Etter at kravet ble avvist, begynte utpresseren å publisere journaler på det mørke nettet samt gjøre utpressing mot enkeltpasienter, blant dem er parlamentarikeren Eeva-Johanna Eloranta.
Referanser
https://www.nrk.no/urix/hacking-skandale-ryst[...]
https://ca.finance.yahoo.com/news/finland-sho[...]

Friday 23 October 2020

2020.10.23 - Nyhetsbrev

MobileIron sine MDM-tjenere blir angrepet av kinesiske DDoS botnet. Vi anbefaler å installere oppdateringer så fort som mulig.

MobileIron sine MDM tjenere blir angrepet av kinesiske DDoS botnet

MDM (Mobile Device Management) tjenerne til MobileIron, brukes til å ta kontroll over og styre ansattes mobiler. Tidligere i juli ble det funnet tre kritiske svakheter i MobileIron sine tjenere og det ble raskt rullet ut oppdateringer som fikset feilene. Det har nå blitt gjort offentlig at CVE-2020-15505 som er en av svakhetene, blir brukt av kinesiske datakriminelle. Det er dermed viktig at man oppdaterer systemet og tar en sikkerhetssjekk av enhetene og nettverket.
Referanser
https://www.zdnet.com/article/mobileiron-ente[...]

Thursday 22 October 2020

2020.10.22 - Nyhetsbrev

Sopra Steria rammet av løsepengevirus. Cisco publisert informasjon om flere svakheter i sine produkter. Tech Support-svindel utnytter XSS-svakhet og Bundeswehr lanserer responsible disclosure program

Cisco varsler om flere Denial of Service sårbarheter i deres nettverkssikkerhetspogramvare

Cisco har publisert info om flere sårbarheter i deres Firepower Theat Defence (FTD) og Adaptive Security Appliance (ASA) som kan muliggjøre Denial of Service på utnyttede enheter. Den mest kritiske feilen (CVE-2020-3456) er i Cisco Firepower Chassis Manager og har en CVE rating på 8.8 av 10. Denne feilen gjorde det mulig for en angriper å gjennomføre handlinger for en vilkårlig tilkoblet klient. Det er også fire andre feil i FTD med høy risikovurdering, CVE-2020-3499, CVE-2020-3562, CVE-2020-3571, CVE-2020-3563.

For ASA har Cisco sluppet oppdateringer for flere DoS feil. Blant annet CVE-2020-3304, CVE-2020-3529, CVE-2020-3528, CVE-2020-3554, CVE-2020-3572 og CVE-2020-3373.
Referanser
https://threatpost.com/cisco-dos-flaws-networ[...]

Tech Support-svindel utnytter XSS-svakhet

Malwarebytes labs har publisert en artikkel om hvordan Tech Support-svindlere nå benytter XSS-svakheter på legitime domener og flere nivåer med omdirigering i en ny kampanje. Svindlerne sprer initielt en rekke lenker via Facebook og maskerer den faktiske adressen ved å bruke URL-shorteners. Dersom en bruker klikker på lenken blir de først videreført til et legitimt domene som er sårbart for XSS. Ved å bruke disse svakhetene sendes brukeren videre til et cloaking-domene. Målet med dette domenet er å sjekke opprinnelsen til brukeren slik at kun reelle ofre blir videresendt til siste ledd i kjeden.

Til slutt videresendes brukeren til et Browser Locker-domene. Angriperne sjekker her hvilket system brukeren sitter på og tilpasser hvordan siden ser ut i henhold til dette. De opplyser om at harddisken vil bli slettet innen 5 minutter, men at de kan ringe et support-nummer for å få hjelp og forhindre dette. Artikkelen fra Malwarelabs inneholder en oversikt over IOCer de har samlet opp i løpet av sin etterforskning.
Referanser
https://blog.malwarebytes.com/cybercrime/2020[...]

Sopra Steria rammet av løsepengevirus

Sopra Steria er et av de største europeiske IT-konsulentselskapene og har til sammen mer enn 45 000 ansatte i 20 land. I dag opplyser de om at de ble rammet av et løsepengevirus den 20. Oktober som har påvirket hele det europeiske IT-konsernet. I følge Sopra Steria selv har de satt i gang tiltak for å begrense skadene og har informert NorCERT, kunder og ansatte.
Referanser
https://www.digi.no/artikler/rammet-av-massiv[...]

Bundeswehr lanserer responsible disclosure program

Det tyske forsvaret, Bundeswehr, lanserte i dag sitt nye "responsible disclosure" program. Formålet med programmet er å gi sikkerhetsforskere og andre privatpersoner mulighet til å oppdage og informere forsvaret om sikkerhetshull i tjenestene de tilbyr, på en forsvarlig måte. Programmet legger frem klare regler som forbyr rapportering av enkelte typer svakheter som DDoS angrep, sosial manipulasjon o.l. Lignende programmer eksisterer allerede i andre nasjoner, blant annet Hack the Pentagon og Hack The Air Force i USA.
Referanser
https://www.vulnerability-db.com/?q=articles/[...]

Wednesday 21 October 2020

2020.10.21 - Nyhetsbrev

NSA advarer om kjente svakheter som utnyttes av aktører støttet av Kina

NSA advarer om 25 svakheter som de har sett blitt brukt aktivt av aktører som har støtte av den kinesiske stat. Sårbarhetene er allerede kjente, men NSA håper at å publisere denne rapporten kan bidra til at sårbarhetene patches raskere.
Referanser
https://www.nsa.gov/News-Features/News-Storie[...]

Oracle gir ut sikkerhetsoppdateringer for Oktober

Oracle har gitt ut sikkerhetsoppdateringer for Oktober som patcher svakheter i Oracle sine egne produkter og tredjepartsbiblioteker som er en del av produktene. Totalt opplyses det om 402 svakheter på tvers av en rekke produkter. Se lenken i referansene for en fullstendig oversikt.
Referanser
https://www.oracle.com/security-alerts/cpuoct[...]

Office 365 OAuth angrep mot Coinbase-brukere

Angripere sender phishing-eposter til Office 365-brukere med informasjon om at de må akseptere de oppdaterte vilkårene på Coinbase. De legger så ved en lenke som ber brukeren om å godkjenne OAuth for applikasjonen som utgir seg for å være Coinbase. Dersom brukerne aksepterer gir de angriperne tilgang til å lese og slette eposter på vegne av brukeren. Denne typen angrep, som ofte omtales som consent-attacks, er ikke nye, men har økt i popularitet i løpet av det siste året.
Referanser
https://threatpost.com/office-365-oauth-attac[...]

Ransomware-gruppe donerer 20 000 dollar til veldedige organisasjoner

Ransomware-gruppen, Darkside, har donert 20 000 amerikanske dollar til en rekke veldedige organisasjoner. Eksperter mener dette kan være et forsøk på å tiltrekke seg oppmerksomhet i håp om at kommende lekkasjer fra gruppen skal bli lagt merke til.

Gruppen profilerer seg som en slags Robin Hood-organisasjon, og har tidligere påstått at de ikke kommer til å angripe skoler, sykehus, regjeringer og statlige mål, men heller fokuserer på større bedrifter som kun har som mål å tjene penger.
Referanser
https://threatpost.com/ransomware-20k-donatio[...]

Adobe har gitt ut sikkerhetsoppdateringer til en rekke produkter

Adobe har publisert bulletings med informasjon om sikkerhetsoppdateringer i en rekke produkter, blant annet Illustrator, Photoshop, After Effects og Creative Cloud Desktop Application. Se vedlagt lenke for mer informasjon om svakhetene.
Referanser
https://blogs.adobe.com/psirt/?p=1930

Google Chrome gir ut oppdatering som patcher 0-day svakhet

Google Chrome versjon 86.0.4240.111 inneholder en patch som forhindrer utnyttelse av en 0-day svakhet som har fått tildelt koden CVE-2020-15999. Svakheten beskrives som en minnekorrupsjons-svakhet og ligger i FreeType tekst-biblioteket som er inkludert som standard i Google Chrome.

I følge Project Zero har man sett aktiv utnyttelse av svakheten for å utføre angrep mot Google Chrome brukere. Tekniske detaljer om angrepet har ikke blitt publisert enda, og vil sannsynligvis komme ved et senere tidspunkt når brukere har hatt tilstrekkelig med tid til å oppdatere til nyeste versjon.
Anbefaling
Oppdater til nyeste versjon så snart som mulig.
Referanser
https://www.zdnet.com/article/google-releases[...]

Tuesday 20 October 2020

2020.10.20 - Nyhetsbrev

Skadelig programvare endrer nettsider for å kapre bankkontoen din. Hackere kaprer Telegram og e-postkontoer i SS7-mobilangrep. DOJ kunngjør anklager mot seks russiske militæroffiserer involvert i kjente digitale angrep. Microsoft Exchange og Outlook webmail utnyttes av APT-grupper.

Skadelig programvare endrer nettsider for å kapre bankkontoen din

Vizom forkler seg som populære programvarer for videokonferanser, som mange av oss bruker under pandemien. Den nye malware-varianten blir brukt i en aktiv kampanje over hele Brasil designet for å kompromittere nettbank-kontoer. Den skadelige programvaren gjemmer seg på systemet, og legger falske "overlays" over nettsidene for å lure offeret når vedkommende besøker nettbanken sin.
Referanser
https://www.zdnet.com/article/this-new-malwar[...]

Hackere kaprer Telegram og e-postkontoer i SS7-mobilangrep

Signaling System 7 er et system for å binde sammen mobilnett over hele verden. Hackere med tilgang til systemet har manipulert si

Hackere med tilgang til Signaling System 7 (SS7), har brukt det til å få tilgang til SMS-meldinger. De gjør dette ved å sende falske meldinger om at mobilene befinner seg i et annet nettverk. I september ble SMS-meldinger til minst 20 israelere videresendt til angriperne. Ofrene hadde alle tilgang til større mengder med kryptovaluta. SMS-meldingene ble brukt til å nullstile passordet til ofrene på diverse tjenester.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

DOJ kunngjør anklager mot seks russiske militæroffiserer involvert i kjente digitale angrep

Det amerikanske justisdepartementet kunngjorde mandag en tiltale mot seks russiske GRU-offiserer som er siktet for å ha deltatt i en rekke operasjoner for å angripe andre lands infrastruktur, valg og andre handlinger designet for å fremme Russlands interesser.

I tiltalen er følgende angrep nevnt:
- Ukrainsk Regjering og Kritisk infrastruktur i 2015 og 2016.
- Franske valg i 2017.
- Notpetya angrepet som gikk mot hele verden i 2017.
- Vinter OL i PyeongChang i 2017 og 2018.
- Etterforskningen av Novichok-angrepene i 2018.
- Regjeringen og firamer i Georgia i 2018 og 2019.
Referanser
https://abcnews.go.com/Politics/doj-announces[...]
https://www.justice.gov/opa/pr/six-russian-gr[...]

Microsoft Exchange og Outlook webmail utnyttes av APT-grupper

I følge Accenture’s 2020 Cyber Threatscape report viser avanserte trusselaktører stadig økende interesse for Microsoft Exchange og OWA. Angrepene har blitt mer avanserte og vanskeligere å oppdage.
Referanser
https://threatpost.com/microsoft-exchange-out[...]
https://www.accenture.com/us-en/insights/secu[...]

Monday 19 October 2020

2020.10.19 - Nyhetsbrev

Schibsted utsatt for stort datainnbrudd mot kunde-kontoer.

Schibsted utsatt for stort datainnbrudd mot kunde-kontoer

Ukjente gjerningsmenn lyktes fredag i forrige uke å komme seg inn på 22.000 Schibsted-kontoer. Schibsted er et mediekonsern som eier flere av landets største avishus som VG, Aftenposten og E24. Totalt ble det gjort forsøk på innbrudd i 150.000 kontoer. Datainnbruddet kan se ut som et såkalt passord-spraying-angrep hvor kontoer med svake- eller gjenbrukte passord har blitt kompromittert.
Referanser
https://e24.no/boers-og-finans/i/lEA5L7/schib[...]

Friday 16 October 2020

2020.10.16 - Nyhetsbrev

Iransk statshackergruppe knyttet til ransomware-distribusjoner, Nye Emotet-angrep bruker falske Windows "Update-lures", Google advarer om Bluetooth-feil med nullklikk i Linux-baserte enheter og SonicWall VPN-er sårbare for ny ekstern kodekjøringsfeil.

Iransk statshackergruppe knyttet til ransomware-distribusjoner

Sikkerhetsforskere sa at de fant ledetråder som knytter nylige angrep med Thanos-"ransomware" til en gruppe iranske statsstøttede hackere. Mens de undersøkte sikkerhetshendelser i flere israelske fremtredende organisasjoner, sa sikkerhetsforskere fra ClearSky og Profero at de knyttet innbruddene til MuddyWater, en kjent iransk statsstøttet hackinggruppe.
Referanser
https://www.zdnet.com/article/iranian-state-h[...]

Nye Emotet-angrep bruker falske Windows "Update-lures"

Denne uken kom Emotet med et nytt dokument for å lure brukere. Filvedlegget sendt i nylige Emotet-kampanjer viser en melding som hevder å være fra Windows Update-tjenesten, og forteller brukerne at Office-appen må oppdateres. I følge en oppdatering fra Cryptolaemus-gruppen, har disse Emotet-kampanjene siden i går blitt spammet i massevis til brukere lokalisert over hele verden.
Referanser
https://www.zdnet.com/article/new-emotet-atta[...]

Google advarer om Bluetooth-feil med nullklikk i Linux-baserte enheter

Googles sikkerhetsforskere advarer om et nytt sett med nullklikksårbarheter i Linux Bluetooth-programvarestakken som kan tillate en nærliggende uautentisert, ekstern angriper å utføre vilkårlig kode med kjerneprivilegier på sårbare enheter.
Anbefaling
Referanser
https://thehackernews.com/2020/10/linux-Bluet[...]

800 000 SonicWall VPN-er sårbare for ny ekstern kodekjøringsfeil

Nesten 800 000 SonicWall VPN-apparater må oppdateres og lappes på grunn av en stor ny sårbarhet som ble avslørt på onsdag. CVE-2020-5135 ble oppdaget av Tripwire VERT-sikkerhetsteamet og påvirker SonicOS, operativsystemet som kjører på SonicWall Network Security Appliance (NSA)-enheter.
Anbefaling
Referanser
https://www.zdnet.com/article/800000-sonicwal[...]

Thursday 15 October 2020

2020.10.15 - Nyhetsbrev

Den Iranske aktøren Silent Librarian innhenter fortsatt akademisk informasjon. Cisco Talos med blogpost om økt aktivtet fra kryptoutvinningsbotnettet Lemon Duck. Alvorlig feil i Bluetooth-stack i linuxkjernen på IOT-enheter.

Den Iranske aktøren Silent Librarian innhenter fortsatt akademisk informasjon

Aktøren Silent Librarian/TA407/COBALT DICKENS driver stadig med informasjonsinnhenting fra skoler og universiteter i flere land. De retter seg inn både mot ansatte og studenter for å få stjålet interessant akademisk informasjon. Artikkelen inneholder en oversikt over hvordan en typisk phish ser ut og hvilke domener som benyttes.
Referanser
https://threatpost.com/silent-librarian-schoo[...]
https://blog.malwarebytes.com/malwarebytes-ne[...]

Cisco Talos med blogpost om økt aktivtet fra kryptoutvinningsbotnettet Lemon Duck

Cisco Talos ser økt bruk at Lemon Duck til kryptoutvinnig. Lemon Duck er et botnet som bruker mange forskjellige teknikker for å spre seg til fleste mulig maskiner som RTF-filer via epost, psexec, WMI/SMB exploits, inkludert. Eternal Blue og SMBGhost.
Referanser
https://blog.talosintelligence.com/2020/10/le[...]

Alvorlig feil i Bluetooth-stack i linuxkjernen på IOT-enheter

Google og Intel avarer mot en alvorlig feil i BlueZ. Dette er Linux sin blåtann-protokolstack, og er mye i bruk på Linux-baserte IOT-enheter. Svakheten kan brukes til å ta kontroll over sårbart utstyr som er innenfor Blåtann-rekkevidde.
Anbefaling
Oppdater til kjerne 5.9 eller nyere
Referanser
https://threatpost.com/google-intel-kernel-bu[...]

Wednesday 14 October 2020

2020.10.14 - Nyhetsbrev

Regjeringen mener at Russland stod bak datainnbruddet i Stortinget

Stortinget varslet om et datainnbrudd i deres e-postsystemer den 24.august 2020. "Basert på det informasjonsgrunnlaget regjeringen besitter, er det vår vurdering at Russland står bak denne aktiviteten", sier utenriksminister Ine Eriksen Søreide.

Alle virksomheter anbefales å følge Nasjonal sikkerhetsmyndighets (NSM) anbefalinger om passord og NSMs grunnprinsipper for IKT-sikkerhet.
Referanser
https://www.regjeringen.no/no/aktuelt/pm_inbr[...]

Microsoft patcher 87 svakheter i denne månedens oppdatering

Microsoft har sluppet sine månedlige oppdateringer, totalt er 87 svakheter fikset, der 12 er kritiske.

Den mest alvorlige svakheten er trolig en feil i håndteringen av IPv6-pakker som gjør at en maskin kan kompromitteres eller krasjes ved å sende en spesielt utformet nettverkspakke (CVE-2020-16898). Svakheten er også svært enkelt å utnytte med en CVSS-score på 9.8.

En annen alvorlig svakhet er CVE-2020-16952 som rammer Sharepoint-servere. Denne gjør det mulig for en autentisert bruker å kjøre vilkårlig kode som administrator-brukeren. For denne svakheten er det allerede sluppet eksempelkode (PoC).

Det er også en kritisk svakhet i Outlook som gjør det mulig å kjøre kode på en sårbar maskin bare ved at mottakeren ser på eposten (CVE-2020-16947).
Referanser
https://portal.msrc.microsoft.com/en-us/secur[...]
https://krebsonsecurity.com/2020/10/microsoft[...]

Tuesday 13 October 2020

2020.10.13 - Nyhetsbrev

Microsoft har også forsøkt å ta ned Trickbot-botnettet.

Microsoft har også forsøkt å ta ned Trickbot-botnettet

I går meldte vi at US Cyber Command hadde forstyrret Trickbot-botnettet. Microsoft melder at også de har arbeidet med å ta ned botnettet i det siste. De har fått en amerikansk domstol til å gi dem kontroll over flere servere som var i bruk av nettverket. Microsoft har også tatt direkte kontakt med ISPer over hele verden for å få dem til å ta ned kommando- og kontroll-servere. Microsoft vil bruke de beslaglagte serverne til å identifisere ofre og hjelpe disse med å fjerne skadevaren.

Analyseselskapet Intel 471 mener imidlertid at aksjonen kan ha begrenset virkning. TrickBot kan bruke TOR-nettverket til å nå sine kontroll-servere. Trickbot har også et backup-system som går via det desentraliserte DNS-systemet EmerDNS, som er umulig å endre for andre enn de som har opprettet domenet.
Referanser
https://edition.cnn.com/2020/10/12/tech/micro[...]
https://krebsonsecurity.com/2020/10/microsoft[...]

Monday 12 October 2020

2020.10.12 - Nyhetsbrev

US Cyber Command har sabotert Trickbot-botnettet. Sikkerhetsforskere fant 11 kritiske svakheter i Apples nettverk. Twitter og Facebook aksjonerer mot desinformasjonsnettverk. Ranswomwaregruppen Ryuk gikk fra en epost til å ta over en hel bedrift på kun 29 timer. Den tyske software giganten Software AG infisert med Clop løsepengevirus.

US Cyber Command har sabotert Trickbot-botnettet

Trickbot er et kjent botnett som brukes både til å stjele sensitiv informasjon, stjele penger, installere løsepengevirus osv. Tilgang til de infiserte maskinene i botnettet blir ofte solgt videre. For rundt en uke siden ble det rapportert at noen prøvde å sabotere Trickbot ved at de infiserte maskinene fikk tilsendt falske konfigurasjons-filer. Det viser seg nå at det var US Cyber Command som stod bak sabotasje-angrepet. Operatørene av Trickbot har nå fått tilbake igjen kontroll over mestaparten av nettverket.
Referanser
https://www.washingtonpost.com/national-secur[...]
https://krebsonsecurity.com/2020/10/report-u-[...]

Sikkerhetsforskere fant 11 kritiske svakheter i Apples nettverk

Et team med sikkerhetsforskere har i den siste tiden lett etter svakheter i nettverket og tjenestene til Apple. Arbeidet ble ledet av 20 år gamle Sam Curry, og han og teamet hans fant 55 svakheter, hvorav 11 av kritiske. De kritiske feilene gjorde det mulig å stjele private eposter, iCloud data og annen privat informasjon tilhørende ansatte og kunder. Teamet skal også ha hatt mulighet til å kjøre tilfeldig kode på sluttbrukeres håndsett. Apple har så langt betalt ut $288.000 i belønning for å finne svakhetene.
Referanser
https://arstechnica.com/information-technolog[...]
https://samcurry.net/hacking-apple/

Twitter og Facebook aksjonerer mot desinformasjonsnettverk

Facebook og Twitter slår ned på personer og grupper som sprer misinformasjon på platformene sine. Dette har ført at de tilsammen har slettet over 3500 brukere av platformene tilhørende 12 organiserte nettverk. Disse knyttes til landene Iran, Saudi Arabia, Cuba, Thailand og Russland.
Referanser
https://www.reuters.com/article/us-cyber-disi[...]

Ranswomwaregruppen Ryuk gikk fra en epost til å ta over en hel bedrift på kun 29 timer

I september ble en bedrift rammet av Ryuk ransomware og infisert på kun 29 timer. Angrepet begynte via en e-post som inneholdt en malware-loader kjent som Bazar. Etter å ha brukt en mengde metoder for å undersøke nettverket satte Ryuk gruppen igang med å ta over en domenekontroller og spre seg i nettverket. Etter at det hadde gått 29 timer siden Bazar ble kjørt, ble kryptering av infiserte klienter og servere startet. Gruppen forlangte deretter 600 Bitcoin i betaling. FBI anslår at Ryuk gruppen har mottatt over 61 millioner dollar i løsepengeutbetaling opptil Februar i år. Les rapporten for ytterligere detaljer om hvordan angriperne opererte.
Referanser
https://thedfirreport.com/2020/10/08/ryuks-return/

Den tyske software giganten Software AG infisert med Clop løsepengevirus

Forrige lørdag ble Software AG utsatt for et løsepengevirus fra hackergruppen Clop. Bakmennene forlangte en betaling på 23 millioner dollar etter å ha ståljet en stor mengde interne dokumenter og informasjon. Software AG melder at det er kun det interne nettverket som er rammet av løsepengeviruset og at customer cloud ikke har blitt påvirket.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Friday 9 October 2020

2020.10.09 - Nyhetsbrev

IKT-hendelse i politinettet. Cisco ute med nye sikkerhetsoppdateringer for Webex Teams, IP kameraer og Cisco ISE. Microsoft Digital Defense Report 2020: Økende sofistikert cybertrussel. CISA advarer mot Emotet angrep mot offentlige etater. Nkoms risikovurdering av ekomsektoren for 2020. Microsoft med digital forsvarsrapport for 2020.

IKT-hendelse i politinettet

Ukjent aktivitet i politinettet førte til at flere brukerkontoer og epostkontoer ble berørt. Så langt virker det ikke som om informasjon har kommet på avveie. Politiet opplyser at de følger situasjonen og har informert ressurser i både Kripos, Politiets sikkerhetstjeneste og Nasjonal Sikkerhetsmyndighet. Politidirektoratet vil oppdatere media så snart det foreligger mer relevant informasjon.
Referanser
https://www.politiet.no/aktuelt-tall-og-fakta[...]
https://www.digi.no/artikler/ukjent-aktivitet[...]

Cisco ute med nye sikkerhetsoppdateringer for Webex Teams, IP kameraer og Cisco ISE

Cisco patcher tre sårbarheter i ny oppdatering. Viktigst er en svakhet i 8000-serien med IP overvåkningskameraer. Måten IP-kameraet håndterer Cisco Discovery Protocol pakker på, fører til at pakkene kan misbrukes og at en angriper kan kjøre vilkårlig kode. Sårbarheten i Webex Teams kan kun utnyttes gjennom lokal tilgang på en Windowsmaskin, og tillater at Windows software-biblioteker lastes inn i programmet og kjøres i det programmet starter. Dessuten meldes det om en feil i management-interfacet til Cisco Identity Services Engine.
Referanser
https://www.zdnet.com/article/cisco-security-[...]

Microsoft Digital Defense Report 2020: Økende sofistikert cybertrussel

Microsoft lanserer en ny årsrapport, kalt Digital Defense Report, som dekker cybersikkerhetstrender fra det siste året. Denne rapporten gjør det klart at trusselaktører raskt har økt i sofistikasjon det siste året, ved hjelp av teknikker som gjør dem vanskeligere å få øye på.
Referanser
https://www.microsoft.com/security/blog/2020/[...]

CISA advarer mot Emotet angrep mot offentlige etater

Cybersecurity and Infrastructure Security Agency (CISA) advarer mot en nylig økning i Emotet botnet-angrep, designet for å spre annen skadelig programvare som er rettet mot statlige og lokale myndigheter. Cybersikkerhet byråer i Canada, Frankrike, Japan, New Zealand, Italia og Nederland har alle rapportert skarpe økninger i Emotet-relatert aktivitet.
Referanser
https://www.govinfosecurity.com/cisa-warns-em[...]

Nkoms risikovurdering av ekomsektoren for 2020

I den årlige risikovurderinga av ekomsektoren vurderer nkom tilliten til ekomtjenester som høy. Da Norge stengte ned i mars på grunn av Covid-19, ble det tatt i bruk digitale løsninger. Norge regnes som en av de beste i europa på digitalisering.
Elektronisk kommunikasjon er et viktig virkemiddel for etterretnings- og trusselaktivitet i og mot Norge. I årene fremover er det viktig å sikre at Norge har en underliggende kapasitet, funksjonalitet og samtrafikk på internett som sikrer oss også i ekstraordinære situasjoner.
Referanser
https://www.nkom.no/aktuelt/nkoms-risikovurde[...]

Microsoft med digital forsvarsrapport for 2020

Årets rapport viser at angrepene er blitt mer sofistikerte det siste året. Det vises også at datakriminelle benytter nye måter for å oppdage sårbare systemer. Her ser man at angriperne har preferanser for løsepengevirus, IoT enheter og innhøsting av brukerinformasjon. Det er dermed viktig at alle organisasjoner har gode sikkerhetsrutiner for backup, fler faktors verifisering og regelmessige sikkerhetsoppdateringer.
Referanser
https://www.microsoft.com/security/blog/2020/[...]

RedTeam Pentesting oppdaget Denial-of-Service svakhet i D-Link DSR-250N

RedTeam Pentesting oppdaget en Denial-of-Service-sårbarhet i D-Link DSR-250N enhet som tillater uautoriserte angripere i samme lokale nettverk for å utføre et CGI-skript som starter enheten på nytt. Å utføre dette skriptet gjør enheten ubrukelig i løpet av denne prosessen. Som en konsekvens, vil ethvert nettverk som bruker enheten som en bryter eller ruter ikke være tilgjengelig også i løpet av den tiden.
Anbefaling
Referanser
https://www.redteam-pentesting.de/en/advisori[...]

HEH, en ny IoT P2P Botnet som går etter svake telnetjenester

Nylig fanget 360Netlab trusseloppdagingssystem en samling nye stikkprøver. CPU-arkitekturen som støttes av denne prøven, er bred, inkludert x86 (32/64), ARM (32/64), MIPS (MIPS32 / MIPS-III) og PPC, den sprer seg gjennom brute force av Telnet-tjenesten på porter 23/2323.
Anbefaling
Referanser
https://blog.netlab.360.com/heh-an-iot-p2p-botnet/

Wednesday 7 October 2020

2020.10.07 - Nyhetsbrev

Universitetssykehus i New Jersey betalt 670 000 dollar til ransomware-angripere. Nytt botnet, HEH, spres gjennom SSH bruteforce. Windows Error Reporting utnyttet til filløs skadevare. Chrome med nye passord-funksjoner i ny versjon. Europol lanserer trusselrapport om organisert kriminalitet på Internet for 2020.

Universitetssykehus i New Jersey betalt 670 000 dollar til ransomware-angripere

Universitetssykehuset i Neward, New Jersey har betalt 670 000 dollar til ransomware gjengen kjent som SunCrypt etter at de lekket 48 000 dokumenter. Pengene ble betalt ut for at det ikke skulle bli lekket sensitive personopplysninger om pasientene. Angrpet startet ved at en ansatt åpnet en phishing-epost og ga fra seg brukernavn og passord.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Nytt botnet, HEH, spres gjennom SSH bruteforce

Et nytt botnet med kallenavn HEH, spres gjennom å bruteforce SSH på port 23 og 2323. Botnetet er i en tidlig fase, og inneholder funksjonalitet for å videre gjennomføre bruteforce-angrep, muligheten for angriper å kjøre shell-kommandoer, samt en destruksjonsrutine som sletter alle partisjoner på enheten.
Referanser
https://www.zdnet.com/article/new-heh-botnet-[...]

Windows Error Reporting utnyttet til filløs skadevare

En ukjent gruppering benytter Windows Error Reporting (WER) sammen med filløs skadevare. Skadevaren starter med en phishing-epost med en zippet macrobasert dokument. VBA modulen benytter da videre WER for å laste ned neste fase av skadevaren og beholde denne i minnet uten å skrive den til disk.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Chrome med nye passord-funksjoner i ny versjon

Chrome versjon 86 kommer med flere sikkerhetsrelaterte oppdateringer, blant annet støtte for Safety Check (sjekke om passord har blitt kompromittert) på mobil-versjonene, støtte for ".well-known/change-password"-standarden og advarsler på HTTP-forms som sender data over HTTP når siden er hostet med HTTPS, med mer.
Referanser
https://www.zdnet.com/article/chrome-86-relea[...]

Europol lanserer trusselrapport om organisert kriminalitet på Internet for 2020

Rapporten inneholder analyse av kriminalitetsbildet, og hvordan korona-perioden har påvirket dette.
Referanser
https://www.europol.europa.eu/activities-serv[...]

Tuesday 6 October 2020

2020.10.06 - Nyhetsbrev

NorSIS har publisert årets digital sikkerhetskultur-rapport. CyberArk tar en gjennomgang av noen vanlige sårbarheter i Antivirusprogrammer i nytt blogginnlegg. Mirai-basert RAT har spredd seg via to 0-day-sårbarheter i Tenda-routere. UEFI-firmware utnyttes for å hindre fjerning av malware.

NorSIS har publisert årets digital sikkerhetskultur-rapport

Rapporten inneholder blant annet to nye temaer: Risikooppfattelse etter koronapandemien, og mestringsforventning innen digital sikkerhet.

Les rapporten her:
Referanser
https://norsis.no/wp-content/uploads/2020/10/[...]

CyberArk tar en gjennomgang av noen vanlige sårbarheter i Antivirusprogrammer i nytt blogginnlegg.

CyberArk peker på de mange rettighetene Antivirus-programmer ofte trenger for å kjøre. Dette kan potensielt misbrukes. De ser på hvordan brukerrettigheter i filsystemer kan utnyttes, både dersom en ikke-priviligert bruker oppretter en mappe som senere brukes av programmet, og hva som skjer med programfiler opprettet av en ikke-priviligert bruker. Til slutt ser de på noen intallasjons rammeverk, siden disse oppdateres sjeldnere enn programmet de installerer.
Referanser
https://www.cyberark.com/resources/threat-res[...]

Mirai-basert RAT har spredd seg via to 0-day-sårbarheter i Tenda-routere

360Netlab har siden november 2019 fulgt med på at en Mirai-basert RAT med navn "Ttint" har spredd seg i Tenda-routere. Den benytter seg av to 0-days for å spre seg. I tilegg til mirais DDoS-funksjoner, har denne varianten 12 nye remote access funksjoner, og den gjør C2-kommunikasjon over Websocket med TLS som gjør den vanskeligere å detektere.
Referanser
https://blog.netlab.360.com/ttint-an-iot-remo[...]
https://threatpost.com/tenda-router-zero-days[...]

UEFI-firmware utnyttes for å hindre fjerning av malware

Cybersikkerhetsforskere har funnet skadelig programvare i UEFI (Unified Extensible Firmware Interface). Analyse av denne sårbarheten viser at hver gang firmware kjører, sjekker den for en fil med tittelen "IntelUpdate.exe" finnes i Windows oppstartsmappe. Hvis ikke IntelUpdate.exe finnes, vil UEFI-image plassere den der og bruke den som en del av et rammeverk for spionasje og datainnsamling. De modifiserte UEFI-utgavene er funnet i PCer tilhørende diplomater i Asia.
Referanser
https://arstechnica.com/information-technolog[...]
https://securelist.com/mosaicregressor/98849/

Monday 5 October 2020

2020.10.05 - Nyhetsbrev

Russiske Fancy Bear har muligens kompromittert et amerikansk føderalt byrå. Det amerikanske finansdepartementet truer firmaer med sanksjoner dersom de betaler løsepenger. Løspengevirus-gjenger legger til DDoS-angrep i verktøykassa.

Russiske Fancy Bear har muligens kompromittert et amerikansk føderalt byrå

Nye spor indikerer at Fancy Bear (APT28, GRU) kan stå bak et datainnbrudd som ble offentliggjort av amerikanske myndigheter i forrige uke. Sporene henger sammen med at FBI sendte ut et varsel angående angrep fra denne gruppen i mai, hvor de gikk ut og sa at APT28 rettet seg mot amerikanske nettverk inkludert føderale byråer og utdanningsinstitusjoner.
Referanser
https://www.wired.com/story/russias-fancy-bea[...]

Det amerikanske finansdepartementet truer firmaer med sanksjoner dersom de betaler løsepenger

Det amerikanske finansdepartementet har lagt ut et dokument som advarer mot at betaling av løsepenger etter angrep av løsepengevirus, kan føre til at en bryter amerikanske sanksjoner mot land eller firmaer. Ofte vet ikke firmaene som betaler hvor pengene ender opp. Dersom en kommer i skade for å bryte sanksjonene, kan dette føre til reaksjoner fra USA.
Referanser
https://home.treasury.gov/policy-issues/finan[...]

Løspengevirus-gjenger legger til DDoS-angrep i verktøykassa

Løspengeviruset SunCrypt har begynt med DDoS-angrep for å få målet til å ta kontakt på betalingssiden deres, etter først å ha kryptert servere og klienter i bedriftens nettverk. De angriper bedriftens nettsted med store mengder trafikk og skriver til målet at angrepet vil fortsette om de ikke betaler for dekryptering av filer. Dette virkemiddelet kommer i tillegg til trusler om å offentliggjøre stjålne data fra nettverket, som dukket opp tidligere i år.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Friday 2 October 2020

2020.10.02 - Nyhetsbrev

Ny tjeneste lar deg sjekke om din epost er brukt av Emotet. Rapport om skadevaren SlothfulMedia.

Ny tjeneste lar deg sjekke om din epost er brukt av Emotet

Italienske TG Soft har gjort tilgjengelig en ny tjeneste hvor en kan sjekke om et domene eller epost-adresse har sendt eller mottatt Emotet-relatert spam.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Rapport om skadevaren SlothfulMedia

Cybersecurity and Infrastructure Security Agency (CISA) og the Cyber National Mission Force (CNMF) har sluppet en skadevare-analyse hvor de ser dypere på en skadevare kjent som SlothfulMedia. Skadevaren brukes som en bakdør av en avansert aktør.
Referanser
https://us-cert.cisa.gov/ncas/analysis-report[...]

Thursday 1 October 2020

2020.10.01 - Nyhetsbrev

Mange har ikke patchet kritisk Exchange-svakhet. Digitalt Situasjonsbilde for tredje kvartal fra Kommune-CSIRT lansert.

Mange har ikke patchet kritisk Exchange-svakhet

Over halvparten av Exchange-serverne som er direkte tilgjengelig over nettet er fortsatt ikke patchet mot en kritisk svakhet, åtte måneder etter at den ble patcet. Svakheten (CVE-2020-0688) lar en autentisert bruker kjøre vilkårlig kode på serveren.
Referanser
https://threatpost.com/microsoft-exchange-exp[...]
https://portal.msrc.microsoft.com/en-US/secur[...]

Digitalt Situasjonsbilde for tredje kvartal fra Kommune-CSIRT lansert

I dag 30. september lanserer Kommune-CSIRT sitt første digitale
situasjonsbilde. Dette er den første av en serie periodiske rapporter
fra Kommune-CSIRT som har ambisjon om å dele et bilde av trusler,
hendelser og sårbarheter som rammer eller kan ramme kommunesektoren.
Referanser
https://kommunecsirt.no/nyheter/digitalt-situ[...]

 
>