2021.03.31 - Nyhetsbrev

Data fra hackerangrep mot Østre Toten kan ha blitt lagt ut på det mørke nettet

Data fra hackerangrep mot Østre Toten kan ha blitt lagt ut på det mørke nettet

Kommunen ble rammet av et angrep i Januar hvor hackere krypterte data på kommunens datasystem. Da krevde hackerne løsepenger, men dette ble ikke betalt. Nå har hackerne informert om at data er blitt lagt ut på det mørke nettet. Dette er trolig for å presse kommunen til å betale løsepenger.
Referanser
https://www.nrk.no/innlandet/info-som-hackara[...]

2021.03.30 - Nyhetsbrev

Det er ingen nye saker siden sist.

2021.03.29 - Nyhetsbrev

Bakdør lagt til i PHP-kildekoden etter at git-server ble kompromittert.
Apple fikser aktivt brukt zero-day svakhet.

Bakdør lagt til i PHP-kildekoden etter at git-server ble kompromittert.

I går ble det lagt til ondsinnet kode i kodebanken til PHP. Angrepet ble trolig utført etter at den offisielle gitserveren ble kompromittert, men hendelsen undersøkes fortsatt. Dette har ført til at PHP-utviklerne flytter den offisielle kodebanken fra sine egne servere over til GitHub. Koden som ble lagt til var en bakdør som tillot ekstern kodeeksekvering dersom en nettside kjørte på den nye PHP-koden.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://news-web.php.net/php.internals/113838

Apple fikser aktivt brukt zero-day svakhet.

Apple har sluppet sikkerhetsoppdateringer til iOS etter at Google Threat Analysis Group oppdaget en svakhet i nettlesermotoren Webkit. Svakheten tillot angripere å gjøre "Universal Cross-site Scripting"-angrep etter at de hadde fått en bruker til å besøke en ondsinnet nettside. Svakheten ble kjent som CVE-2021-1879 og påvirker de aller fleste iPhone og iPad enheter. Svakheten ble fikset ved å forbedre styringen av "object lifetimes" i iOS 14.4.2 og 12.5.2.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.03.26 - Nyhetsbrev

Google har tatt ned vestlig anti-terror operasjon. Microsoft publiserer analyse av Exchange-svakhet. Oppdatering tilgjengelig for tjenestenekt-svakhet i OpenSSL.

Google har tatt ned anti-terror operasjon

Google offentliggjort for noen dager siden detaljer rundt en ni måneder lang operasjon som blant annet kompromitterte Android- og iOS-telefoner. Aktøren benyttet seg av 11 0-dags svakheter i løpet av bare ni måneder. Det viser seg nå at operasjonen var en anti-terror aksjon utført av en vestlig stat. Dette fører til diskusjoner rundt hvordan en skal håndtere cyber-operasjoner utført av allierte stater.
Referanser
https://www.technologyreview.com/2021/03/26/1[...]

Microsoft publiserer analyse av Exchange-svakhet

Microsoft 365 Defender Threat Intelligence Team har publisert en artikkel hvor de analyserer Exchange-svakheten som ble offentliggjort tidligere i mars, og enkelte av aktørene som utnyttet den. De oppgir også indicators of compromise (IoCer) som organisasjoner kan benytte for søke etter forsøk på angrep mot sine egne systemer.
Referanser
https://www.microsoft.com/security/blog/2021/[...]

Oppdatering tilgjengelig for tjenestenekt-svakhet i OpenSSL

En kritisk sårbarhet i OpenSSL gjør det mulig for en angriper å ta ned servere ved å sende spesielt utformede pakker. Brukeren må ikke være autentisert for at dette skal fungere. Svakheten har fått tildelt koden CVE-2021-3449. De fikser også en svakhet, CVE-2021-3450 som i enkelte tilfeller medfører at usignerte TLS-sertifikater blir godkjent. Versjon 1.1.1k av OpenSSL forhindrer utnyttelse av begge svakhetene.
Referanser
https://arstechnica.com/gadgets/2021/03/opens[...] https://mta.openssl.org/pipermail/openssl-ann[...]

2021.03.25 - Nyhetsbrev

Facebook tar grep mot hackere i Kina

Facebook tar grep mot hackere i Kina

Facebook har nylig tatt grep mot en gruppe hackere i Kina kjent i sikkerhetsindustrien som Earth Empusa eller Evil Eye - ved å forstyrre deres evne til å bruke infrastrukturen til å misbruke plattformen, distribuere skadelig programvare og hacke personlige kontoer. Trusselaktørens målgruppe er hovedsakelig aktivister, journalister og dissidenter blant Uighurer fra Xinjiang i Kina, med spesielt fokus på de som er bosatt i utlandet. Aktøren bruker ulike cyberspionasjetaktikker for å identifisere målene og infisere enhetene med skadelig programvare som deretter brukes til overvåking. Facebook har blokkert ondsinnede domener fra å bli delt på plattformen, tatt ned gruppens kontoer og varslet personer de tror har vært et mål for denne trusselsaktøren. Til tross for tiltakene er fortsatt trusselaktøren aktiv.
Referanser
https://about.fb.com/news/2021/03/taking-acti[...]

2021.03.24 - Nyhetsbrev

Acer rammet av løspengevirus. Riksrevisjonen kritisk til NVE: Ikke godt nok forberedt på dataangrep.

Acer rammet av løspengevirus

PC-giganten Acer er blitt rammet av løspengevirus. Angrepet har ikke blitt bekreftet av Acer, men de hackerne har publisert bevis fra angrepet i form av interne dokumenter og bilder. Sikkerhetsforskere har bekreftet angrepet. Det skal være fremsatt et løspengekrav på 50 millioner dollar, som tilsvarer rundt 433 millioner norske kroner i dagens kurs. Denne summen er trolig den høyeste summen noen sinne. Høyeste dokumenterte løspengekravet i 2020 lå på 30 millioner dollar.
Referanser
https://www.digi.no/artikler/pc-gigant-angrep[...]

Riksrevisjonen kritisk til NVE: Ikke godt nok forberedt på dataangrep

Riksrevisjonen er kritisk til at Norges vassdrags- og energidirektorat (NVE) ikke følger opp kraftselskapene, slik at de tar grep for å sikre beredskapen. I følge regelverket har kraftselskapene selv ansvaret for datasikkerheten. NVE mener at sikkerhetsnivået er høyt og at bransjen faktisk har tatt grep for å øke beredskapen mot dataangrep.
Referanser
https://e24.no/olje-og-energi/i/BlwGVg/riksre[...]

2021.03.23 - Nyhetsbrev

Android 0-dags sårbarhet utnyttes i målrettede angrep. Kritisk svakhet i Adobe ColdFusion.

Android 0-dags sårbarhet utnyttes i målrettede angrep

Google melder at en svakhet i en Qualcomm-driver, som ble fikset i januar, nå utnyttes i målrettede angrep. Svakheten krever lokal tilgang til enheten for å bli utnyttet, så brukeren må først lures til å installere en ondsinnet app. Svakheten har fått benevnelsen CVE-2020-11261.
Referanser
https://thehackernews.com/2021/03/warning-new[...] https://source.android.com/security/bulletin/[...]

Kritisk svakhet i Adobe ColdFusion

Apple har sluppet oppdateringer for å fikse svakheter i ColdFusion 2016, 2018 og 2021. JDK må opgså oppdateres for å utbedre feilen. Feilen har så langt ikke blitt utnyttet i aktive angrep.
Anbefaling
Installer patch.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.03.19 - Nyhetsbrev

CISA slipper nytt verktøy for å detektere Solarwinds-aktivitet. Angripere prøver å legge inn bakdører på iOS-utvikleres maskiner. Mystisk hackergruppe utnyttet minst 11 0-dagssvakheter. Silverfish bruker kompromitterte nettverk som sandkasseløsning

CISA slipper nytt verktøy for å detektere Solarwinds-aktivitet

CISA har lansert et nytt verktøy som kan brukes til å se etter tegn til kompromittering knyttet til SolarWinds. CHIRP er et verktøy som kan brukes på lokale systemer, i motsetning til CISAs Powershell-script Sparrow, som var en tilsvarende løsning for Microsoft sine skytjenester.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://github.com/cisagov/CHIRP

Angripere prøver å legge inn bakdører på iOS-utvikleres maskiner

Arstechnica skriver om et tilfelle hvor angripere har tatt legitime biblioteker, lagt til deres bakdør-kode, for å så gi dem ut igjen. Når iOS-utviklerene deretter bruker den ondsinnede versjonen av biblioteket i utviklingsprogrammet Xcode, installerer dette en bakdør på maskinen. Bakdøren brukes deretter til å spionerer på brukeren gjennom mikrofonen og kamera, samt opptak av tastetrykk.
Referanser
https://arstechnica.com/gadgets/2021/03/attac[...]

Mystisk hackergruppe utnyttet minst 11 0-dagssvakheter

Google har oppdaget en hackergruppe som har utnyttet minst 11 forskjellige 0-dagssvakheter i deres operasjon som skjedde i 2020. Operasjonen har blitt omtalt tidligere, men Google slipper nå flere detaljer. Ofrene ble lurt inn på spesielt utformede nettsider og både Android, iOS og Windows brukere ble utnyttet. Svakhetene ble utnyttet etter hverandre slik at angriperene til slutt kunne få tilgang til det underliggende operativsystemet, med permanent tilgang til enheten. Det er uklart hvem som står bak operasjonen.
Referanser
https://googleprojectzero.blogspot.com/2021/0[...] https://therecord.media/a-mysterious-hacking-[...]

Silverfish bruker kompromitterte nettverk som sandkasseløsning

I en artikkel fra ZDNet skrives det om Silverfish, som er en av gruppene som har utnyttet situasjonen rundt SolarWinds-innbruddet. De forteller blant annet om hvordan gruppen utnytter nettverk som har blitt kompromittert til å sjekke om deres malware kan bli oppdaget av forskjellige anti-malware løsninger. Dette gjøres ved å kjøre de ondsinnede programmene på servere med forskjellige A-V og EDR- løsninger.
Referanser
https://www.zdnet.com/article/solarwinds-link[...]

2021.03.17 - Nyhetsbrev

Kinesisk aktør bryter seg inn hos Telekom-selskaper. Rapport fra Mimecast bekrefter at Solarwinds-bakdør ble benyttet under angrepet i januar. Google har sluppet PoC-kode for Spectre-exploit.

Kinesisk aktør bryter seg inn hos Telekom-selskaper

McAffee har laget en rapport om APT-aktøren RedDelta/Mustang Panda og hvordan de nå målrettet bryter seg inn hos Telekom-selskaper, etter tidligere å ha hatt Vatikanet som mål. Angrepene retter seg mot ansatte i selskapene og blir utført ved å lure dem inn på en side som ser ut som en portal for å søke jobber. Målet med "Operasjon Diànxùn"skal være å få tak informasjon rundt utrulling av 5G-teknologi. McAffee mener også at noe av bakgrunnen for kampanjen kan være at Kina har blitt bannlyst fra å tilby 5G-teknologi til flere land.
Referanser
https://www.mcafee.com/blogs/other-blogs/mcaf[...] https://therecord.media/chinese-cyberspies-go[...]

Rapport fra Mimecast bekrefter at Solarwinds-bakdør ble benyttet under angrepet i januar

I en ny rapport bekrefter Mimecast at Solarwinds Orion bakdøren ble brukt til å kompromitere deler av deres tjeneste i Januar. Undersøkelser i etterkant har ikke gitt indikasjoner på at aktøren har fått tilgang til kunders epost eller epost-arkiv. Angriperne fikk imidlertid tak i noe av kildekoden til Mimecasts systemer og sertifikater tilhørende kunder.
Referanser
https://www.mimecast.com/incident-report/

Google har sluppet PoC-kode for Spectre-exploit

I håp om å motivere web-utviklere til å sikre sine nettsider har Googlet sluppet såkalt PoC-kode (konsept-kode) som demonstrerer hvordan man kan bruke Spectre exploit for å hente ut data fra nettsider. I eksempelet til Google er det Chrome som blir utnyttet, men de kommenterer at problemet ikke er Chrome-spesifikt.
Anbefaling
Sikre nettsidene mot denne type angrep.
Referanser
https://threatpost.com/google-spectre-poc-exp[...] https://security.googleblog.com/2021/03/a-spe[...]

2021.03.16 - Nyhetsbrev

Microsoft legger ut ett-klikks mitigeringsverktøy for Exchange-sårbarhet.

Microsoft legger ut ett-klikks mitigeringsverktøy for Exchange-sårbarhet

Verktøyet er beregnet for kunder som ikke har egne IT-team og er en midlertidig mitigering. Verktøyet skal lastes ned og kjøres på Exchange-serveren som et første skritt mot å sikre seg mot sårbarheten CVE-2021-26855. Verktøyet vil også scanne serveren med Microsoft Safety Scanner og se etter kjente trusler, inkludert bakdører som typisk blir installert av trusselaktører. Denne midlertidige fiksen vil beskytte en sårbar server mot angrepene som nå pågår. Det er fortsatt viktig å oppgradere og patche serveren så fort som mulig etter at denne mitigeringen er lagt inn.
Referanser
https://msrc-blog.microsoft.com/2021/03/15/on[...] https://www.bleepingcomputer.com/news/microso[...]

2021.03.15 - Nyhetsbrev

Enda en Google Chrome nulldagsfeil funnet.

Enda en Google Chrome nulldagsfeil funnet

Google har addresert nok en nulldags sårbarhet i nettleseren deres. Dette blir den andre nulldags sårbarheten som blir fikset av de denne måneden. I tillegg fikser de fire andre feil i nettlesern.
Referanser
https://thehackernews.com/2021/03/another-goo[...]

2021.03.12 - Nyhetsbrev

E-sjefen mener en statlig aktør står bak angrepet mot Stortinget. DEARCRY utnytter Microsoft Exchange-svakhet. Mer enn 4 500 deltakere på Sikkerhetskonferansen i 2021. Løsepengevirus vil koste Akva Group mellom 40 og 50 millioner kroner. Microsoft fjernet PoC for Exchange-svakhet fra Github.

Microsoft fjernet PoC for Exchange-svakhet fra Github

I Juni 2018 ble det offentliggjort at Microsoft skulle kjøpe opp Github, et av verdens største nettsteder for kode-deling. Nå får de kritikk etter at en Proof of Concept (PoC) som utnyttet CVE-2021-26855 - en alvorlig svakhet i Microsoft Exchange Server, ble fjernet fra nettstedet. Kodesnutten er fremdeles tilgjengelig på konkurrerende tjenester som Gitlab. Microsoft sier til sitt forsvar at svakheten enda er under aktiv utnyttelse, og at bedriftene ikke har fått tilstrekkelig tid til å oppgradere programvaren. De mener derfor det er riktig å fjerne innholdet, og viser til sine retningslinjer som sier at man ikke kan laste opp skadevare eller exploits.
Referanser
https://www.theregister.com/2021/03/12/github[...]

DEARCRY utnytter Microsoft Exchange-svakhet

Aktørene bak ransomwaren DEARCRY utnytter nå ProxyLogon-svakheten i Microsoft Exchange Server for å infisere målene sine. Dette er målrettede angrep som utføres manuelt. Ransomwaren benytter AES-256 + RSA-2048 for å kryptere filene. Navnet kommer av at alle filene også blir overskrevet til å starte med teksten DEARCRY!. I følge Palo Alto Networks er fremdeles 80 000 servere sårbar for svakheten, selv om det har kommet ut sikkerhetsoppdateringer som forhindrer utnyttelse.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

E-sjefen mener en statlig aktør står bak angrepet mot Stortinget

Angrepet mot Stortinget var så sofistikert at det trolig er en statlig aktør som står bak. Etterretningssjefen, Nils Andreas Stensønes, har tidligere brukt Kina og Russland som eksempler på statlige aktører som kan utføre denne typen angrep mot Norge. Han sier likevel at det er for tidlig å peke på en konkret nasjon nå. Det er fremdeles ikke klart hvilke data som er stjålet fra Stortinget, men det kan hende at det er et mer attraktivt mål nå i forbindelse med Stortingsvalget og Sametingsvalget som skal finne sted senere i år.
Referanser
https://www.nrk.no/norge/e-sjefen_-_-trolig-s[...]

Mer enn 4 500 deltakere på Sikkerhetskonferansen i 2021

Alle opptakene fra NSMs Sikkerhetskonferansen 2021 er nå lagt ut på Nasjonal Sikkerhetsmyndighet sine nettsider.
Referanser
https://nsm.no/aktuelt/her-finner-du-opptaken[...] https://nsm.no/kurs-og-konferanser/sikkerhets[...]

Løsepengevirus vil koste Akva Group mellom 40 og 50 millioner kroner

Oppdrettsleverandøren Akva Group ble rammet av et løsepengevirus i januar 2021. Selskapet anslår at de direkte kostnadene som følge av angrepet vil havne et sted mellom 40 og 50 millioner kroner. Da systemene ble rammet ble også alle sikkerhetskopier kryptert. Akva Group har ikke kommet med noen uttalelse om de har betalt løsepenger for å dekryptere filene. De melder at ingen data har gått tapt som en del av angrepet.
Referanser
https://www.dn.no/havbruk/akva-group/hacking/[...]

2021.03.11 - Nyhetsbrev

F5 oppfordrer kunder til å oppdatere kritisk svakhet i BIG-IP. Belgisk politi sier at de dekrypterte en halv milliard Sky-meldinger og arrestert 48 personer. Stortinget utsatt for IT-angrep igjen. Exchange servere under angrep fra minst 10 APT-grupper. NSM har sluppet sin årlige risikorapport for 2021.

F5 oppfordrer kunder til å oppdatere kritisk svakhet i BIG-IP

F5 Networks har kunngjort fire kritiske sårbarheter for ekstern kjøring av kode som påvirker de fleste BIG-IP- og BIG-IQ-versjoner. De fire kritiske sårbarhetene inkluderer bl.a. en sikkerhetssvakhet (CVE-2021-22986) som gjør det mulig for en uautentisert angriper å kjøre vilkårlige kommandoer på kompromitterte BIG-IP-enheter. PoC-kode har allerede blitt gitt ut. Det skal være enkelt å utnytte svakhetene til å ta kontroll over en sårbar server. Patch ASAP!
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Belgisk politi sier at de dekrypterte en halv milliard Sky-meldinger og arrestert 48 personer

Sky ECC er en tilpasset kryptert telefon som er veldig populær blant miljøer som driver med organisert kriminalitet. Nå sier belgisk politi at deres operasjon mot selskapets brukere har et større omfang enn tidligere rapportert og at at myndighetene har dekryptert rundt en halv milliard meldinger sendt av brukere av Sky ECC.
Referanser
https://www.vice.com/en/article/7k9yjx/sky-ec[...]

Stortinget utsatt for IT-angrep

Stortinget er igjen rammet av et IT-angrep. Angrepet er knyttet til sårbarheter hos Microsoft Exchange, som flere virksomheter er rammet av. Stortinget kjenner ennå ikke det fulle omfanget av angrepet. Det er gjennomført en rekke tiltak i Stortingets systemer, og analysearbeidet er pågående. Stortinget har fått bekreftet at data er hentet ut.
Referanser
https://www.stortinget.no/no/Hva-skjer-pa-Sto[...]

Exchange servere under angrep fra minst 10 APT-grupper

ESET Research har funnet at flere APT-grupper bruker de siste Microsoft Exchange-sårbarhetene for å kompromittere epostservere over hele verden. De har oppdaget webshells (bakdører) på mer enn 5000 epostservere.
Referanser
https://www.welivesecurity.com/2021/03/10/exc[...]

NSM har sluppet sin årlige risikorapport for 2021

National Sikkerhetsmyndighet (NSM) har sluppet sin årlige risikorapport for 2021: Helhetlig sikring mot sammensatte trusler. Rapporten tar for seg sårbarheter i virksomheter og på nasjonalt plan, hvordan trusselaktørene kan utnytte dem og hvilken risiko dette medfører.
Referanser
https://nsm.no/aktuelt/risiko-2021-helhetlig-[...]

2021.03.10 - Nyhetsbrev

Telenor lanserer nytt system for å redusere telefonsvindel/spoofing. Sensitive opplysninger lekket i angrep mot Hurtigruten. Microsofts mars-oppdateringer fikser 89 sårbarheter, der fem utnyttes aktivt. Overvåkingsbilder fra mange store firmaer publisert åpent. Ett av OVHs datasentre har brent ned.

Telenor lanserer nytt system for å redusere telefonsvindel/spoofing

Telenor lanserer nytt system for å redusere telefonsvindel. Systemet vil avdekke om mobilen med nummeret det ringes fra, er en mobil som faktisk befinner seg i Norge. Dersom den gjør det, men oppringingen skjer fra utlandet, vil det flagges som svindelsforsøk og vises for mottaker som skjult nummer. Dette vil gjøre det lettere å identifisere svindel for mottakeren og spoofede nummer som benyttes til svindel vil ikke bli utsatt for store mengder anrop.
Referanser
https://www.tek.no/nyheter/nyhet/i/qAmm70/tel[...] https://www.mynewsdesk.com/no/telenor/pressre[...]

Sensitive opplysninger lekket i angrep mot Hurtigruten

I desember ble Hurtigruten utsatt for et datainnbrudd. Det er nå funnet at personlige opplysninger om ansatte er på avveie, blant annet fødselsnumre og sykemeldinger. Ransomware-gjenger slipper gjerne slike opplysninger på det mørke nettet for å tvinge bedrifter til å betale.
Referanser
https://www.nrk.no/trondelag/dataangrep-mot-h[...]

Microsofts mars-oppdateringer fikser 89 sårbarheter, der fem utnyttes aktivt

Microsoft kommer med en rekke fikser, blant annet mot Exchange-sårbarhetene som fikk en fiks sluppet 2. mars. Her er det fire svakheter under aktiv utnyttelse som patches. Den kinesisk-støttede gruppen Hafnium stod bak disse angrepene. Det blir også sluppet en patch for svakheten i Internet Explorer som ble brukt av nord-koreanske hackere til å kompromittere sikkerhetsforskere tidligere i år. Ellers fikses det kritiske sårbarheter i blant annet Azure Sphere, Windows DNS Server, OpenType Font Parsing, HEVC Video Extensions og Git for Visual Studio.
Referanser
https://msrc.microsoft.com/update-guide/en-us https://www.zdnet.com/article/microsoft-march[...] https://www.bleepingcomputer.com/news/microso[...] https://arstechnica.com/gadgets/2021/03/micro[...]

Overvåkingsbilder fra mange store firmaer publisert åpent

Verkada er et startup firma basert i Silicon Valley som leverer sky-baserte sikkerhetskamera. Firmaet ble nylig kompromittert av et internasjonalt hackerkolektiv. Ved å benytte seg av en brukernavn- og passord-kombinasjon som de fant tilgjengelig på Internet, fikk kolektivet super-admin tilgang til alle de 150 000 kameraene. Disse var blant annet plassert ut hos Tesla, Cloudflare, Equinox med fler. Bilder fra flere av firamene har blitt offentliggjort på nettet.
Referanser
https://www.theverge.com/2021/3/9/22322122/ve[...]

Ett av OVHs datasenter har brent ned

OVH er et hosting-selskap som tilbyr kapasitet i datasentre på forskjellige steder. I Strasbourg begynte deres datasenter SBG2 å brenne i natt, og SBG1, 2 3 og 4 ble også stengt ned som følge av brannen. SBG2 skal være helt ødelagt etter brannen og OVH ber kundene om å følge sine kriseplaner. Brannen viser hvor viktig det er å ha kopi av sine data på flere fysiske steder.
Referanser
https://www.bleepingcomputer.com/news/technol[...] https://www.theregister.com/2021/03/10/ovh_st[...]

2021.03.09 - Nyhetsbrev

Brian Krebs publiserer artikel om tidslinjen til pågående Exchange-angrep. SecureWorks knytter Supernova-bakdør til kinesiske Spiral.

Brian Krebs publiserer artikel om tidslinjen til pågående Exchange-angrep

Ifølge Krebs ble sårbarheten rapportert til Microsoft av sikkerhetsfirmaet DEVCORE 5. januar. Kort tid etter begynte andre sikkerhetsfirmaer å rapportere til Microsoft om aktiv utnyttelse av den da ukjente sårbarheten. I slutten av februar begynner massiv skanning og utnyttelse av sårbarheten.
Referanser
https://krebsonsecurity.com/2021/03/a-basic-t[...]

SecureWorks knytter Supernova-bakdør til kinesiske Spiral

Supernova er en bakdør som ble installert på mange sårbare Solarwinds-installasjoner. Denne bakdøren ble ikke installert gjennom forsyningskjede-angrepet (som har blitt attribuert til Russland av amerikanske myndigheter), men til bruk av andre svakheter i Solarwinds Orion-programvaren. Sikkerhetsselskapet Secureworks knytter nå Supernova-bakdøren til den kinesiske grupperingen Spiral gjennom likheter med tidligere operasjoner.
Referanser
https://www.secureworks.com/blog/supernova-we[...] https://arstechnica.com/gadgets/2021/03/chine[...]

Apple patcher kritisk svakhet i WebKit

Apple har sluppet ut sikkerhetsoppdatering for Webkit Utgitt 8. mars 2021. Svakheten har benevnelsen CVE-2021-1844 og finnes i flere Apple-produkter. Apple har derfor sluppet følgende nye versjoner: Safari 14.0.3, macOS Big Sur 11.2.3, watchOS 7.3.2, iOS 14.4.1 og iPadOS 14.4.1. Oppdateringen tetter hull for behandling av ondsinnet webinnhold som kan føre til vilkårlig kjøring av kode.
Referanser
https://support.apple.com/en-us/HT212223 https://support.apple.com/en-us/HT212220 https://support.apple.com/en-us/HT212222 https://support.apple.com/en-us/HT212221

2021.03.08 - Nyhetsbrev

Sikkerhetsblogg: Titusener av amerikanske bedrifter kan være rammet av Microsoft Exchange sårbarhet.

Sikkerhetsblogg: Titusener av amerikanske bedrifter kan være rammet av Microsoft Exchange-sårbarhet

Sikkerhetsbloggen KrebsOnSecurity skriver at i følge flere kilder er minst 30 000 amerikanske organisasjoner rammet av hackerangrep som bruker sårbarheten i Microsoft Exchange. Hackergruppen som står bak er i følge bloggen Kinesiske spioner. Bedrifter med Exchange-servere som er eksponert mot internett bør sjekke systemene sine grundig for bakdører etter patching av denne svakheten.
Referanser
https://krebsonsecurity.com/2021/03/at-least-[...] https://www.wired.com/story/china-microsoft-e[...]

2021.03.05 - Nyhetsbrev

NSM med varsel angående utnyttelse av sårbarheter i Microsoft Exchange. Microsoft Security beskriver tre forskjellige malware brukt i forbindelse med SolarWinds.

NSM med varsel angående utnyttelse av sårbarheter i Microsoft Exchange

NSM har lagt ut et varsel hvor de melder at sårbaretene i Microsoft Exchange utnyttes aktivt av flere trusselaktører. De anbefaler å undersøke etter tegn til kompromittering, og legger ved linker til ressurser som beskriver hvordan man kan undersøke dette.
Referanser
https://nsm.no/fagomrader/digital-sikkerhet/n[...]

Microsoft Security beskriver tre forskjellige malware brukt i forbindelse med SolarWinds

NOBELIUM, som er navnet Microsoft har gitt aktørene bak SolarWinds, har brukt minst tre nye malware-verktøy. Malwarene har fått navnet GoldMax, GoldFinder og Sibot. Aktøren er sofistikert og har blant annet skreddesydd malwaren til kunde-nettverkene som ble kompromitert med den kompromiterte admin brukeren til Solarwinds. Analyse av programvaren er blitt gjort av både FireEye og Microsoft.
Referanser
https://www.microsoft.com/security/blog/2021/[...] https://www.fireeye.com/blog/threat-research/[...]

2021.03.04 - Nyhetsbrev

Google fikser 0-dagssårbarhet i Chrome. Den russisktalende grupperingen RTM benytter nye metoder i pågående kampanje mot transport og finanssektoren. Sikkerhetsfirmaet Qualys angrepet via sårbare Accellion FTA-servere.

Google fikser 0-dagssårbarhet i Chrome

Den 2. mars kom det en ny sikkerhetsoppdatering til Google Chrome (versjonsnummer 89.0.4389.72) som fikser en 0-dagssårbarhet. Google melder at de har sett sårbarheten i aktiv utnyttelse. Dette er andre gang Google patcher en 0-dagssårbarhet under aktiv utnyttelse i år.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Den russisktalende grupperingen RTM benytter nye metoder i pågående kampanje mot transport og finanssektoren

Den russisktalende gruppen RTM videreutvikler sine verktøy. Gruppen som tidligere er kjent for banktrojanere, har nå videreuviklet sine metoder til også å omfatte bruk av Quoter, som er en nylig oppdaget ransomware. Angrepene starter typisk med utsending av epost med skadelig innhold.
Referanser
https://threatpost.com/rtm-banking-trojan-quo[...]

Sikkerhetsfirmaet Qualys angrepet via sårbare Accellion FTA-servere

Qualys har blitt frastjålet data via et velykket angrep mot sine Accellion FTA servere. Det har blitt brukt en 0-dags svakhet i angrepet. Dette var del av en større kampanje som startet i desember 2020. Denne uken slapp Clop ransomware gjengen skjermdumper som viser at de har fått tak i filer som tilhører Qualys. Dette inkluderer bestillinger, fakturaer, skatt- dokumentasjon og rapporter fra skanninger.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.03.03 - Nyhetsbrev

Mengden programvare med aggressiv adware øker på mobile enheter. Hafnium kompromitterer Exchange-servere med nulldags-sårbarheter. Sikkerhetsforsker kunne ta over Microsoft-kontoer.

Mengden programvare med aggressiv adware øker på mobile enheter

Kaspersky har gitt ut sin rapport om malware på mobiltelefoner i 2020. Det er registrert en stor økning i adware på mobiler. Disse programmene har blitt installert på enheter ved at de har blitt pakket inn i legitime programmer. Adware viser store mengder reklame og sporer brukeren. Ofte kan utgivere av programvare tjene gode penger på adware. Når det gjelder andre typer malware, som trojanere, har antallet hendelser gått noe ned ned i 2020.
Referanser
https://threatpost.com/mobile-adware-booms-at[...]

Hafnium kompromitterer Exchange-servere med nulldags-sårbarheter

Microsoft har oppdaget fire nulldags-sårbarheter som har gjort det mulig for angripere til å få tilgang Exchange-servere som er åpne mot Internet. Svakhetene skal være enkle å utnytte med de riktige verktøyene. Angrepsbølgen er utført av den kinesiske APT-gruppen Hafnium og er først og fremst rettet mot mål i USA. Etter å ha fått tilgang til epostene på serveren blir disse eksfiltrert, gjerne via fildelingstjenesten Mega. Angriperne har også installert ytterligere skadevare som gjør det mulig for å få langsiktig tilgang til de påvirkete systemene. Det er anbefalt å oppdatere lokale systemer som tar i bruk Exchange og sjekke for bakdører og ukjente kontoer. Angrepskoden er ikke enda offentlig tilgjengelig.
Referanser
https://www.microsoft.com/security/blog/2021/[...] https://msrc-blog.microsoft.com/2021/03/02/mu[...] https://www.volexity.com/blog/2021/03/02/acti[...]

Sikkerhetsforsker kunne ta over Microsoft-kontoer

En sikkerhetsforsker oppdaget hvordan han kunne ta over enhver Microsoft-konto, selv de som er sikret med 2FA. Dette ble gjort gjennom funksjonen for å resette passord ved å prøve tusenvis av PIN-koder i løpet av svært kort tid. Dette lurte Microsoft sitt system for å begrense antall forsøk på å skrive inn riktig kode. Forskeren fikk USD $50.000 for oppdagelsen og feilen ble fikset i november 2020.
Referanser
https://thezerohack.com/how-i-might-have-hack[...]

2021.03.02 - Nyhetsbrev

Fungerende Windows- og Linux exploits for Spectre-svakheten funnet. Solarwinds gir praktikant skylda for lekkasje av passordet «solarwinds123».

Fungerende Windows- og Linux exploits for Spectre-svakheten funnet

En sikkerhetsforsker har funnet fungerende Spectre-exploits hos tjenesten VirusTotal. Spectre er en tre år gammel svakhet som fikk mye oppmerksomhet da den kom. Svakheten lot en upriviligert prosess lese minne fra systemet eller andre prosesser. Feilen skyldtes svakheter i måten prosessorer prøver å forutsi programflyt på. I løpet av de siste årene har både CPUer og operativsystemer fått patcher i flere omganger for å utbedre problemene. Verktøyene som ble funnet er en del av Canvas-rammeverket som brukes til sikkerhetstesting og ble lastet opp forrige måned.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Solarwinds gir praktikant skylda for lekkasje av passordet «solarwinds123»

I en kongresshøring i USA sist fredag måtte selskapets ledelse svare på kritiske spørsmål om hackerskandalen. Her innrømmet Solarwinds at flere av deres servere har vært beskyttet av en admin-konto med passordet «solarwinds123», ifølge kunngjøring fra høringen og omtale blant annet i CNN. Toppsjefen i Solarwinds, Kevin B. Thompson, legger skylden på en praktikant i firmaet.
Referanser
https://www.digi.no/artikler/solarwinds-gir-p[...]

2021.03.01 - Nyhetsbrev

NSA publiserer en guide for implementering av en Zero Trust sikkerhetsmodell.

NSA publiserer en guide for implementering av en Zero Trust sikkerhetsmodell

NSA publiserer et dokument om hvorfor man burde bruke en Zero Trust model og hvordan man implementerer det.
Referanser
https://media.defense.gov/2021/Feb/25/2002588[...]