2021.12.30 - Nyhetsbrev

Redline skadevare viser hvorfor du ikke bør lagre passord i nettleseren

Redline skadevare viser hvorfor du ikke bør lagre passord i nettleseren

Det er en RedLine malware som sikter seg inn på å stjele informasjon fra nettlesere som Chrome, Edge, og Opera. Malwaren kan kjøpes for omtrent 200 amerikanske dollar og krever lite kunnskap for bruk av den. Det er et eksempel hvor malwaren stjal VPN-innloggingsdetaljer fra en bruker, som ble brukt til å infiltrere selskapet noen måneder senere. Malwaren angriper hovedsaklig en fil hvor innloggingsdetaljer lagres av Chromium-baserte nettlesere. Passordene som lagres er krypterte men passordene kan bli dekryptert av malwaren så lenge brukeren forblir pålogget. Derfor anbefales det å heller bruke en passord-manager og tofaktor-autentisering der det er mulig.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.12.29 - Nyhetsbrev

Amedia utsatt for et alvorlig dataangrep

Amedia utsatt for et alvorlig dataangrep

Amedia ble natt til tirsdag, 28.desember, utsatt for et alvorlig dataangrep hvor flere sentrale datasystemer ble angrepet. Ifølge Amedia har de vært utsatt for et eksternt dataangrep som har kryptert data i de bakenforliggende systemene. Det jobbes med å få opp systemene igjen og selskapet føler de har relativt god kontroll på situasjonen. Det er uklart om personopplysninger er kommet på avveie.
Referanser
https://www.vg.no/nyheter/innenriks/i/wO02Ko/[...]

2021.12.27 - Nyhetsbrev

Det er ingen nye saker siden sist.

2021.12.23 - Nyhetsbrev

Det er ingen nye saker siden sist.

2021.12.22 - Nyhetsbrev

CGM er rammet av løsepengevirus-angrep. Nortura utsatt for dataangrep.

CGM er rammet av løsepengevirus-angrep

Mandag kveld meldte selskapet CGM at de var utsatt for løsepenge-angrep. Firmaet leverer blant annet systemer for journalføring for leger i Norge. Mange av deres interne systemer er nede, men de eksterne tjenestene skal for det meste våre oppe. Selskapet jobber med å få oversikt og åpne systemene igjen.
Referanser
https://www.cgm.com/corp_en/magazine/articles[...] https://www.cgm.com/nor_no/service-og-support[...]

Nortura utsatt for dataangrep

Nortura har blitt utsatt for et dataangrep og har måttet stenge ned sine IT-systemer som følge av dette. Per nå jobber de med å få en fullstendig oversikt over situasjonen og omfanget samt forbereder seg på konsekvensene. Dette har resultert i at flere fabrikker og ekspedisjoner har redusert kapasitet inntil videre.
Referanser
https://e24.no/teknologi/i/bGaa2l/nortura-uts[...] https://www.nortura.no/nyheter/nortura-er-uts[...]

2021.12.21 - Nyhetsbrev

Belgias Forsvarsdepartement utsatt for cyberangrep. USA sikter fem russere for hacking og markedsmanipulasjon.

Belgias Forsvarsdepartement utsatt for cyberangrep

Nettverket til Belgias forsvarsdepartement skal ha vært delvis nede i flere dager som følge av et cyberangrep som angivelig skal ha utnyttet Log4Shell-svakheten. Det er ikke kjent hvem som står bak angrepet.
Referanser
https://www.brusselstimes.com/belgium/198521/[...]

USA sikter fem russere for hacking og markedsmanipulasjon

Justisdepartementet i USA har siktet fem russiske statsborgere for hacking og markedsmanipulasjon. Én av de siktede har tidligere vært ansatt av den militære etterretningstjenesten GRU. De fem brukte datasikkerhetsfirmaet "M-13" som en front for sine aktiviteter, som gikk ut på å bryte seg inn i nettverket til bedrifter og stjele børssensitiv informasjon. Det ble brukt phishing for innbrudd og lokale proxyer for å skjule angrepene.
Referanser
https://therecord.media/us-charges-former-gru[...]

2021.12.20 - Nyhetsbrev

Apache utsteder den tredje oppdateringen for å fikse ny alvorlig Log4j-sårbarhet. Oppdatering for kritisk svakhet i VMware Workspace ONE UEM-konsoll.

Apache utsteder den tredje oppdateringen for å fikse ny alvorlig Log4j-sårbarhet

Apache har gitt ut versjon 2.17.0 av Log4j etter å ha oppdaget problemer med forrige utgivelse som kom ut tirsdag. Den nye oppdateringen beskytter mot ukontrollert rekursjon fra selvrefererende oppslag. En angriper med kontroll over Thread Context Map (MDC) vil kunne lage ondsinnede inputdata som inneholder et rekursivt oppslag, noe som resulterer i en "StackOverflowError"-som vil avslutte prosessen. Dette er altså en sårbarhet som kan brukes til å krasje sårbare servere, altså tjenestenekt eller DoS (Denial of Service).
Referanser
https://logging.apache.org/log4j/2.x/security.html https://thehackernews.com/2021/12/apache-issu[...] https://www.zdnet.com/article/apache-releases[...]

Oppdatering for kritisk svakhet i VMware Workspace ONE UEM-konsoll

En ondsinnet aktør med nettverkstilgang til UEM kan sende sine forespørsler uten autentisering og kan utnytte disse for å få tilgang til sensitiv informasjon. Patcher og løsninger er tilgjengelige for å løse sikkerhetsproblemet i berørte VMware-produkter. Svakheten har fått benevnelsen CVE-2021-22054 og har fått en CVSS-score (alvorlighetsgrad) på 9.3 av 10.
Anbefaling
Installer oppdatering.
Referanser
https://www.vmware.com/security/advisories/VM[...]

2021.12.17 - Nyhetsbrev

Facebook slettet over 1500 kontoer brukt av syv overvåkingsfirmaer og varsler 50000 brukere rammet av overvåkingen.

Facebook slettet over 1500 kontoer brukt av syv overvåkingsfirmaer

Facebook skriver at de har lukket kontoer relatert til 7 overvåkingsselskaper. Disse selskapene skal, i tilegg til overvåking, ha utført phising-forsøk mot brukere for å få tak i innloggingsinformasjon og infisere maskinene til brukerene med malware. Disse selskapene skal ha solgt tjenesten sin til hvem enn som betalt det for dem. Facebook har nå begynt å varsle de over 50.000 Facebook-brukerne i over 100 land som har vært utsatt for overvåking.
Referanser
https://therecord.media/facebook-takes-down-a[...]

2021.12.16 - Nyhetsbrev

Ukrainsk politi har arresterte 51 personer, mistenkt for å selge stjålet personlig informasjon. Googles Project Zero med en tung, teknisk gjennomgang av iMessage svakhet, utnyttet gjennom svært obfuskert utnyttelseskode.

Ukraina har arresterte mistenkte for å selge personlige data

Ukrainsk politi har arrestert 51 mistenkte for å selge personlig informasjon som tilhører over tre hundre millioner mennesker over hele verden via nett-forum. 100 databaser med personopplysninger for 2020-2021 ble beslaglagt som et resultat av operasjonen. Det ble også fjernet 90 000 gigabyte med informasjon etter 117 ransakinger.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Google Project Zero har analysert iMessage-svakhet brukt av NSO-Group

Googles Project Zero team tar her en teknisk gjennomgang av en zero-klikk svakhet i Apples iMessage. Svakheten har vært brukt av NSO-Group, og ble oppdaget av Citizen Lab da det ble brukt i et angrep mot en Saudi-Arabisk aktivist. Svakheten som utnyttes ble patchet i september (CVE-2021-30860). NSO-Group har tatt i bruk svært avanserte metoder for å obfuskere angrepskoden.
Referanser
https://googleprojectzero.blogspot.com/2021/1[...]

2021.12.15 - Nyhetsbrev

Microsoft, Adobe og SAP har gitt ut sikkerhetsoppdateringer i forbindelse med patche-tirsdag. Google patcher zero-day under aktiv utnyttelse i Chrome. Ny versjon av Log4j som patcher enda en svakhet er ute. Symantec skriver om APT som har hatt teleselskaper i Midtøsten og Asia som mål. NSM har utgitt oppdatering rundt den kritiske Log4j-sårbarheten.

Google patcher zero-day under aktiv utnyttelse i Chrome

Google har sluppet en ny versjon av nettleseren Chrome, som fikser fem sårbarheter. Den mest alvorlige er en "use-after-free"-svakhet i V8 JavaScript-motoren til Chrome som blir klassifisert som "kritisk". Dette er den 17. svakheten i Chrome som benyttes i aktive angrep så langt i år.
Referanser
https://thehackernews.com/2021/12/update-goog[...] https://chromereleases.googleblog.com/2021/12[...]

Ny versjon av Log4j som patcher enda en svakhet er ute

Apache har sluppet versjon 2.16.0 av Log4j. Den nye versjonen slår av støtte for JNDI (Java Naming and Directory Interface) som standard. Dette er ment å sikre ytterligere mot feil bruk av input-data som potensielt sett ikke er til å stole på. Det er også oppdaget en mulighet for å utføre DoS-angrep gjennom Log4j, fulgt som CVE 2021-45046, som er patchet i den nye versjonen.
Referanser
https://logging.apache.org/log4j/2.x/changes-[...] https://www.zdnet.com/article/second-log4j-vu[...] https://cve.mitre.org/cgi-bin/cvename.cgi?nam[...]

Symantec skriver om APT som har hatt teleselskaper i Midtøsten og Asia som mål

Symantec har sluppet en ny rapport med detaljer rundt en aktør med mulig tilknytning til Iran og Seedworm-grupperingen. I løpet av det halve året har denne aktøren angrepet telekomselskaper i Midtøsten og Asia. Aktøren benytter seg ikke av spesiallaget malware i angrepene sine.
Referanser
https://symantec-enterprise-blogs.security.co[...]

NSM har utgitt oppdatering rundt den kritiske Log4j-sårbarheten

NSM har utgitt mer informasjon rundt CVE-2021-44228. Her har de kommet med en oversikt over hva som skjer rundt sårbarheten, hvilke tiltak man burde gjøre og svart på de mest stilte spørsmålene. Utnyttelse av sårbarheten blir forsøkt gjort på flere forskjellige måter og det finnes stadig flere metoder som kan benyttes for å utnytte et system. Blant annet er det forsøkt benytter JNDI referanaser i headere på eposter. De anbefalte tiltakene innebærer å oppdatere til Log4j versjon 2.16, identifisere log4j komponenter, teknisk mitigering dersom man ikke kan oppdatere, isolering av tjenesten og ta den av nett dersom man verken kan mitigere eller oppdatere, samt begrense hvilke systemer applikasjoner kan kommunisere med, slik at de ikke har mulighet til å gjøre callback til tilfeldige adresser.
Referanser
https://nsm.no/fagomrader/digital-sikkerhet/n[...]

Adobe har gitt ut oppdateringer til mye av sin programvare

Adobe Product Security Incident Response Team (PSIRT) har gitt ut informasjon om patching av sårbarheter i forbindelse med denne månedens patche-tirsdag. Denne måneden er det 11 av Adobes programpakker som får fikset svakheter.
Referanser
https://helpx.adobe.com/security.html

SAP slipper ut oppdateringer

Tirsdag 14. desember ble den månedlige sikkerhetsoppdateringen fra SAP utgitt. Denne månedens slipp inneholder 10 nye fikser samt 5 oppdateringer av tidligere sikkerhetsoppdateringer.
Referanser
https://wiki.scn.sap.com/wiki/display/PSR/SAP[...]

Microsoft patchetirsdag desember 2021

Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer. Det er totalt 80 bulletiner, hvor 7 er vurdert som kritiske. Flere av sårbarhetene kan utnyttes til å fjernkjøre kode og ta kontroll over brukere og systemer. De kritiske sårbarhetene påvirker blant annet Microsoft Defender og Windows 10. Én av svakhetene blir allerede utnyttet i aktive angrep, altså en 0-day svakhet. Dette er en "spoofing-svakhet" i Windows AppX Installer og har fått benevnelsen CVE-2021-43890. Den blir brukt av malware som Emotet til å oppnå utvidede rettigheter på et infisert system.
Referanser
https://nsm.no/fagomrader/digital-sikkerhet/n[...] https://msrc.microsoft.com/update-guide https://isc.sans.edu/forums/diary/Microsoft+D[...]

2021.12.14 - Nyhetsbrev

Apple med sikkerhetsoppdatering for iOS, iPadOS, macOS, tvOS og watchOS.

Apple med sikkerhetsoppdatering for iOS, iPadOS, macOS, tvOS og watchOS.

Apple har lansert oppdateringer som forbedrer sikkerheten på iPhone og iPad, samt operativsystemene, Monterey, Big Sur og Catalina. tvOS og watchOS har også fått en oppdatering. TSOC råder alle med enheter som bruker Apple sine operativ-systemer til å oppgradere til siste versjon.
Referanser
https://support.apple.com/en-us/HT201222

2021.12.13 - Nyhetsbrev

Scanning etter Log4j-svakheter begynte allerede 1. desember. Zero-Day utnyttelse mot svært mye brukt Java-bibliotek Log4j. Volvo avslører sikkerhetsbrudd som fører til FoU-datatyveri.

Scanning etter Log4j-svakheter begynte allerede 1. desember

Cloudflare-sjef Matthew Prince skriver på twitter at de tidligste bevisene de har funnet så langt på #Log4J-utnyttelse er 2021-12-01 04:36:50 UTC. Cisco Talos meddelte i et blogginnlegg at de observerte aktivitet i forbindelse med sårbarheten kjent som CVE-2021-44228 fra 2. desember, og de som leter etter indikatorer på kompromitterte servere bør utvide søkene sine til minst så langt tilbake. Det rapporteres ellers at svakheten nå blir utnyttet av botnett til å rekruttere nye servere ved å infisere dem. Mange er også nervøse for at noen skal utvikle en orm som benytter seg av svakheten. En slik orm kan komme til å komme seg på innsiden av bedriftsnettverk, og dermed spre seg internt i nettet uten å bli stoppet av brannmurer og andre eksterne sikkerhetstiltak.
Referanser
https://www.zdnet.com/article/log4j-rce-activ[...] https://arstechnica.com/information-technolog[...]

Zero-Day utnyttelse mot svært mye brukt Java-bibliotek Log4j

Log4j er et populært Java-bibliotek utviklet og vedlikeholdt av Apache-stiftelsen. Fredag ​​morgen kom de første rapportene om en kritisk sårbarhet i et populært Java-bibliotek kalt «Log4j». På tidspunktet for mottak av disse rapportene har sårbarheten tilsynelatende blitt utnyttet av trusselaktører i flere dager. Selv om visse produkter kan være sårbare, betyr det ikke nødvendigvis at sårbarheten kan utnyttes med hell, da dette avhenger av flere pre- og postbetingelser som JVM-en som brukes, den faktiske konfigurasjonen osv. En må regne med at mer spesfikke verktøy for å utnytte forskjellige sårbare systemer vil utvikles etter hvert. Alle versjoner av log4j mellom versjon 2.0 og 2.14.1 er sårbare. Så langt er det ikke meldt om storstilt vellykket utnyttelse av svakheten i Norge. De vellykkede forsøkene som er observert så langt utenfor Norge ble brukt til å distribuere botnett-programvare som Mirai2, Kinsing3 og Tsunami3 (aka Muhstik). Disse botnettene brukes primært til å starte DDoS-angrep (Mirai, Tsunami) eller å utvinne kryptovalutaer (Kinsing). Organisasjoner og myndigheter oppfordres til å sjekke programvare for bruk av Log4j og ta i bruk de oppdateringene eller mitigerende tiltak som er lagt ut. Mange leverandører har allerede sluppet oppdaterte versjoner av sine produkter for å eliminere svakheten. Blant disse er Cisco, Ubiquiti, VMWare, F-Secure og Oracle. Flere tusen produkter er sårbare for svakheten. Dersom en leverandør enda ikke har levert en oppdatering, finnes det måter å mitigere svakheten på inntil en oppdatering er klar. Se vedlagte Github-lenke for oppdatert informasjon om IOCer, mitigering, scanner-verktøy for å finne sårbare systemer og en liste over sårbar programvare.
Referanser
https://nsm.no/aktuelt/kritisk-sikkerhetshull[...] https://www.govcert.ch/blog/zero-day-exploit-[...] https://www.rumble.run/blog/finding-log4j/ https://github.com/NCSC-NL/log4shell

Volvo avslører sikkerhetsbrudd som fører til FoU-datatyveri

Ukjente hackere har stjålet forsknings- og utviklings-informasjon fra Volvo sine servere. Snatch løsepengevirus gruppen sier at de står bak angrepet. Så langt har banden lekket 39.5MB med data som de hevder stammer fra innbruddet.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.12.10 - Nyhetsbrev

0-dagssvakhet funnet i Apache Log4j, brukt i mange systemer og tjenester.

0-dagssvakhet funnet i Apache Log4j, brukt i mange systemer og tjenester

Apache Log4j, ett populært Java-basert rammeverk for logging, har en svakhet som gjør det mulig for angriper å fjerneksekvere vilkårlig kode på web-servere som bruker rammeverket. Apache Struts2, Apache Solr, Apache Druid, Apache Flink m.fl. bruker igjen Log4j og er også sårbare. Mange store tjenester på Internett er såbare for denne svakheten og patching pågår. Log4j kan inngå i mange systemer uten at eierne av systemene er klar over det. Det ligger allerede et Proof-of-Concept åpent ute på nettet. De påvirkede versjonene er fra og med 2.0 til 2.14.1. Det anbefales at man oppdaterer til nyeste versjon som er log4j-2.15.0-rc2. Den tidligere rc1 viste seg å fortsatt være sårbar.
Anbefaling
Installert oppdatert versjon log4j-2.15.0-rc2.
Referanser
https://www.lunasec.io/docs/blog/log4j-zero-day/ https://www.randori.com/blog/cve-2021-44228/ https://www.cyberkendra.com/2021/12/worst-log[...]

2021.12.09 - Nyhetsbrev

SonicWall anbefaler brukere sterkt å oppdatere SMA 100. Mozilla har oppdatert Firefox, Firefox ESR og Thunderbird.

SonicWall anbefaler brukere sterkt å oppdatere SMA 100

SonicWall har slupper oppdateringer som fikser flere sårbarheter av høy kritikalitet. De mest kritiske sårbarhetene går under benevnelsen CVE-2021-20038 og CVE-2021-20045. Sårbarhetene gjør det mulig for angripere å eksekvere kommandoer som brukeren "nobody" via nettverket. CVE-2021-20039, som blir rettet opp av å patche, kan la autentiserte angripere kjøre helt vilkårlige kommandoer som root, som igjen kan føre til at de kan ta over enheten.
Anbefaling
Patch alle SMA 100 enheter.
Referanser
https://psirt.global.sonicwall.com/vuln-detai[...] https://www.bleepingcomputer.com/news/securit[...]

Mozilla har oppdatert Firefox, Firefox ESR og Thunderbird

Mozilla har utgitt oppdateringer som fikser sårbarheter i de tre programvarepakkene. Noen av sårbarhetene gjør det mulig for angripere å ta over de påvirkede systemene. Det anbefales dermed å oppdatere til nyeste versjonene: Firefox 95, Firefox ESR 91.4.0 og Thunderbird 91.4.0.
Anbefaling
Oppgrader til Firefox 95, Firefox ESR 91.4.0 og Thunderbird 91.4.0.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...] https://www.mozilla.org/en-US/security/adviso[...]

2021.12.08 - Nyhetsbrev

Google forstyrrer aktivitetene til botnettet Glupteba. Alvorlig svakhet i Grafana.

Google forstyrrer aktivitetene til botnettet Glupteba

Google har hindret botnettet Glupteba fra å infisere flere Windows-maskiner. Glupteba blir for det meste spredd via nedlasting av piratkopiert programvare og brukes til å stjele brukernavn/passord, utvinne kryptovaluta og starte proxy-tjenester. Google har jobbet sammen med ISPer og CloudFlare for å ta ned servere og domener som botnettet har brukt. Det antas at operatørene bak botnettet kan komme til å få tilbake kontrollen over sine infiserte maskiner ved hjelp av et backup-system. De infiserte maskinene sjekker jevnlig etter nye kontroll-servere gjennom å følge bestemte Bitcoin-adresser i blokkjeden. Bakmennene kan gjennom denne mekanismen få de infiserte maskinene til å motta nye kommandoer.
Referanser
https://blog.google/threat-analysis-group/dis[...] https://blog.google/technology/safety-securit[...]

Alvorlig svakhet i Grafana

Grafana er en åpen plattform for å visualisere data ved hjelp av grafer. Det meldes nå at Grafana har en alvorlig svakhet som er svært enkelt å utnytte, siden den er en enkelt "path-traversal"-savkhet. Problemet er fikset de nyeste versjonene av Grafana som nå er klare for nedlasting.
Anbefaling
Last ned Grafana 8.3.1, 8.2.7, 8.1.8 eller 8.0.7.
Referanser
https://grafana.com/blog/2021/12/07/grafana-8[...]

2021.12.07 - Nyhetsbrev

Rapport fra Mandiant viser at Russland fortsetter med cyber-spionasje. Microsoft har beslaglagt 15 domener knyttet til APT15/Nickel. Hundrevis av SPAR butikker i UK stenger ned grunnet cyberangrep. Hackere stjal krypto-valuta for minst 150 mill. dollar.

Rapport fra Mandiant viser at Russland fortsetter med cyber-spionasje

Det er nå ett år siden angrepene gjennom Solarwinds-programvaren ble oppdaget. Grupperingen bak er kjent som Nobelium, APT29, The Dukes eller Cozy Bear. Det er russiske SVR som skal stå bak. Mandiant har fulgt med på gruppens operasjoner det siste året og har nå sluppet en rapport med detaljer rundt angrepsmetoder og mål. Franske myndigheter advarer også i dag om angrep mot franske interesser fra Nobelium i løpet av det siste året. Det har vært mange innbrudd i epost-kontoer i forbindelse med operasjonene.
Referanser
https://www.mandiant.com/resources/russian-ta[...] https://apnews.com/article/technology-russia-[...] https://www.bleepingcomputer.com/news/securit[...]

Microsoft har beslaglagt 15 domener knyttet til APT15/Nickel

Microsoft melder at de i dag har beslaglagt 15 domener tihørende den kinesiske grupperingen APT 15, også kjent som KE3CHANG, APT15, Vixen Panda, Royal APT og Playful Dragon. Grupperingen har kompromittert både statlige og ikke-statlige organisasjoner i 29 land, hovedsaklig i Europa og Latin-Amerika.
Referanser
https://www.microsoft.com/security/blog/2021/[...] https://www.bleepingcomputer.com/news/microso[...]

Hundrevis av SPAR butikker i UK stenger ned grunnet cyberangrep

Rundt 330 SPAR butikker i Nord-England måtte stenge ned eller bytte til bare kontant betaling etter at et cyberangrep tok ned IT-systemene til butikkkjeden. Systemene som er rammet er blant annet, kreditt-kort prosessering og tilgang til interne epost-systemer. Det Engelske cybersikkerhets-senteret har sagt at de er klar over hendelsen og er med på å mitigere angrepet. Det er ikke bekreftet hva slags angrep det er, men det er klare tegn på at det er et løsepengeangrep.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Hackere stjal krypto-valuta for minst 150 mill. dollar

En handelsplattform for kryptovaluta, BitMart, bekrefter mandag at et stort sikkerhetsbrudd. Det var blochain-sikkerhets- og dataanalyseselskapet PeckShield som først oppdaget sikkerhetsbruddet lørdag kveld, og de estimerer tapene til å være opp mot 200 millioner dollar – over 1,8 milliarder kroner.
Referanser
https://finansavisen.no/nyheter/finans/2021/1[...]

2021.12.06 - Nyhetsbrev

Myndigheter slår hardt ned på cyberkriminelle som står bak løsepengevirus. Avansert trusselaktør utvider angrep på ManageEngine med en aktiv kampanje mot ServiceDesk Plus. 14 nye Cross-Site Leaks-angrep påvirker alle moderne nettlesere. Ansatte i USAs utenriksdepartement hacket ved bruk av iOS-svakhet og NSO-spionprogramvare.

Myndigheter slår hardt ned på cyberkriminelle som står bak løsepengevirus

Det siste året har bedrifter i flere land blitt rammet av organiserte data-angrep. Blant de største var angrepet mot amerikanske Colonial Pipeline og Kaseya. Etter angrepene gjennomførte FBI motangrep på hackergruppen REvil. Der de klarte å ta over deler av nettverket deres. Det er ikke tegn på at det kommer til være en nedgang i antall løsepengevirus i fremtiden. Dermed har USA og andre myndigheter dannet gruppen Counter-Ransomware Initiative. Gruppen består av over 30 land, hvor Russland og Kina ikke har fått lov til å bli med. Målet til gruppen er å forebygge løsepengevirus angrep. I dag kom det også fram at US Cyber Command nylig har gått aktivt til motangrep mot løsepengevirus-grupper.
Referanser
https://nrkbeta.no/2021/12/03/politi-og-polit[...] https://edition.cnn.com/2021/12/05/politics/u[...]

Avansert trusselaktør utvider angrep på ManageEngine med en aktiv kampanje mot ServiceDesk Plus

I løpet av tre måneder har en iherdig og målbevisst APT-aktør lansert flere kampanjer som nå har resultert i kompromitteringer av minst fire nye organisasjoner, totalt 13. Fra og med 16. september 2021, ga USA Cybersecurity and Infrastructure Security Agency (CISA) ut en advarsel om at avanserte trusselaktører aktivt har utnyttet nye sårbarheter i løsningen ManageEngine ADSelfService Plus. Unit 42 fra Palo Alto har flere detaljer om saken i linken.
Referanser
https://unit42.paloaltonetworks.com/tiltedtem[...]

14 nye Cross-Site Leaks-angrep påvirker alle moderne nettlesere

Forskere har oppdaget 14 nye varianter av datalekkasjeangrep på tvers av nettsteder mot en rekke moderne nettlesere, inkludert Tor Browser, Mozilla Firefox, Google Chrome, Microsoft Edge, Apple Safari og Opera.
Referanser
https://thehackernews.com/2021/12/14-new-xs-l[...]

Ansatte i USAs utenriksdepartement hacket ved bruk av iOS-svakhet og NSO-spionprogramvare

Forrige måned ble det kjent at amerikanske myndigheter innfører sanksjoner mot det israelske selskapet NSO Group. Apple saksøkte også firmaet for å ha hacket telefonene til kundenes deres. Nå har det kommet fram at også minst 11 ansatte i det amerikanske utenriksdepartementet har blitt hacket ved hjelp av Pegasus-programvare fra NSO. De ansattes telefoner av typen iPhone har blitt hacket ved bruk av en svakhet i iOS som har gjort det mulig for ukjente angripere å overvåke mobilene.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.12.03 - Nyhetsbrev

Mozilla har utgitt kritisk sikkerhetsoppdatering for NSS. Kritisk sårbarhet i mer enn 150 ulike HP-skrivere.

Mozilla har utgitt sikkerhetsoppdatering for NSS

Mozilla har utgitt en kritisk oppdatering som fikser sårbarheter i deres Network Security Services (NSS). Sårbarhetene er funnet i versjon 3.73 og 3.68.1 og tidligere versjoner og gjør det mulig for en angriper å kjøre vilkårlig kode eller ta ned applikasjoner. NSS er er samling med kryptografiske biblioteker som gjør det mulig å utvikle på tvers av klient-tjener platformer. Blant Mozilla sine produkter så er Thunderbird, LibreOffice, Evolution og Evince sårbare. Andre produkter som bruker bibliotekene kan også være sårbare.
Referanser
https://www.mozilla.org/en-US/security/adviso[...] https://thehackernews.com/2021/12/critical-bu[...]

Kritisk sårbarhet i mer enn 150 ulike HP-skrivere

I over 150 ulike multifunksjonsskrivere fra HP ble det tidligere i år funnet to sårbarheter som bør fikses. Begge sårbarhetene er alvorlige, men den ene er mer kritisk. Angriperne fant en måte å kjøre vilkårlig kode på skriveren som kan brukes til å stjele informasjon, eller bruke den til fremtidige angrep mot nettverket som skriveren er koblet til. Svakheten kan også bli brukt til Cross-Site printing. De berørte produktene tilhører familiene Laserjet, Officejet, Pagewide og Scanjet. Alle disse benytter fastvaren kalt Futuresmart.
Anbefaling
Oppdatere fastvaren til skriveren
Referanser
https://www.digi.no/artikler/kritisk-sarbarhe[...]

2021.12.02 - Nyhetsbrev

Nordic Choice Hotels rammet av cyberangrep: Har satt krisestab. AT&T tar grep mot DDoS-botnett som kapret VoIP-servere. Tidligere ansatt hos Ubiquiti pågrepet for forsøk på utpressing mot sin egen arbeidsgiver.

Nordic Choice Hotels rammet av cyberangrep: Har satt krisestab

Petter Stordalens hotellkjede Nordic Choice er rammet av et massivt cyberangrep. Blant annet er systemet for inn- og utsjekking nede.
Referanser
https://www.digi.no/artikler/nordic-choice-ho[...]

AT&T tar grep mot DDoS-botnett som kapret VoIP-servere

AT&T undersøker og har gjort tiltak for å mitigere et botnett (EwDoor) som infiserte mer enn 5700 VoIP servere i deres nettverk. En analyse av skadevaren avslørte omfattende bakdørs- og DDoS-funksjoner, som Netlab-forskere foreslo kunne brukes til å få tilgang til enheter for å samle og stjele sensitiv informasjon, for eksempel VoIP-anropslogger. Skanninger tyder på at mer enn 100 000 enheter bruker det samme SSL-sertifikatet som brukes på EdgeMarc VoIP-servere, men det er uklart hvor mange av disse som er sårbare for CVE-2017-6079 og utsatt for angrep.
Referanser
https://therecord.media/att-takes-action-agai[...]

Tidligere ansatt hos Ubiquiti pågrepet for forsøk på utpressing mot sin egen arbeidsgiver

En tidligere ansatt hos Ubiquiti ble i går arrestert for å ha forsøkt å utpresse sin arbeidsgiver. Den ansatte, som jobbet med utvikling av nettverksenheter, skal først ha stjålet flere gigabytes med data og deretter utgitt seg som en anonym hacker og sendt firmaet et løsepengekrav på nærmere 2 millioner dollar.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.12.01 - Nyhetsbrev

Microsoft Defender gir falske positive treff på Emotet

Microsoft Defender gir falske positive treff på Emotet

Microsoft Defender for Endpoint har nå begynt å blokkere Office-dokumenter fra å bli åpnet pga false-positiv merking av dokumentet som en mulig kilde av Emotet trojaneren. Microsoft har fikset problemet for alle cloud-tilkoblede brukere og jobber med en fiks for resten av brukerne.
Referanser
https://www.bleepingcomputer.com/news/microso[...]

2021.11.30 - Nyhetsbrev

Panasonic utsatt for datainnbrudd. Google Play-apper lastet ned 300 000 ganger og stjal bankinformasjon.

Panasonic utsatt for datainnbrudd

Panasonic kom fredag med en offentlig uttalelse om at de har vært utsatt for et datainnbrudd, hvor en ukjent angriper skal ha kompromittert deres interne nettverk og fått tilgang til flere filer. Panasonic oppdaget innbruddet tidligere denne måneden, den 11 november. Japanske nyhetskanaler hevder at angriperne skal ha hatt tilgang til Panasonics nettverk i over 4 måneder og at de har fått tilgang til sensitiv informasjon som blant annet inkluderer kundedetaljer, personlig informasjon om ansatte og tekniske filer. Panasonic selv har ikke kommentert disse påstandene.
Referanser
https://therecord.media/panasonic-discloses-f[...] https://www.zdnet.com/article/panasonic-confi[...]

Google Play-apper lastet ned 300 000 ganger og stjal bankinformasjon

Forskere har oppdaget et parti med apper lastet ned fra Google Play mer enn 300 000 ganger før appene ble avslørt som banktrojanere. Appene hentet passord og tofaktor autentiseringskoder, logget tastetrykk og tok skjermbilder. Appene er for eksempel QR-skannere, PDF-skannere og kryptovaluta-lommebøker og fungerer som de skal. De hadde imidlertid muligheten til å laste ned oppdateringer fra tredjepartskilder som i utgangspunktet hadde null deteksjon hos VirusTotal. Det er skadevaren Anatsa som blir installert.
Referanser
https://arstechnica.com/information-technolog[...] https://threatpost.com/banking-trojan-infecti[...]

2021.11.29 - Nyhetsbrev

Kompromitterte Google Cloud-kontoer hacket og blir brukt til utvinning av kryptovaluta. Interpol arresterer over 1000 mistenkte tilknyttet nettkriminalitet.

Kompromitterte Google Cloud-kontoer hacket og blir brukt til utvinning av kryptovaluta

Google advarer om at kompromitterte Google Cloud kontoer blir brukt til krypto mining, ut ifra 50 nylig kompromittert kontoer så har 86% blitt brukt til utvinning av krypto. På fleste parten av de kompromitterte kontoene ble det lastet ned mining verktøy iløpet av 22 sekunder. Flere av systemene har også scannet videre etter andre tilgjengelige resurser på nettet.
Referanser
https://www.cnbc.com/2021/11/26/google-warns-[...]

Interpol arresterer over 1000 mistenkte tilknyttet nettkriminalitet

Interpol har koordinert arrestasjonen av 1003 individer som er linket til forskjellig nettkriminalitet som romansesvindel-, investeringsvindel, nettbasert hvitvasking og ulovlig nett-gambling. Operasjonen går under navnet HAEICHI-II og 20 land har deltatt fra juni til september 2021. Interpol har klart å beslaglegge rundt 27 000 000 dollar og frosset 2350 bank-kontoer som er linket til forskjellige nettkriminalitet.
Referanser
https://www.bleepingcomputer.com/news/legal/i[...]

2021.11.26 - Nyhetsbrev

Apache HTTP-server har svakheter som påviker Cisco-produkter

Cisco har utgitt en rapport angående produkter som ble påvirket av Apache HTTP Server sårbarhetene i versjon 2.4.48, som ble avdekket i forrige måned. De undersøker sine produkter for å finne ut av hvilke som er påvirket av sårbarhetene. Foreløpig har de funnet at Cisco Expressway Series og Cisco TelePresence Video Communication Server (VCS) er sårbare. Produktene har ikke fått en oppdatering som fikser sårbarhetene, men det forventes at en fikset versjon X14.1 kommer i desember.
Referanser
https://tools.cisco.com/security/center/conte[...]

Sårbarheter funnet i VMware cVenter og VMware Cloud

Flere sårbarheter i VMwares produkter vCenter og VMware cloud har nå blitt patchet. Sårbarhetene i vCenter har fått sårbarhetsvurderingen 7.5 (av 10) og gjør det mulig å lese vilkårlige filer. Dette gjør det mulig for enhver person med HTTPS-tilgang til tjeneren å få tilgang til sensitiv informasjon. Det ble også meldt om en server side request forgery-sårbarhet (SSRF) i vCenter. Denne har sårbarhetsklassifisering 6.5 og kan gjøre det mulig for en angriper å få tilgang til interne tjenester.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Ukraina har arrestert fem medlemmer fra Phoenix-gruppen

Den internasjonale hackergruppen Phoenix var kjent for å utnytte mobile enheter. Formålet til gruppen er å stjele bank- og betalingsinformasjon fra infiserte klienter og selge privat informasjon til tredjeparter. For å gjennomføre dette lagde gruppen phising-sider basert på Apple og Samsung sine innloggingssider. Over to år fikk gruppen tilgang til flere hundre brukeres informasjon. En av deres andre inntektskilder var å åpne stjålne Apple-telefoner. Det er ukjent om de fem personene er alle medlemmene i Phoenix, eller om det finnes flere.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.11.24 - Nyhetsbrev

Android-malwaren Flubot sprer seg via SMS i Norge i dag. Apple saksøker NSO-gruppen på grunn av deres spionvare-produkt Pegasus.

Android-malwaren Flubot sprer seg via SMS i Norge i dag

Vi ser nok en gang spredning av skadevaren "Flubot" som sprer seg fra infiserte Android-mobiler. Flubot sprer seg ved å sende ut SMS-meldinger med tekster som "Ny melding fra tjenesteleverandør" og "Melding til deg". Dersom du blir lurt til å trykke på lenken, blir Android-brukere sendt til en side med skadevare, mens iPhone-brukere blir sendt til en svindel-side. Telenor har så langt blokkert over 200.000 meldinger i vårt SMS-filter, men noen meldinger slipper dessverre igjennom.
Referanser
https://www.tv2.no/nyheter/14368524/ https://www.facebook.com/TelenorSOC/

Apple saksøker NSO-gruppen på grunn av deres spionvare-produkt Pegasus

Apple saksøker NSO-gruppen grunnet at deres produkt Pegasus har blitt brukt til å spionere på Apple sine brukere. For å forhindre at dette skjer igjen, vil Apple forby NSO-gruppen å bruke Apple sine tjenester og produkter. I tillegg gir Apple 10 millioner dollar i støtte til cybersikkerhetsforskere og forkjempere av personvern. Sikkerhetsforskere ved Citizen Lab oppdaget i september en zero-day zero-click svakhet som ble brukt av NSO til å installere Pegasus på iPhone-telefoner. Apple ga kort tid etter ut en hasteoppdatering.
Referanser
https://www.apple.com/newsroom/2021/11/apple-[...] https://www.zdnet.com/article/apple-sues-nso-[...]

2021.11.23 - Nyhetsbrev

Ny zero-day Windows-svakhet lar en vanlig bruker bli administrator. GoDaddy utsatt for datainnbrudd, 1.2 millioner passord i klartekst lekket.

Ny zero-day Windows-svakhet lar en vanlig bruker bli administrator

En sikkerhetsforsker har sluppet detaljer om en svakhet i alle nyere versjoner av Windows. Svakheten lar en vanlig bruker eskalere rettighetene sine til administrator-tilgang. Exploit-kode for å utnytte svakheten er allerede tilgjengelig. Den nye svakheten ble oppdaget etter undersøkelser av patchen til en svakhet som ble patchet i Microsoft november-oppdatering, CVE-2021-41379 "Windows Installer Elevation of Privilege Vulnerability. Sikkerhetsforskeren bak oppdagelsen offentliggjorde detaljene rundt svakheten for å protestere mot Microsofts stadig lavere belønning for svakheter.
Referanser
https://www.bleepingcomputer.com/news/microso[...]

GoDaddy utsatt for datainnbrudd, 1.2 millioner passord i klartekst lekket

GoDaddy avslørte i dag at en ukjent angriper hadde fått uautorisert tilgang til systemet som ble brukt til å klargjøre selskapets administrerte WordPress-nettsteder. Innbruddet har påvirket opptil 1,2 millioner av deres WordPress-kunder. I følge en rapport fra GoDaddy, fikk angriperen først tilgang via et kompromittert passord 6. september 2021, og ble oppdaget 17. november 2021. Det ser ut til at GoDaddy lagret sFTP-innloggings-detaljer enten som ren tekst eller i et format som enkelt kan reverseres til ren tekst. Også de private SSL-nøklene til kundene skal være på avveie.
Referanser
https://www.wordfence.com/blog/2021/11/godadd[...] https://www.bleepingcomputer.com/news/securit[...] https://www.darkreading.com/attacks-breaches/[...]

2021.11.22 - Nyhetsbrev

Vindturbinprodusenten Vestas melder om datainnbrudd. Sikkerhetsfirma har hacket seg inn hos løsepengevirusgruppen Conti.

Vindturbinprodusenten Vestas melder om datainnbrudd

Danske Vestas melder i dag at de oppdaget et datainnbrudd fredag 19. november. De har siden jobbet døgnet rundt sammen med eksterne leverandører for å få oversikt over hendelsen. Det interne nettverket er kompromittert og data har blitt stjålet. Det er ingen indikasjoner på at innbruddet har gått ut over tredjeparter eller forsyningskjeder. Flere interne datasystemer er fortsatt nede.
Referanser
https://www.vestas.com/en/media/company-news/[...] https://www.infosecurity-magazine.com/news/wi[...]

Sikkerhetsfirma har hacket seg inn hos løsepengevirusgruppen Conti

Prodaft Threat Intelligence (PTI) fikk tilgang til Contis infrastruktur og identifiserte de egentlige IP-adressene til de aktuelle serverne. Conti har vist seg å være en spesielt hensynsløs gruppe, som vilkårlig retter seg mot sykehus, nødhjelpstjenesteleverandører og politisentraler globalt. Etter å ha brutt seg inn i Contis infrastruktur gjennom en sårbarhet, drev sikkerhetsfirmaet med overvåking av banden i over én måned. PRODAFT har laget en rapport som beskriver hvordan Conti-gruppen opererer, hvordan de velger ut mål, hvor mange ofre de har osv.
Referanser
https://www.prodaft.com/resource/detail/conti[...] https://therecord.media/conti-ransomware-gang[...]

2021.11.19 - Nyhetsbrev

Emotet botnettet er tilbake. Hackergruppen MosesStaff med destruktive angrep mot selskaper i Israel. Ny rowhammer-teknikk omgår tidligere mitigeringer.

Nye sidekanalangrep aktiverer alvorlige DNS cache forgiftningsangrep

Forskere har demonstrert enda en variant av SAD DNS-cache-forgiftningsangrepet som gjør omtrent 38 % av domenenavnsløserne sårbare. SAD DNS-angrep lar en angriper omdirigere all trafikk til sin egen server og deretter bli en man-in-the-middle (MITM) angriper, som tillater avlytting og tukling av kommunikasjonen. Den siste feilen påvirker Linux-kjerner så vel som populære DNS-programvare, inkludert BIND, Unbound og dnsmasq som kjører på toppen av Linux, men ikke om det kjøres på andre operativsystemer som FreeBSD eller Windows.
Referanser
https://thehackernews.com/2021/11/new-side-ch[...]

Tusenvis av Firefox-brukere publiserer påloggingsinformasjonskapsler på GitHub

Tusenvis av Firefox-informasjonskapseldatabaser som inneholder sensitive data er tilgjengelige på forespørsel fra GitHub-lagre som kan potensielt brukes til å kapre autentiserte økter. Disse cookies.sqlite- databasene ligger normalt i Firefox-profilmappen og brukes til å lagre informasjonskapsler mellom nettlesingsøktene. De er tilgjengelige ved å søke i GitHub med spesifikke søkeparametere, det som er kjent som et søk «dork».
Referanser
https://www.theregister.com/2021/11/18/firefo[...]

2021.11.18 - Nyhetsbrev

USA, Storbritannia og Australia sikter Iran for utnyttelse av Fortinet og Exchange-hull.

USA, Storbritannia og Australia sikter Iran for utnyttelse av Fortinet og Exchange-hull

Cybermyndigheter i USA, Storbritannia og Australia har bedt administratorer om å umiddelbart fikse fire sårbarheter: CVE-2021-34473, 2020-12812, 2019-5591 og 2018-13379. FBI og CISA har observert disse sårbarhetene utnyttet av en APT støttet av Iran. Trusselaktøren har utnyttet svakheter i Fortinet siden mars, og Microsoft Exchange Proxyshell siden oktober. Det australske cybersikkerhetssenteret ACSC er også klar over denne APT gruppen og har sett samme Microsoft Exchange-sårbarhet utnyttet i Australia. Ved å utnytte svakhetene, kunne angriperen få tilgang til systemet og opprettet deretter nye brukere som liknet på eksisterende brukere. Så aktiverte de løsepengeviruset mens data ble hentet ut via FTP til APT gruppen.
Referanser
https://www.zdnet.com/article/us-uk-and-austr[...]

2021.11.17 - Nyhetsbrev

Nye sårbarheter funnet i Intel CPUer. Ny androidtrojaner SharkBot brukes til å stjele bank- og kryptovaluta-kontoer

Nye sårbarheter funnet i Intel CPUer

Intel fikser en sårbarhet som uautoriserte personer med fysisk tilgang kan utnytte for å installere skadelig fastvare på brikken. Sårbarheten tillater en angriper å kjøre chipen i utviklermodus, og han kan slik forbigå sikkerhetsmekanismer på chipen, som mekanismer fra Bitlocker og Trusted platform modules (TPM). Angriperen kan hente ut nøkkelen som benyttes til å kryptere data som lagres i TPM. Derfra kan angriperen forbigå kode signering og installere bakdører. Sårbarheten er funnet i Pentium, Celeron, Atom Gemini og Apollo lake plattformene. Sårbarheten har fått CVE-ID CVE-2021-0146.
Referanser
https://arstechnica.com/gadgets/2021/11/intel[...]

Ny androidtrojaner SharkBot brukes til å stjele bank- og kryptovaluta-kontoer

SharkBot er en Android-trojaner som stjeler bankkonto- og kryptovalutakontoinformasjon fra infiserte klienter. Den ble oppdaget sent i oktober i år, og er designet for å utnytte 27 tjenester i programvare fra 22 banker i Italia og Storbritannia og fem amerikanske kryptovalutaapper. Når enheten har blitt infisert har angripere mulighet til å hente ut sensitiv informasjon. Angriperen har også mulighet til å gjennomføre transaksjoner på den infiserte klienten. På lik linje med andre trojanere spør den brukeren om å få høyere privilegier. I motsetning til annen skadevare er den nye teknikken til SharkBot å starte pengeoverføringer via automatiske overføringssystemer, og dermed forbigå totrinnsverifisering.
Referanser
https://thehackernews.com/2021/11/sharkbot-ne[...]

2021.11.16 - Nyhetsbrev

Emotet botnettet er tilbake. Hackergruppen MosesStaff med destruktive angrep mot selskaper i Israel. Ny rowhammer-teknikk omgår tidligere mitigeringer.

Emotet botnettet er tilbake

I januar 2021 ble botnettet Emotet tatt ned etter en større aksjon utført av mynidgheter og politi fra flere land. Siden den gang har det stort sett ikke vært aktivitet, før mandag denne uken. Botnettet er på vei opp igjen ved hjelp av et annet botnett, kalt Trickbot, som har installert Emotet-malware på infiserte maskiner. Kommunikasjon mellom infiserte maskiner og sentrale servere (C&C) foregår nå via krypterte HTTPS-forbindelser, i motsetning til ukryptert HTTP tidligere. Når Emotet er oppe igjen, vil det sannsynligvis brukes til å sende ut større mengder spam-eposter.
Referanser
https://isc.sans.edu/diary/Emotet+Returns/28044 https://therecord.media/emotet-botnet-returns[...]

Hackergruppen MosesStaff retter seg mot selskaper i Israel

MosesStaff utfører målrettede angrep mot israelske selskaper, lekker dataene deres og krypterer nettverkene deres. Det er ingen krav om løsepenger og ingen dekrypteringsalternativ; deres motiver er rent politiske. Innledende tilgang til ofrenes nettverk oppnås antagelig gjennom å utnytte kjente sårbarheter i offentlig infrastruktur som Microsoft Exchange-servere. MosesStaff bruker DiskCryptor til å utføre volumkryptering og låse ofrenes datamaskiner med en bootloader som ikke lar maskinene starte opp uten riktig passord.
Referanser
https://research.checkpoint.com/2021/mosessta[...]

Ny rowhammer-teknikk omgår tidligere mitigeringer

Rowhammer-angrep gjennomføres ved å svært hurtig skifte informasjon i DDR-minne for å fremprovosere en bit-flip i nærliggende minneceller på en minnebrikke. De nye teknikkene benytter flere rader med minne med forskjellige bit-mønstre. Teknikken kan brukes for å oppnå utvidet lokal tilgang til en maskin. Det beste forsvaret mot denne typen angrep er å bruke minne med feilretting, ECC.
Referanser
https://arstechnica.com/gadgets/2021/11/ddr4-[...]

2021.11.15 - Nyhetsbrev

AMD og Intel rapporterer om alvorlige svakheter i deres produkter.

AMD og Intel rapporterer om alvorlige svakheter i deres produkter

AMD rapporterer 50 nye sårbarheter, hvor 23 av dem er klassifisert som alvorlige. Feilene finnes i grafikkdrivere og i tre generasjoner av Epyc-prosessorer. Intel har også rapportert sårbarheter, hele 25 stykk. Disse er fordelt på WiFi-produkter, harddisker og prosessorer. AMD har skrevet en bulletin for svakhetene i grafikkortdrivere for Windows.
Anbefaling
Oppdater firmware.
Referanser
https://www.theregister.com/2021/11/12/amd_an[...] https://www.amd.com/en/corporate/product-secu[...]

2021.11.12 - Nyhetsbrev

Bruken av HTML-smugling for å unngå deteksjon øker. Målrettet kampanje utnyttet nulldagssårbarhet i Apple-produkter.

Bruken av HTML-smugling for å unngå deteksjon øker

HTML-smugling er en teknikk som kan forbigå automatisk deteksjon av skadelig kode ed hjelp av funksjoner i HTML5 og JavaScript. En angriper sender først en epost med en nettside vedlagt, eller en link til en ondsinnet nettside. Når nettsiden åpnes lokalt, lastes javascript-kode automatisk ned og bygges opp til en ondsinnet kjørbar fil på klienten. Microsoft skriver i et blogginnlegg at denne måten for å automatisk laste ned ondsinnet kode er sett mye i målrettede angrep i banksektoren.
Referanser
https://www.microsoft.com/security/blog/2021/[...]

Målrettet kampanje utnyttet nulldagssårbarhet i Apple-produkter

Googles trusselanalysegruppe (TAG) beskriver en kampanje oppdaget i august i år, som rettet seg mot besøkende av flere pro-demokrati nettsider i Hong-Kong. Nettsidene hadde blitt kompromittert og inneholdt to iframes med kode styrt av trusselaktørene; én som rettet seg mot enheter med iOS og én mot MacOS. Dersom angrepskjeden var vellykket, ville enheten til slutt få installert skadevare som kunne overvåke enhetens tastetrykk, ta opp lyd samt laste opp og ned filer til angripernes servere. TAG skriver at det sannsynligvis står en statlig aktør bak kampanjen. Blogginnlegget har også en liste med IOCer. Sårbarhetene som ble utnyttet er patchet av Apple.
Anbefaling
Installer sikkerhetsoppdateringer.
Referanser
https://blog.google/threat-analysis-group/ana[...]

2021.11.11 - Nyhetsbrev

Kritisk sårbarhet i Palo Alto sikkerhets-produkter (PAN-OS v8.1). Kritisk Citrix DDoS-feil slår av nettverket, tilgang til skyapper. Det kan være skjulte bakdører i JavaScript-koden din.

Kritisk sårbarhet i Palo Alto sikkerhets-produkter (PAN-OS v8.1)

Sikkerhetsfirmaet Randori melder om en kritisk svakhet i PAN-OS versjon 8.1 som rammer rundt 10.000 VPN/brannmur-enheter. Svakheten gjør det mulig å ta full kontroll over en sårbar enhet over nettet. Med kontroll over brannmuren blir det også enkelt å flytte seg vider innover i nettet for en potensiell angriper. Randori oppdaget svakheten for ett år siden, utviklet utnyttelseskode og har siden brukt svakheten i sikkerhetstesting mot sine kunder. Vi anbefaler å patche ASAP!
Referanser
https://threatpost.com/massive-zero-day-hole-[...] https://security.paloaltonetworks.com/CVE-202[...] https://www.randori.com/blog/cve-2021-3064/

Kritisk Citrix DDoS-feil slår av nettverket, tilgang til skyapper

En kritisk sikkerhetsfeil i Citrix Application Delivery Controller (ADC) og Citrix Gateway kan tillate nettangripere å krasje hele bedriftsnettverk basert på produktene uten å måtte autentisere. Tjenestene brukes til applikasjonsbevisst trafikkstyring og sikker fjerntilgang. Det ble sendt ut en sikkerhetsoppdatering på tirsdag for sårbarheten, sporet som CVE-2021-22955, som tillater DoS på grunn av ukontrollert ressursbruk. Den andre sikkerhetsoppdateringen fikser en feil som kunne forstyrre administrasjonsgrensesnittet Nitro API sporet som CVE-2021-22956.
Referanser
https://threatpost.com/critical-citrix-bug-et[...]

Det kan være skjulte bakdører i JavaScript-koden din

Tidligere denne måneden avslørte forskere fra University of Cambridge et smart angrep kalt Trojan Source for å injisere sårbarheter i kildekoden, på en måte som gjør at den skadelige koden ikke lett kan oppdages av mennesker som kontrollerer koden. Metoden fungerer med noen av de mest brukte programmeringsspråkene i dag, og motstandere kan bruke den til forsyningskjedeangrep. Denne uken har en forsker avslørt hvordan visse tegn kan injiseres i JavaScript-kode for å introdusere usynlige bakdører og sikkerhetssårbarheter.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.11.10 - Nyhetsbrev

Microsoft patchetirsdag fikser seks kritiske svakheter. To av disse utnyttes allerede aktivt i angrep.

Microsoft patchetirsdag fikser seks kritiske svakheter

Microsoft slipper sikkerhetsoppdateringer for 55 svakheter, hvorav seks er kritiske. To av svakhetene utnyttes allerede i aktive angrep. En av de kritiske oppdateringene som utnyttes aktivt er CVE-2021-42321, som muliggjør fjernkjøring av kode i Microsoft Exchange Server. Den andre svakheten gjør det mulig å omgå sikkerhetsfunksjoner i Excel og har blitt tildelt CVE-2021-42292. Det er også en svakhet i Remote Desktop som gjør at en server kan kompromittere en sårbar klient som kobler seg til serveren (CVE-2021-38666).
Referanser
https://msrc.microsoft.com/update-guide/ https://isc.sans.edu/diary/Microsoft+November[...] https://krebsonsecurity.com/2021/11/microsoft[...]

2021.11.09 - Nyhetsbrev

Flere personer tilknyttet Sodinokibi/REvil arrestert. USA sanksjonerer kryptobørsen Chatex for tilknytning til løsepengevirus.

Flere personer tilknyttet Sodinokibi/REvil arrestert

Rumensk politi har arrestert to personer som er mistenkt å ha vært tilknyttet løsepengevirus-banden Sodinokibi/REvil. De skal ha stått bak over 5000 infiseringer med ransomware og har fått inn minst en halv million Euro i løsepenger. Også fem andre personer tilknyttet Revil og CandCrab er arrestert i løpet av året. Disse personene jobbet som affiliates/partnere til løsepengevirus-gruppene. Det vil si at de tok ansvaret for å bryte seg inn hos ofre og installere malware på ofrenes maskiner.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.justice.gov/opa/pr/ukrainian-arre[...]

USA sanksjonerer kryptobørsen Chatex for tilknytning til løsepengevirus

USA innfører sanksjoner mot Chatex grunnet at de har hjulpet løsepengevirus-grupper med å unngå sanksjoner og med tilrettelegging for løsepengetransaksjoner. Ved å sanksjonerer Chatex, ønsker regjeringen i USA å ta ned en viktig kanal som er brukt av løsepengevirus-grupper til å innhente utbetalinger fra ofre. Dette er andre gangen en kryptobørs blir sanksjonert av USA. Den første var den Russland-tilknyttede børsen Suex i september.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.11.08 - Nyhetsbrev

61 nulldagssårbarheter avdekket i årets Pwn2Own. Ungarske myndigheter innrømmer kjøp og bruk av NSO Group sitt Pegasus spionvareverktøy.

61 nulldagssårbarheter avdekket i årets Pwn2Own

Den årlige hacke-konkurransen som arrangeres av Zero Day Initiative er over. I løpet av fire dager med hacking ble det totalt avdekket 61 nulldagssårbarheter som resulterte i en total premieutbetaling på 1,081,250 amerikanske dollar, som tilsvarer 9,259,500 norske kroner i dagens kurs. Blant enheter som ble hacket var mobiltelefoner, NAS-enheter, printere, routere og smart-høyttalere.
Referanser
http://securityaffairs.co/wordpress/124254/ha[...]

Ungarske myndigheter innrømmer kjøp og bruk av NSO Group sitt Pegasus spionvareverktøy

Lajos Kosa, en offisiell person i det ungarske parlamentets forsvars- og rettshåndhevelseskomité, bekrefter at Ungaren er kunde av det israelske overvåkningsselskapet NSO Group og at de har kjøpt og bruker det omtalte spoionverktøyet Pegasus. I følge Kosa er bruken av spionverktøyet godkjent av en dommer eller Justisministeren. Like etter Kosa kom med denne informasjonen har det ungarske innenriksdepartementet gått ut og sagt at de ikke stiller seg bak denne avsløringen og at de ikke driver med ulovlig overvåking.
Referanser
https://securityaffairs.co/wordpress/124310/i[...]

2021.11.05 - Nyhetsbrev

Ukraina avslører identiteten til medlemmer av grupperingen Gamaredon. USA beordrer sivile etater til å fjerne hundrevis av sårbarheter under angrep. Cisco slipper sikkerhetsoppdateringer for flere produkter.

Cisco slipper sikkerhetsoppdateringer for flere produkter

Flere av oppdateringene har blitt klassifisert som kritiske. En av svakhetene i Cisco Policy Suite gjør det mulig for hvem som helst å logge seg inn på en enhet, grunnet et innebygget statisk passord eller statiske SSH-nøkler.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...] https://www.bleepingcomputer.com/news/securit[...]

Ukraina avslører identiteten til medlemmer av grupperingen Gamaredon

De ukrainske sikkerhetstjenestene (SSU) har avslørt identiteten til fem av medlemmene av cyber-spionasje gruppen Gamaredon. Alle medlemmene har tilknytning til russiske FSB. SSU har også offentliggjort telefonsamtaler mellom medlemmer av gruppen. Gamaredon har vært aktive siden 2013 og skal ha utført mer enn 5000 cyber-angrep mot Ukraina, for det meste statlige mål.
Referanser
https://therecord.media/ukraine-discloses-ide[...]

USA beordrer sivile etater til å fjerne hundrevis av sårbarheter under angrep

Amerikanske Cybersecurity and Infrastructure Security Agency (CISA), som har et ansvar for å gjøre den amerikanske infrastrukturen sikrere og mer motstandsdyktig, kom onsdag med et bindende direktiv som beordrer sivile, føderale etater i USA til å fjerne et stort utvalg av digitale sårbarheter som faktisk blir utnyttet i angrep. Dette må de gjøre innen en viss tidsfrist.
Referanser
https://www.digi.no/artikler/usa-beordrer-siv[...] https://www.cisa.gov/news/2021/11/03/cisa-rel[...]