2021.06.30 - Nyhetsbrev

Kodeeksempel for utnyttelse av Windows Print Spooler har blitt publisert . REvil ransomware angriper nå også ESXi virtuelle maskiner.

REvil ransomware angriper nå også ESXi virtuelle maskiner

REvil ransomware-operasjonen bruker nå verktøy for Linux for også krypterer Vmware ESXi virtuelle maskiner. Dette er trolig fordi mange firmaer er gått over til å bruke virtuelle maskiner for å lettere ta sikkerhetskopier og bedre ressursstyring. Husk å lagre offline sikkerhetskopier!
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Kodeeksempel for utnyttelse av Windows Print Spooler har blitt publisert

Det er blitt publisert et kodeeksempel som viser hvordan man utnytter Windows PrintNightmare for å ta over et Windows system via nettverket. Sårbarheten, CVE-2021-1675, ble patchet i Juni av Microsoft, da som en svakhet som tillot lokal utvidelse av rettigheter på systemet. Svakheten ble sist uke oppdatert av Microsoft til også å gjelde kjøring av kode på et sårbart system via nettverket. Det ryktes at selv fullt patchede systemer (med juni-patchene installert) fortsatt er sårbare for denne svakheten. Mange anbefaler å slå av Print Spooler Service inntil ny patch foreligger fra Microsoft.
Anbefaling
Oppdater maskinen til nyeste sikkerhetspatch
Referanser
https://therecord.media/poc-released-for-dang[...] https://msrc.microsoft.com/update-guide/vulne[...]

2021.06.29 - Nyhetsbrev

MITRE D3FEND gitt ut for å komplementere ATT&CK. Hackere har hatt tilgang til Nationalbanken i Danmark.

MITRE D3FEND gitt ut for å komplementere ATT&CK

MITRE Corporation, en av de mest respekterte organisasjonene innen cybersikkerhetsfeltet, har nettopp gitt ut D3FEND, et utfyllende rammeverk til sin bransjeanerkjente ATT&CK-matrise. Den ideelle organisasjonen, som også driver CVE-databasen over kjente sårbarheter, mottok finansiering for å lage D3FEND-rammeverket fra US National Security Agency (NSA). Den grunnleggende ideen bak D3FEND er at rammeverket vil gi defensive teknikker som systemadministratorer kan bruke for å motvirke metodene beskrevet i ATT&CK-matrisen, et prosjekt som ble satt opp i 2015 for å katalogisere og indeksere de vanligste offensive teknikkene brukt av trusselaktører.
Referanser
https://therecord.media/mitre-releases-d3fend[...]

Hackere har hatt tilgang til Nationalbanken i Danmark

Som en del av det kjente SolarWinds-angrepet, som ble oppdaget i desember 2020, har it-kriminelle hatt en bakdør til Nationalbanken i Danmark i syv måneder. Via en kodesnutt ble angriperne informert om en bakdør som de kunne bruke. Systemene til Nationalbanken er blitt analysert, og det er ingen tegn til at angrepet har hatt reelle konsekvenser, siden bakdøren ikke ser ut til å ha blitt benyttet.
Referanser
https://nyheder.tv2.dk/samfund/2021-06-29-hac[...]

2021.06.28 - Nyhetsbrev

Microsoft oppdager databrudd utført av mistenkte SolarWinds-hackere. Cisco ASA sårbarhet aktivt utnyttet etter PoC-publisering.

Microsoft oppdager databrudd utført av mistenkte SolarWinds-hackere

Microsoft meldte på fredag at en av deres kundeserviceagenter hadde blitt kompromittert. Angriperne brukte deretter informasjonen til å starte angrepsforsøk mot kunder. Den kompromitterte informasjonen skal ha vært begrenset til kontaktinformasjon om fakturering og hvilke tjenester kundene betaler for. De mistenkte er samme aktør som stod bak SolarWinds-angrepene, nemlig russiske Nobelium/APT29. Berørte kunder er varslet.
Referanser
https://www.reuters.com/technology/microsoft-[...] https://thehackernews.com/2021/06/solarwinds-[...]

Cisco ASA sårbarhet aktivt utnyttet etter PoC-publisering

Hackere skanner etter og utnytter aktivt et sikkerhetsproblem i Cisco ASA-enheter etter at en Proof of Concept (PoC) av svakheten ble publisert på Twitter. Svakheten er av type cross-site scripting (XSS) og spores som CVE-2020-3580. Dette sikkerhetsproblemet kan tillate at en trusselaktør sender målrettede phishing-eposter eller ondsinnede lenker til en bruker av en Cisco ASA-enhet for å utføre JavaScript-kommandoer i brukerens nettleser. En vellykket utnyttelse kan tillate angriperen å eksekvere vilkårlig kode i webgrensesnittet, eller la angriperen få tilgang til sensitiv, nettleserbasert informasjon. Cisco avslørte først sikkerhetsproblemet i oktober 2020 og utstedte da en patch. Den første patchen for CVE-2020-3580 var imidlertid ufullstendig, og en ny løsning ble utgitt i april 2021.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.06.25 - Nyhetsbrev

Brannmur og VPN-enheter fra Zyxel er utsatt for angrep. Nye sårbarheter i Dell SupportAssist som påvirker 30 millioner maskiner. Sårbarheter funnet i Atlassian produkter.

Brannmur og VPN-enheter fra Zyxel er utsatt for angrep

Tidligere denne uken meldte Zyxel om flere angrep mot deres bedriftsrettede brannmurer og VPN produkter.For øyeblikket er det ikke kjent om dette er en gammel sårbarhet som det scannes mot, eller om det er en ny nulldagssårbarhet. Fremgangsmetoden til aktørene er å kontakte en enhet gjenom WAN. Deretter forbigå autentisering og opprette en SSL VPN tunnel. Produktene som har blitt utsatt for angrep er USG, USG FLEX, ATP, VPN og ZyWALL som har kjørt med ZLD fastvaren.
Anbefaling
Skru av, eller begrens, HTTP og HTTPS tjenester fra WAN
Referanser
https://therecord.media/zyxel-says-a-threat-a[...]

Nye sårbarheter i Dell SupportAssist som påvirker 30 millioner maskiner.

De fire sårbarhetene har fått en CVE sårbarhetsvurdering på 8,3 av 10. CVE-2021-21571 omhandler en usikker TLS kobling mellom BIOS og Dell. De tre andre er overflow-sårbarheter (CVE-2021-21572, CVE-2021-21573 og CVE-2021-21574). For å utnytte sårbarhetene må en angriper utgi seg for å være Dell og deretter ta kontroll over enheten sin oppstartsprosess for å unngå operativsystemets sikkerhetskontroller.
Anbefaling
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Sårbarheter funnet i Atlassian produkter.

Check Point Research (CPR) har oppdaget sårbarheter i flere atlassian.com-subdomener. Sårbarhetene tillot en angriper å hente ut sensitiv informasjon fra Jira og Confluence. Det var også mulig å ta over brukere og styre Atlassians applikasjoner. Mengden kontroll en angriper kunne få kan sammenlignes med supply chain angrepet på SolarWinds. CPR meddelte at det var flere subdomener under atlassian.com som var sårbare. Disse feilene ga en angriper mulighet til å gjennomføre cross-site scripting, forfalske cross-site request og session fixation angrep.
Anbefaling
Referanser
https://threatpost.com/atlassian-bugs-could-h[...]

2021.06.24 - Nyhetsbrev

VMware har gitt utoppdateringer. Bibliotek over hele landet er utsatt for dataangrep. Mangel på oppdatering av tredjeparts-biblioteker har blitt et stort sikkerhetsproblem. Sårbarhet i Palo Alto Networks Cortex XSOAR.

VMware har gitt utoppdateringer

VMware har fikset sikkerhetssvakheter i WMware Carbon Black App Control management server, VMware Tools for Windows, VMware Remote Console for Windows og VMware App Volumes. Førstnevnte svakhet har blitt kategorisert som "kritisk".
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

Bibliotek over hele landet er utsatt for dataangrep

Datasystemet til halvparten av bibliotekene over hele landet har vært nede siden tirsdag kveld etter et dataangrep. Angriperne krever løsepenger. Det er Axiell Norge AS som levere datatjenestene og de kommer ikke til å etterkomme kravet om å betale løsepenger. Ingen persondata skal være på avveie, og selskapet har sikkerhetskopier av all data angriperne har kryptert. Angrepet er meldt til politiet i Norge, Sverige og Finland.
Referanser
https://www.firdaposten.no/bibliotek-over-hei[...]

Mangel på oppdatering av tredjeparts-biblioteker har blitt et stort sikkerhetsproblem

Veracode har sin siste rapport funnet ut at utviklere som bruker tredjeparts-bibliotek som er åpen kildekode, sjeldent oppdatere dem. I den siste rapporten til Veracode, "State of Software Security v11: Open Source Edition", står det at 80 prosent av tredjeparts-biblioteker aldri blir oppdatert, og nesten alle kodebankene som er analysert har minst én sårbarhet. Mange av sårbarhetene kan løses med å oppdatere tredjeparts-bibliotekene til siste versjon.
Anbefaling
Referanser
https://www.theregister.com/2021/06/22/third_[...]

Sårbarhet i Palo Alto Networks Cortex XSOAR

En sårbarhet i Palo Alto Network Cortex XSOAR muliggjør en uautorisert angriper med nettverkstilgang til Cortex XSOAR server til å utføre handlinger gjennom REST API. Utgavene det gjelder er: Cortex XSOAR 6.1.0 mellom 1016923 og 1271064. Cortex XSOAR 6.2.0 tidligere 1271065. Alle Cortex XSOAR fra Palo Alto Networks er oppdatert for å løse sårbarheten.
Anbefaling
Referanser
https://security.paloaltonetworks.com/CVE-202[...]

2021.06.23 - Nyhetsbrev

Dovecot patcher sårbarhet i implementering av START-TLS som påvirker sikkerheten i mange epost-tjenere. Sørkoreansk atomforskningsinstitutt hacket via svakhet i VPN

Dovecot patcher sårbarhet i implementering av START-TLS

I august 2020 ble det funnet en feil i måten Dovecot implementerte START-TLS. Dovecot brukes av mange epost-servere som tilbyr IMAP. START-TLS er en protokollkommando som en mailklient bruker for å fortelle mailserveren at tilkoblingen skal oppgraderes til TLS eller SSL. Feilen gjør det mulig å forbigå sikkerhetsmekanismene, og i verste fall "ta over" en annen bruker sin klient-server tilkobling. Angrepet krever tilgang til nettverkstrafikken mellom klient og server for å kunne utføres. Dovecot har gitt ut oppdateringer som fikser feilen tidligere denne uka.
Referanser
https://threatpost.com/email-bug-message-snoo[...]

Sørkoreansk atomforskningsinstitutt hacket via svakhet i VPN

Nordkoreanske hackere fikk tilgang til nettverket til det sørkoreanske atomforskningsinstituttet KAERI. Inngangsvektoren var en enhet som leverte VPN-tilgang til instituttets nettverk. Tilgangslogger viste at 13 uautoriserte, eksterne IPer hadde besøkt nettverket gjennom VPNet. Blant dem var en IP knyttet til gruppa Kimsuky, som trolig jobber for nordkoreansk etterretning.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.06.21 - Nyhetsbrev

Cisco slipper sikkerhetsoppdateringer. Hackergruppe trojaniserer legitim installasjonsprogramvare. Sikkerhetsfirma eksponerte store mengder data fra tidligere datainnbrudd.

Cisco slipper sikkerhetsoppdateringer

Cisco har gitt ut sikkerhetsoppdateringer for å løse sårbarheter i flere Cisco-produkter. En angriper kan utnytte noen av disse sårbarhetene for å ta kontroll over et berørt system. Produkter som er påvirket inkluderer AnyConnect, Webex og Jabber.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...] https://tools.cisco.com/security/center/publi[...]

Hackergruppe trojaniserer legitim installasjonsprogramvare

Cybersikkerhetsfirmaet Mandiant har observert at den DARKSIDE-tilknyttede hackergruppen UNC2465 aksessere minst ett offer gjennom et ondsinnet programvareinstallasjonsprogram lastet ned fra et legitimt nettsted. Selv om offerorgaisasjonen oppdaget og håndterte hendelsen, kan andre organisasjoner også være i fare. Mandiant mener hackergruppen har vært aktiv siden minst mars 2020, og at de utnyttet en svakhet på en CCTV-leverandørs nettsted for å trojanisere to legitime programvareinstallasjonspakker. Mens Mandiant ikke mistenker at mange ofre ble kompromittert, rapporterer de om saken for å skape større bevisthet. Angrep på programvareforsyningskjeden kan variere sterkt i sofistikasjon, fra de nylig oppdagede SolarWinds-angrepene til angrep som dette, rettet mot mindre leverandører.
Referanser
https://www.fireeye.com/blog/threat-research/[...]

Sikkerhetsfirma eksponerte store mengder data fra tidligere datainnbrudd

Sikkerhetsfirmaet Cognyte klarte ikke å sikre databasen sin og eksponerte store mengder med data fra innbrudd. Databasen var laget for å sjekke kunders data opp mot tidligere datalekkasjer, men var ikke sikret mot offentlig tilgang. Databasen inneholdt 5 085 132 102 innslag.
Referanser
https://www.hackread.com/cybersecurity-firm-e[...]

2021.06.18 - Nyhetsbrev

Voksende marked for salg av tilgang til bedrifter via trojanere. Chrome-oppdatering fikser syvende zero-day sårbarhet i år. Google offentligjører ende-til-ende rammeverk for integritet i forsyningskjeder. Hackere selger stjålne kunde-data fra Audi og Volkswagen.

Voksende marked for salg av tilgang til bedrifter via trojanere

Ransomware-bander benytter seg stadig oftere av tilganger som blir solgt av spesialiserte "tilgangs-tilbydere" på undergrunnsforum. Trojanere som TrickBot, BazaLoader og IceID ble tidligere brukt til finansiell svindel ved å stjele passord fra PCen og manipulere nettbank-sesjoner. Nå blir stadig oftere trojaner-infiserte PCer i bedrifter i stedet videresolgt til ransomware-operatører. Trojanerne blir som oftest installert ved hjelp av eposter med linker og dokumenter med makroer.
Referanser
https://threatpost.com/booming-cyber-undergro[...]

Chrome-oppdatering fikser syvende zero-day sårbarhet i år.

Oppdateringen for Chrome Desktop inneholder fire sikkerhetsfikser, der én en dem er under aktiv brukt i angrep. Sårbarheten kan utnyttes gjennom WebGL sammen med JavaScript API. Google har ikke sluppet noen videre detaljer om hvor mange som er rammet av angrepene som benytter seg av svakheten.
Referanser
https://chromereleases.googleblog.com/2021/06[...] https://www.bleepingcomputer.com/news/securit[...]

Google offentligjører ende-til-ende rammeverk for integritet i forsyningskjeder

Rammeverket de har kalt SLSA (Supply chain Levels for Software Artifacts) har som mål å forbedre sikkerheten til IT-systemer ved å forhindre at de blir angrepet av kompromitterte forsyningskjeder. SLSA har fire forskjellige nivåer der hvert nivå oppover inneholder flere prosedyrer og sjekker for økt sikkerhet.
Referanser
https://security.googleblog.com/2021/06/intro[...]

Hackere selger stjålne kunde-data fra Audi og Volkswagen

Hackere har stjålet data fra Audi og Volkswagen. Volkswagen sier det berører 3.3 millioner kunder og interesserte bilkjøpere. Disse dataene ble postet for salg på et kjent hacker-forum. Dataene inkluderer for- og etternavn, e-post adresse, telefonnummer og mer. Dataene ble stjålet fra en feilkonfigurert server.
Referanser
https://www.vice.com/en/article/xgxaq4/hacker[...]

2021.06.17 - Nyhetsbrev

For første gang sier PST at Kina står bak et dataangrep. Google slår på ende-til-ende-kryptering for Androids standard meldings-app. Ukrainsk politi har raidet ransomware-aktøren Clop. Electronic Arts ble angrepet via informasjonskapsel kjøpt fra Genesis Market. Tromsø kommune utsatt for cyberangrep.

For første gang sier PST at Kina står bak et dataangrep

Statsforvalteren i Oslo og Viken var ett av statsforvalterembetene som ble direkte rammet av dataangrepet i 2018. PSTs Hanne Blomberg forteller at de nå har etterretning som peker mot Kina. "Vi har i denne konkrete saken etterretningsinformasjon som peker i en tydelig retning mot at det er aktøren APT31 som står bak operasjonen mot statsforvaltningsembetene", sier sjef for kontraetterretning Hanne Blomberg i PST til NRK.
Referanser
https://www.nrk.no/norge/pst_-har-etterretnin[...]

Google slår på ende-til-ende-kryptering for Androids standard meldings-app

Google har kunngjort at ende-til-ende-kryptering blir rullet ut til brukere av Google Messages, Androids standard SMS og RCS-app. Kryptering i Google Meldinger fungerer bare hvis begge brukerne er på tjenesten. Begge brukerne må også være i en 1:1-chat (ingen gruppechatter tillatt), og begge må ha RCS slått på.
Referanser
https://arstechnica.com/gadgets/2021/06/googl[...]

Ukrainsk politi har raidet ransomware-aktøren Clop

Ukrainsk politi arresterer kriminelle assosiert med ransomware-gjengen Clop. De stenger også ned infrastrukturen til grupperingen, som har vært aktive siden 2019. De arresterte skal først og fremst ha drevet med hvitvasking av penger, mens bakmennene i banden fortsatt er på frifot i Russland.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Electronic Arts ble angrepet via informasjonskapsel kjøpt fra Genesis Market

En representant for hackerne som stod bak angrepet mot Electronic Arts, avslører at dette ble utført ved hjelp av en informasjonskapsel kjøpt for $10. Netkapselen ble kjøpt fra Genesis Market og gav hackerne tilgang til EA sin slack konto. Dette gjøres ved at alle informasjonskapsler stjeles fra store mengder hackede PCer og legges ut for salg. Deretter klarte angriperne å lure EA sin IT-support til å gi dem tilgang til resten av nettverket.
Referanser
https://www.vice.com/en/article/n7b3jm/genesi[...]

Tromsø kommune utsatt for cyberangrep

Etter at 15000 eposter ble sendt ut fra en konto til en ansatt i Tromsø kommune, har kommunen satt i gang undersøkelser om sensitive data kan være på avveie. Så langt har det ikke blitt avdekket tap av sensitive data, men det kan heller ikke på nåværende tidspunkt utelukkes.
Referanser
https://www.nrk.no/tromsogfinnmark/tromso-kom[...]

2021.06.16 - Nyhetsbrev

Apple patcher Safari-feil i gammel hardware under aktivt angrep .

Apple patcher Safari-feil i gammel hardware under aktivt angrep

Apple fikser to feil som påvirker Safaris nettlesermotor, WebKit, som aktivt blir utnyttet. Feilen påvirker 6. generasjs iPhone, iPad og iPod touch modell utgitt mellom 2013 og 2018. Den ene feilen påvirker blant annet minnehåndteringen i forbindelse med tilstanden til tekstfelt, OK knapper og radio-knapper. Den andre gir en angriper lov til å kjøre kode på enheter gjennom en "use-after-free"-svakhet.
Anbefaling
Anbefaler å oppdatere til iOS 12.5.4.
Referanser
https://threatpost.com/apple-patch-safari-act[...]

2021.06.15 - Nyhetsbrev

G7 ledere spør Russland om å slå ned på løsepengevirus-gjenger.

G7 ledere spør Russland om å slå ned på løsepengevirus-gjenger

G7 ledere spør Russland om å slå ned på løsepengevirus-gjenger innenfor sine egne grenser. De uttrykker også et ønske om å samarbeide med Russland for å slå ned den eskalerende trenden med flere løsepengevirus-tilfeller.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.06.14 - Nyhetsbrev

Fancy Lazarus driver utpressingskampanje mot bedrifter. Hackergruppe brukte Slack til å stjele data fra Electronic Arts. Sårbarheter i Akkadian Provisioning Manager kan føre til ekstern kodeeksekvering.

Fancy Lazarus driver utpressingskampanje mot bedrifter

En gruppe som kaller seg Fancy Lazarus driver nå en målrettet kampanje mot bedrifter i USA og andre deler av verden. Navnet kommer av at gruppen utgir seg for å være kjente trusselaktører som Fancy Bear og Lazarus Group. Sikkerhetsselskapet Proofpoint skriver at bedrifter i mange ulike sektorer har blitt kontaktet av gruppen. Kontakten skjer per e-post, hvor gruppen forlanger en utbetaling på 2 Bitcoin (Ca 600 000 NOK) for at bedriften ikke skal bli utsatt for et DDoS-angrep. Om bedriften ikke betaler innen en gitt tidsfrist dobles summen, og deretter øker den med én Bitcoin hver dag. Det er ikke alltid at gruppen gjennomfører truslene, men flere bedrifter har blitt utsatt for DDoS-angrep (demo-angrep) etter at de har blitt kontaktet. I løpet av de siste ukene har også noen norske bedrifter mottatt trusler fra denne grupperingen.
Referanser
https://threatpost.com/fancy-lazarus-cyberatt[...]

Hackergruppe brukte Slack til å stjele data fra Electronic Arts

I fredagens nyhetsbrev skrev vi at Electronic Arts hadde blitt frastjålet kildekode fra spill og utviklingsverktøy. I en artikkel skrevet av Vice på lørdag, kommer det frem at hackerne brukte Slack til å få tilgang på dataene. Ved å bruke innloggingsinformasjon lagret i en cookie kjøpt på nettet for 10 dollar, fikk hackerne tilgang til en Slack-kanal brukt av EA. Deretter tok de kontakt med IT-support, forklarte at de hadde mistet telefonen sin på en fest, og spurte etter en multifaktorkode de kunne bruke for å nå det interne bedriftsnettet til EA. Det fikk de, og etter å ha fått tilgang til nettverket, ble interne verktøy brukt for å hente ut data.
Referanser
https://www.vice.com/en/article/7kvkqb/how-ea[...]

Sårbarheter i Akkadian Provisioning Manager kan føre til ekstern kodeeksekvering

Tre sårbarheter i Akkadian Provisioning Manager kan misbrukes for å kunne gjøre ekstern kodeeksekvering. Programmet brukes som regel for å hjelpe til med å håndtere enheter i Cisco Unified Communcations-løsningen. Sikkerhetsselskapet Rapid7 fikk under en penetrasjonstest tilgang til hardkodede brukernavn og passord (registrert som CVE-2021-31579) ved å manipulere oppstartsprosessen til programmet. Ved å logge inn som denne brukeren i konsollbrukergrensesnittet til programmet, fant de at brukeren hadde sudo-rettigheter. Deretter fant de to måter å gå ut av det begrensede miljøet grensesnittet kjørte i (CVE-2021-31580/81), og kunne kjøre vilkårlig kode i miljøet. De fant til slutt filer med innloggingsinformasjon i klartekst til en lokal MariaDB.
Anbefaling
Ikke eksponer port 22 mot Internett, og begrens brukertilgangen.
Referanser
https://threatpost.com/unpatched-bugs-provisi[...] https://www.rapid7.com/blog/post/2021/06/08/a[...]

2021.06.11 - Nyhetsbrev

TLS-svakhet kan tillate kryss-protokollangrep. Oppdatering for Google Chrome fikser 14 sårbarheter. Hackere har stjålet spillkildekode fra Electronic Arts. Datainnbrudd hos tjenesteleverandør for flyselskap førte til forsyningskjedeangrep.

TLS-svakhet kan tillate kryss-protokollangrep

Sikkerhetsforskere har funnet en feil i TLS som kan føre til at sikkerheten i TLS-autentisering svekkes. Dersom en angriper har tilgang til TCP/IP-laget til trafikken fra et offer, kan forespørsler sendt med HTTPS videresendes til et subdomene med en annen IP-adressen som kjører en annen protokoll. En angriper kan utføre et man-in-the-middle-angrep der offeret aksesserer en ondsinnet nettside over HTTPS. Angriperen kan videresende forespørselen til en FTP-server, og så kan enten angriperen hente ut sensitive data og laste de opp til FTP-serveren, sende en ondartet javascriptfil til offeret eller utføre et reflektert cross-site-scripting angrep.
Referanser
https://thehackernews.com/2021/06/new-tls-att[...]

Oppdatering for Google Chrome fikser 14 sårbarheter

Google har lansert ny oppdatering for Chrome. Oppdateringa inneholder 14 sikkerhetsfikser. En av sårbarhetene som fikses, CVE-2021-30544, har fått kritisk klassifisering. En av svakhetene benyttes også allerede i aktive angrep. Oppdateringen rulles ut i løpet av de neste dagene.
Referanser
https://chromereleases.googleblog.com/2021/06[...] https://threatpost.com/chrome-browser-bug-und[...]

Hackere har stjålet spillkildekode fra Electronic Arts

Hackere har stjålet kildekoden til flere spill fra Electronic Arts. I et forum skriver hackerne at de har tatt kildekoden til FIFA 21 og til spillmotoren Frostbite, i tillegg til utviklingsprogramvare. EA bekrefter innbruddet, men skriver at ingen brukerdata skal ha blitt stjålet.
Referanser
https://www.vice.com/en/article/wx5xpx/hacker[...]

Datainnbrudd hos tjenesteleverandør for flyselskap førte til forsyningskjedeangrep

SITA, en internasjonal leverandør av IT-tjenester til flybransjen, ble i mars utsatt for et datainnbrudd. Sikkerhetsselskapet Group-IB skriver at dette førte til et forsyningskjedeangrep som rammet flere store flyselskap. Sikkerhetsselskapet mistenker at den kinesiske aktøren APT41 står bak. Artikkelen inneholder angrepstaktikker og -metoder og IOCer knyttet til angrepet.
Referanser
https://blog.group-ib.com/colunmtk_apt41

2021.06.10 - Nyhetsbrev

Mystisk skjult skadevare har stjålet 1.2TB med data. Google patcher kritisk Android RCE-svakhet. Kjøttleverandøren JBS betalte 11 millioner USD i løsepenger. Intel har sluppet sikkerhetsoppdatering som fikser 73 sårbarheter.

Mystisk skjult skadevare har stjålet 1.2TB med data

Sikkerhetsforskere har funnet en database bestående av 1.2 terabyte med stjålne data som stammer fra Windows-maskiner. Dataene skal ha blitt stjålet over en tidsperiode på to år og inneholder over 6 millioner filer, 26 millioner punkter med innloggingsdata og 2 milliarder informasjonskapsler (cookies) for innlogging på forskjellige nettjenester - hvor 400 millioner av disse fortsatt var gyldige. Forskere hos Nordlocker forteller at malwaren har blitt spredd via trojaniserte utgaver av Adobe Photoshop og annen type piratkopierte media fra 2018 til 2020. Databasen har i ettertid blitt tatt ned. Kompromitterte passord har blitt lagt til i tjenesten HaveIBeenPwned.
Referanser
https://threatpost.com/custom-malware-stolen-[...]

Google patcher kritisk Android RCE-svakhet

Google har patchet mer enn 90 sikkerhetssvakheter i Android operativsystemet i juni-oppdateringen. Én av svakhetene (CVE-2021-0507) i system-komponenten av Android OS, tillater en angriper å eksekvere vilkårlig kode gjennom en privilegert prosess, ved å sende spesielle data til enheten.
Referanser
https://threatpost.com/android-critical-rce-b[...] https://source.android.com/security/bulletin/[...]

Kjøttleverandøren JBS betalte 11 millioner USD i løsepenger

JBS USA Holdings betalte 11 millioner dollar i løsepenger etter at de ble rammet av løsepengervirus forrige uke, som rammet flere av fabrikkene deres. Angrepet førte til stopp i kjøttproduksjonen. Selskapet prosesserer en femtedel av hele USAs kjøttforbruk. Betalingen skjedde via Bitcoin og ble gjort for å motvirke problemene en langvarig stans kunne ført til for matbutikker og restauranter i landet.
Referanser
https://www.wsj.com/articles/jbs-paid-11-mill[...]

Intel har sluppet sikkerhetsoppdatering som fikser 73 sårbarheter

Intel har sluppet 29 sikkerhets bulletins som dekker 73 svakheter. De fleste sårbarhetene ble funnet internt, men en del ble også meldt inn gjennom deres "bug bounty"-program. Blant sårbarhetene som ble fikset har flere blitt kategorisert med høy kritikalitet. Her kunne angripere eskalere rettighetene sine. Det ble også sluppet en oppdatering til BlueZ som hadde middels kritikalitet. BluZ er en Bluetooth-stack for Liux og var sårbar for "Man in the Middle"-angrep.
Referanser
https://www.theregister.com/2021/06/09/intels[...] https://www.intel.com/content/www/us/en/secur[...]

2021.06.09 - Nyhetsbrev

Kaspersky oppdaget Chrome zero-day exploit-kjede.Første kjente skadevare rettet mot Windows-containere for å kompromittere sky-miljøer. Microsoft har patchet seks null-dags sikkerhetshull i mai-oppdateringen.Angripere skanner etter sårbare VMware-servere.

Microsoft har patchet seks null-dags sikkerhetshull i mai-oppdateringen

Microsoft har nå sluppet sin månedlige oppdatering for mai. Totalt fikser de 51 svakheter og 5 av disse er regnet som kritiske. Seks av svakhetene har allerede blitt brukt av angripere i forskjellige målrettede angrep. Dette gjelder sårbarheter i Windows HTML-komponenten, Windows-kjernen, Windows NTFS, Desktop window manager, samt Windows sitt krypterings-system (enhanced cryptographic provider).
Referanser
https://msrc.microsoft.com/update-guide/ https://krebsonsecurity.com/2021/06/microsoft[...]

Angripere skanner etter sårbare VMware-servere

Trusselaktører skanner aktivt etter Internett-eksponerte VMware vCenter-servere som ikke er patchet mot en kritisk sårbarhet for ekstern kjøring av kode (RCE) som påvirker alle vCenter-distribusjoner. Den pågående skanneaktiviteten ble oppdaget av trusseletterretningsselskapet Bad Packets i går og ble bekreftet tidligere i dag av cybersikkerhetsekspert Kevin Beaumont. Sikkerhetsforskere har også utviklet og publisert en proof-of-concept (PoC) RCE-utnyttelseskode rettet mot denne kritiske VMware vCenter-bug sporet som CVE-2021-21985. Vi anbefaler patching ASAP!
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Første kjente skadevare rettet mot Windows-containere for å kompromittere sky-miljøer

Palo Alto Networks har oppdaget en ny malware som angriper Windows-containere i Kubernetes kalt Siloscape. Hovedoppgaven til malwaren er å bryte seg ut fra containeren til det underliggende operativsystemet. Siloscape er en godt gjemt malware som lager en bakdør inn i dårlig konfigurerte Kubernetes-clustere for å kjøre en ondsinnede container. I tillegg bruker Siloscape Tor proxy for å kommunisere med C2-serveren sin. Palo Alto fant 23 ofre som var infisert av Siloscape og oppdaget at malwaren er en del av en kampanje som har holdt på i over ett år.
Referanser
https://unit42.paloaltonetworks.com/siloscape/

Kaspersky oppdaget Chrome zero-day exploit-kjede

I april 2021 oppdaget Kaspersky en mengde målrettete anrep mot flere selskaper hvor nærmere analyse viste at angrepene bestod av en kjede Chrome og Windows zero-day svakheter. Svakhetene ble brukt til å få system-privilegier i systemene. Svakhetene i Windows-kjernen har blitt patchet i dag gjennom CVE-2021-31956. Svakhetene i Chrome har også blitt patchet etter avsløringen.
Referanser
https://securelist.com/puzzlemaker-chrome-zer[...]

2021.06.08 - Nyhetsbrev

USA angrep hackergruppen Darkside. Den krypterte kommunikasjonsplatformen ANoM har ført til flere pågripelser av kriminelle.

USA angrep hackergruppen Darkside

Hackergruppen Darkside, som tok ansvar for løsepengevirus-angrepet mot Colonial Pipeline, har nå blitt hacket av U.S Department of Justice. Darkside fikk utbetalt totalt 75 Bitcoin etter angrepet mot Colonial. Fra de Bitcoinene har U.S Department of Justice klart å tilbake 63,7.
Referanser
https://www.nrk.no/urix/usa-hacket-russiske-h[...] https://krebsonsecurity.com/2021/06/justice-d[...]

Den krypterte kommunikasjonsplatformen ANoM har ført til flere pågripelser av kriminelle

ANoM er en kommunikasjonsplatform som har blitt drevet av FBI og det australske politiet siden 2018. Platformen ble brukt av over 11 000 personer og har ført til 224 pågripelser i Australia skriver ABC. Kommunikasjonsplatfrmen vil trolig føre til flere pågripelser globalt.
Referanser
https://www.digi.no/artikler/hemmelig-politia[...] https://www.afp.gov.au/news-media/media-relea[...]

2021.06.07 - Nyhetsbrev

Biden med flere sanskjoner mot kinesiske selskaper.

Biden med flere sanskjoner mot kinesiske selskaper

President Biden utvider sanksjonene mot kinesiske selskaper, som først ble innført av Trump. Listen over firmaer som ikke kan motta investeringer fra USA økes fra 31 til 59. Biden fordømmer også Kinas bruk av overvåkingsprogramvare for å kontrollere befolkningen.
Referanser
https://www.theregister.com/2021/06/04/biden_[...]

2021.06.04 - Nyhetsbrev

USA gir ransomware angrep lik prioritering som terrorisme, og vi har oppsummert nyhetsbildet mtp. sikkerhet for mai måned.

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2021

Vi har skrevet en oppsummering av nyhetsbildet for mai måned, som kan leses på TSOCs blogg. Hovedsakene denne måneden er angrepene med løsepengevirus mot Colonial Pipeline i USA og det irske helsevesenet.
Referanser
https://telenorsoc.blogspot.com/2021/06/oppsu[...]

USA gir ransomware-angrep lik prioritering som terrorisme

Justisdepartementet i USA prioriterer nå etterforskning av løsepengevirus på samme nivå som terrorisme etter angrepet på Colonial Pipeline 6. mai 2021, samt andre nylige angrep. Det er også opprettet en egen "task force" i Washington for å koordinere etterforskning av angrepene.
Referanser
https://www.reuters.com/technology/exclusive-[...]

2021.06.03 - Nyhetsbrev

Firefox 89 fikser flere svakheter. REvil-gruppering står bak ransomware-angrepet mot Amerikansk kjøttindustri.

Firefox 89 fikser flere svakheter

Mozilla har gitt ut Firefox versjon 89 som fikser flere svakheter. Den mest alvorlige svakheten finnes i Firefox for Android, der det er mulig å lure passord-manageren til å fylle inn passord på feil side. Utviklerne har også fikset flere svakheter i minnehåndteringen, som muligens kan utnyttes til å kjøre tilfeldig kode.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

REvil-gruppering står bak ransomware-angrepet mot Amerikansk kjøttindustri

Angrepet mot amerikansk kjøttindustri ved JBS Foods, er bekreftet å være et ransomware-angrep utført av den russiske grupperingen REvil. USAs president, Joe Biden, uttaler at ansvarlige nasjoner burde straffeforfølge grupperinger som REvil. Dette med klar addresse til Russland sin manglende oppfølging av russiske grupperinger som i stor stil angriper forskjellig infrastruktur i vesten.
Referanser
https://threatpost.com/revil-ransomware-groun[...]

2021.06.02 - Nyhetsbrev

PST frykter at utenlandske grupperinger/stater vil forsøke å påvirke valget til høsten.

PST frykter at utenlandske grupperinger/stater vil forsøke å påvirke valget til høsten

PST frykter at utenlandske grupperinger/stater vil forsøke å påvirke det norske valget til høsten gjennom data-angrep. I den anledning har regjeringen lagt fram en ny lov som skal gjøre det straffbart å samarbeide med utenlandsk etterretning for å påvirke valg og samfunnsdebatt.
Referanser
https://www.vg.no/nyheter/meninger/i/nAp2Pd/h[...]

2021.06.01 - Nyhetsbrev

Kjøtt-giganten JBS har stengt ned deler av produksjonen etter data-angrep.

Kjøtt-giganten JBS har stengt ned deler av produksjonen etter data-angrep

Firmaet JBS er verdens største leverandør av kjøtt, har over 245000 ansatte og har produksjon i USA, Australia, Canada, UK osv. JBS har nå stengt ned deler av sin produksjon etter et data-angrep. Det er ukjent hvem som står bak og hvilken type angrep det er, men mange mistenker ransomware.
Referanser
https://www.bleepingcomputer.com/news/securit[...]