2021.09.30 - Nyhetsbrev

Russisk IT-profil fra Group-IB er pågrepet og anklaget for landsforræderi. GriftHorse-skadevare har infisert over 10 millioner Android-enheter.

Russisk IT-profil fra Group-IB er pågrepet og anklaget for landsforræderi

En av Russlands mest prominente IT-gründere, Ilya Konstantinovich Sachkov (35), ble tirsdag pågrepet i Moskva og varetektsfengslet i to måneder. Han er siktet for forræderi ved FSB-domstolen og det beryktede høyrisikofengselet Lefortovo. Det russiske nyhetsbyrået Tass siterer en ikke-navngitt sikkerhetskilde på at Sachkov er anklaget for å ha samarbeidet med utenlandsk etterretning og statsforræderi. Den siktede benekter begge anklagene, skriver Reuters.
Referanser
https://www.digi.no/artikler/russisk-it-profi[...] https://www.bleepingcomputer.com/news/securit[...] https://www.forbes.com/sites/thomasbrewster/2[...]

GriftHorse-skadevare har infisert over 10 millioner Android-enheter

Sikkerhetsfirmaet Zimperium har oppdaget en mobil skadevare som melder på brukere på premium SMS-tjenester som koster 35 dollar i måneden. Skadevaren har blitt distribuert ved å lastes opp apper til Google Play Store og tredjeparts app-stores. Dersom en bruker har lastet ned applikasjonen med skadevaren, får vedkommende masse pop-up vinduer på telefonen som spør brukeren om å verifisere nummeret sitt. Når de da har lagt inn telefonnummeret sitt, blir de trukket 35 dollar i måneden. Denne kampanjen har pågått siden november 2020.
Referanser
https://www.zdnet.com/article/this-dangerous-[...] https://tech.slashdot.org/story/21/09/29/2334[...] https://www.bleepingcomputer.com/news/securit[...]

2021.09.29 - Nyhetsbrev

FinFisher spionprogramvare tar over Windows Boot Manager ved bruk av UEFI-bootkit. SolarWinds-angripere kompromitterer Active Directory-servere med Foggyweb bakdør.

FinFisher spionprogramvare tar over Windows Boot Manager ved bruk av UEFI-bootkit

FinFisher, også kjent som FinSpy og Wingbird, er et overvåkningsprogram utvikler av Gamma Group. Firet sier at programvaren kun blir solgt til offentlige etater og politi, men cybersikkerhetsfirmaer har også funnet den i spearphishing-kampanjer og i infrastrukturen til internettleverandører. FinFisher er nå i stand til å infisere Windows-enheter ved bruk av et UEFI-bootkit som den legger inn i Windows Boot Manager. Bootkit skadevaren blir lagret i SPI flash-minnet som er loddet på hovedkortet, som gjør det umulig å kvitte seg med skadevaren ved å erstatte harddisken eller ved en reinstallasjon av operativsystemet. Den nye versjonen av FinFisher er også svært godt obfuskert og vanskelig å analysere.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.theregister.com/2021/09/28/kasper[...]

SolarWinds-angripere kompromitterer Active Directory-servere med Foggyweb bakdør

Microsoft advarer om at Nobelium APT kompromitterer single-sign-on servere for å installere en bakdør som stjeler data og gir tilgang til systemet. Nobelium APT er trusselaktørene som stod bak de svært avanserte forsyningskjede-angrepene gjort gjennom programvaren Solarwinds. Denne kampanjen startet så langt tilbake som i april.
Referanser
https://threatpost.com/solarwinds-active-dire[...]

2021.09.28 - Nyhetsbrev

Helgelands Blad rammet av ransomware. Telenors sikkerhetsmiljø søker nye medarbeidere.

Telenors sikkerhetsmiljø søker nye medarbeidere

Telenors sikkerhetsmiljø er førstelinja i forsvaret av det digitale Norge. Nå kan du ta del i denne viktige jobben, i et arbeidsmiljø som er stort og nysgjerrig. Få et innblikk i den spennende hverdagen til noen av våre dyktige ansatte.
Referanser
https://www.telenor.no/om/jobbitelenor/artikl[...]

Helgelands Blad rammet av ransomware

For første gang siden krigen klarte ikke Helgelands Blad å gi ut papiravisen. Årsaken er et hackerangrep fra en russisk IP-adresse. NRK har flere detaljer rundt angrepet.
Referanser
https://www.nrk.no/nordland/norsk-lokalavis-b[...]

2021.09.27 - Nyhetsbrev

Kritisk sårbarhet i SonicWall SMA. Microsoft skynder seg å registrere autodiscover-domener som mottar innloggingsdetaljer. Oppdatering til Google Chrome fikser sårbarhet under aktiv utnyttelse.

Kritisk sårbarhet i SonicWall SMA

En kritisk sårbarhet i SonicWall Secure Mobile Access 100-serien tillater at en uautentisert bruker å slette filer som fører til at enheten restarter med fabrikk-innstillinger. Enheter som er rammet er SMA 200, 210, 400, 410 og 500). SonicWall har publisert oppdateringer som fikser feilen og fremgangsmåter på hvordan enheter kan oppgraderes.
Referanser
https://psirt.global.sonicwall.com/vuln-detai[...] https://www.sonicwall.com/support/knowledge-b[...]

Microsoft skynder seg å registrere autodiscover-domener som mottar innloggingsdetaljer

Mandag slapp Guardicores Amit Serper ny forskning om hvordan problemet forårsaket eksponering av nær 100.000 brukernavn og passord for Exchange. Når brukere konfigurerer Exchange-kontoene sine på epostklienter, vil applikasjonen prøve å autentisere til forskjellige Autodiscover-nettadresser knyttet til Microsoft Exchange-servere for organisasjonen. Ved vellykket autentisering, sender Exchange-serveren tilbake innstillinger som epost-klienten skal bruke. Imidlertid er det mange epostklienter, inkludert noen versjoner av Microsoft Outlook og Office 365, som implementerer Autodiscover-protokollen feil, slik at de prøver å autentisere til feilaktige adresser. Microsoft har nå registrert en mengde av disse domenene for å unngå tyveri av brukernavn og passord.
Referanser
https://www.bleepingcomputer.com/news/microso[...] https://it.slashdot.org/story/21/09/24/2143245/ https://www.digi.no/artikler/microsoft-exchan[...]

Oppdatering til Google Chrome fikser sårbarhet under aktiv utnyttelse

Chrome har publisert en sikkerhetsoppdatering til en aktivt brukt zero-day svakhet. Dette er den eneste fiksen i denne oppdateringen.
Anbefaling
Installer siste versjon.
Referanser
https://chromereleases.googleblog.com/2021/09[...]

2021.09.24 - Nyhetsbrev

En ny APT målretter seg mot hoteller verden over. Russisk rakettdrivstoffprodusent utsatt for spionasje gjennom Office zero-days. Nye kritiske Apple iOS- og macOS-oppdateringer tilgjengelig. En deltager frustrerer seg over Apple Security Bounty-programmet.

En ny APT målretter seg mot hoteller verden over

En ny APT (Advanced Persistent Threat) målretter seg mot hoteller verden over. Denne APT-gruppen har fått kodenavnet FamousSparrow og ble oppdaget av ESET, som har fulgt denne APTen siden 2019. De benytter seg stort sett av svakheter i Microsoft Exchange, Microsoft SharePoint og Oracle Opera (administrasjonsprogram for hoteller). Målet med denne typen angrep er ofte å få tilgang til gjestelisten og dermed følge med på hvor personer befinner seg.
Referanser
https://therecord.media/a-new-apt-is-targetin[...]

Russisk rakettdrivstoffprodusent utsatt for spionasje gjennom Office zero-days

Malwarebytes melder at russiske organisasjoner er utsatt for målrettet cyber-spionasje, gjennom en Office null-dagers sårbarhet som ble patchet tidligere denne måneden (CVE-2021-40444). En av organisasjonene er JSC GREC Makeyev, som er produsent av drivstoff for Russlands ballistiske missiler og romfart. Angrepene var et klassisk spear-phishing angrep der angriperne sender Office-dokumenter til ansatte som inneholder kode som infiserer systemet, dersom mottakeren åpner vedlegget.
Referanser
https://therecord.media/russian-missile-fuel-[...]

Nye kritiske Apple iOS- og macOS-oppdateringer tilgjengelig

Apple slapp torsdag sikkerhetsoppdateringer for å fikse flere null-dags svakheter og sikkerhetsproblemer med eldre versjoner av iOS og macOS, i tillegg til å stoppe en tidligere svakhet som ble misbrukt av NSO Group sitt iPhone overvåkningsverktøy Pegasus.
Referanser
https://thehackernews.com/2021/09/urgent-appl[...]

En deltager frustrerer seg over Apple Security Bounty-programmet

En deltager av Apple Security Bounty Program er frustrert over håndteringen av innmeldte sårbarheter. Deltageren har meldt inn fire sårbarheter mellom 10. mars og 4. mai, men tre av dem er fortsatt ikke rettet. Det som frustrerer er at Apple ikke engang har varslet om svakhetene som er funnet. Han har nå offentliggjort tre av svakhetene.
Referanser
https://habr.com/en/post/579714/

2021.09.23 - Nyhetsbrev

Myndighetene i Litauen advarer om potensiell sensurering på Xiaomi telefoner. DDoS-angrep mot VOIP.ms. Cisco har publisert sikkerhetsoppdateringer, hvorav tre er kritiske.

Myndighetene i Litauen advarer om potensiell sensurering på Xiaomi telefoner

Personer i Litauen blir anbefalt å ikke bruke 5G smarttelefonene OnePlus 8T 5G, Huawei P40 5G og Xiaomi Mi 10T 5G. Telefonene har nemlig sensurmoduler som kan sensurere flere latinske og kinesiske ord som er forbundet til sensitive politiske emner i Kina. Disse modulene er midlertidig skrudd av i EU, men kan når som helst aktiveres uten å varsle brukeren. Xiaomi telefoner sender også krypterte meldinger til Xiaomi-servere dersom eieren benytter seg av Xiaomi cloud service.
Referanser
https://www.tv2.no/nyheter/14246070/ https://therecord.media/lithuanian-government[...] https://www.nksc.lt/doc/en/analysis/2021-08-2[...]

DDoS-angrep mot VOIP.ms

Kanadiske VoIP.ms har siden 16.september vært under DDoS-angrep. Dette har forhindret flere av deres 80 000 brukere å benytte seg av tjenestene deres og VoIP.ms har nå implementert captchas som en verifiserings-metode for å motvirke angrepene. Angriperne har utgitt seg for å være løsepengevirus-gruppen REvil, men dette er trolig bare for å skremme VoIP.ms til å betale 4.2 millioner dollar for å stoppe angrepene.
Referanser
https://arstechnica.com/gadgets/2021/09/canad[...]

Cisco har publisert tre kritiske sikkerhetsoppdateringer

Cisco slapp den 22. september en rekke sikkerhetsoppdateringer. Tre av sårbarhetene har blitt betegnet som kritiske og bør patches. Det er blant annet flere svakheter i Cisco IOS XE.
Anbefaling
Installer patcher.
Referanser
https://tools.cisco.com/security/center/publi[...] https://nsm.no/fagomrader/digital-sikkerhet/n[...]

2021.09.22 - Nyhetsbrev

Google fikser svakheter i Chrome versjon 94. Bulletprooflink er ansvarlig for store deler av phishing kampanjene som påvirker bedrifter i dag. Apple har sluppet sikkerhetsoppdateringer for flere av deres produkter. 106 personer arrestert etter politi-aksjon mot svindlere på nett. Ransomware-angrep mot leverandør av jordbrukstjenester kan forsårsake lokal mangel på mat. Passinfo til 106 millioner reisende til Thailand lekket. USA innfører sanksjoner mot børs for kryptovaluta for å bekjempe ransomware. Ny zero-day svakhet i MacOS. VMware advarer om kritisk feil i default installasjoner av vCenter-servere.

Google fikser svakheter i Chrome versjon 94

Google har sluppet versjon 94 av Chrome til desktop, iOS og Android. Oppdateringen inneholder 19 sikkerhetsoppdateringer.
Referanser
http://chromereleases.googleblog.com/2021/09/[...]

Bulletprooflink er ansvarlig for store deler av phishing kampanjene som påvirker bedrifter i dag

Microsoft undersøkte et phishingangrep og kom over en kampanje som brukte over 300 000 nyopprettede og unike underdomener i én enkelt runde. I forbindelse med undersøkelsene kom Microsoft over en profesjonell tjeneste for å utføre phishing-kampanjer kalt BulletProofLink. Tjenesten har over 100 tilgjengelige phishing-maler som etterligner kjente merker og tjenester. BulletProofLink, selger phishing-sett, e-postmaler, hosting og automatiserte tjenester relativt rimelig, noe som gjør det attraktivt for angripere å benytte tjenesten. Tjenesten står for en stor andel av phishing-angrepene som rammer bedrifter for tiden.
Referanser
https://www.microsoft.com/security/blog/2021/[...]

Apple har sluppet sikkerhetsoppdateringer for flere av deres produkter

Apple har slippet sikkerhetsoppdateringer i Safari 15, iOS 15, iPadOS 15 og flere. En angriper vil kunne utnytte noen av disse svakhetene for å ta kontroll over systemet. Vi anbefaler å oppdateres så fort som mulig.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

106 personer arrestert etter politi-aksjon mot svindlere på nett

Det spanske politiet, bistått av det italienske politiet, Europol, og Eurojust, har brutt opp en gruppe som har drevet med organisert kriminalitet. Gruppen er tilknyttet den italienske mafiaen som har vært involert i svindel på nett, hvitvasking av penger, narkotikahandel og eiendomskriminalitet. Metodene brukt av gruppen er blant annet phishing og SIM-swapping.
Referanser
https://www.europol.europa.eu/newsroom/news/1[...]

Ransomware-angrep mot leverandør av jordbrukstjenester kan forsårsake lokal mangel på mat

NEW Cooperative Inc. har blitt utsatt for et ransomware-angrep, som tvinger dem til å slå av systemene sine. BlackMatter-gruppen står bak angrepet og ber om 5.9 millioner dollar for å fjerne krypteringen. Dersom kooperativet ikke får systemene sine opp og kjøre igjen snart, kan det påvirke tilgjengeligheten til korn, svinekjøtt og kylling i Iowa.
Referanser
https://arstechnica.com/information-technolog[...]

Passinfo til 106 millioner reisende til Thailand lekket

Personopplysninger, inklusive pass- og visum-detaljer til 106 millioner internasjonale reisende til Thailand de siste 10 årene ble oppdaget fritt tilgjengelig på nett - uten passord, avslører forskere fra cybersikkerhetsselskapet Comparitech. Databasen, som er på 200 GB, inkluderer fulle navn, passnummer, ankomstdatoer og mer. Denne lekkasjen er bare sist ut i en lang rekke datalekkasjer fra offentlige thailandske virksomheter det siste året. Thailandske myndigheter hevder imidlertid at databasen ikke har hatt besøk av uvedkommende og at den ble sikret før noen rakk å hente ut data.
Referanser
https://www.nettavisen.no/nyheter/passinfo-ti[...] https://www.comparitech.com/blog/information-[...]

USA innfører sanksjoner mot børs for kryptovaluta for å bekjempe ransomware

Det amerikanske finansdepartementet kunngjorde tirsdag tiltak mot bruk av digitale valutaer i ransomware-angrep og andre økonomiske forbrytelser, inkludert de første sanksjonene noensinne mot en børs for kryptovaluta. Treasury opplyste at om lag 40 prosent av transaksjonene på den sanksjonerte kryptovaluta-børsen som opererer i Russland - Suex - involverte ulovlige aktiviteter. De nye sanksjonene vil blokkere alle handler som involverer Suex og amerikanske personer og firmaer. Finandsdepartementet i USA planlegger også å identifisere andre børser knyttet til ulovlige ordninger.
Referanser
https://www.politico.com/news/2021/09/21/trea[...] https://www.coindesk.com/policy/2021/09/21/us[...]

Ny zero-day svakhet i MacOS

Sikkerhetsforskere har oppdaget en sårbarhet i MacOS Finder, som gjør at det er mulig å kjøre kode dersom en kan lure en bruker til å åpne en fil, for eksempel som vedlegg til en epost. Apple forsøkte først å fikse feilen i stilhet, uten å gi svakheten noe CVE-nummer. Det viser seg imidlertid at patchen kan omgås ved å endre små til store bokstaver i teksten "file://".
Anbefaling
Vent på patch og oppdater.
Referanser
https://www.bleepingcomputer.com/news/apple/n[...] https://ssd-disclosure.com/ssd-advisory-macos[...]

VMware advarer om kritisk feil i default installasjoner av vCenter-servere

VMware ber kunder om å patche en kritisk feil som gjør det mulig for en angriper å laste opp en vilkårlig fil via Analytics-tjenesten uten å autentisere seg. Dette påvirker alle servere som kjører default vCenter Server versjon 6.7 og 7.0. Svakheten har fått en CVSS-score på 9.8, noe som betyr at den er svært lett å utnytte. Oppdateringen utbedrer også 18 andre svakheter.
Anbefaling
Patch alle servere med default installasjon av vCenter 6.7 og 7.0.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.vmware.com/security/advisories/VM[...] https://nsm.no/fagomrader/digital-sikkerhet/n[...]

2021.09.21 - Nyhetsbrev

Datainnbrudd hos Epik påvirker 15 millioner brukere, inkludert ikke-kunder. Stor personvernendring kommer snart til milliarder av Android-enheter.

Datainnbrudd hos Epik påvirker 15 millioner brukere, inkludert ikke-kunder

Epik har nå bekreftet at det faktisk skjedde et uautorisert angrep mot systemene deres. Kunngjøringen følger forrige ukes hendelse hvor hacktivistgruppen Anonymous lekket 180 GB data, stjålet fra nettleverandøren Epik. Det viser seg at Epik også har lastet inn og lagret store mengder informasjon fra offentlige Whois-databaser. Datalekkasjen har blitt lastet inn i tjenesten haveibeenpwned.com.
Referanser
https://arstechnica.com/information-technolog[...] https://haveibeenpwned.com/

Stor personvernendring kommer snart til milliarder av Android-enheter

Android-apper som ikke har vært brukt på en stund, vil snart miste den tilgangen til sensitive enhetsfunksjoner som sensorer, SMS -meldinger og kontaktlister etter ikke å ha vært brukt en periode. Funksjonen tar sikte på å hjelpe Android-brukere med å kontrollere personvernfølsomme app-tillatelser i sammenheng med at brukere har titalls apper på en enhet, hvorav mange ofte ikke blir brukt etter en stund. Google ga ut funksjonen for Android 11 i fjor, men i desember vil den utvides til "milliarder flere enheter" via en automatisk oppdatering. Oppdateringen vil komme for enheter som kjører Android 6.0 (API 23) og nyere.
Referanser
https://www.zdnet.com/article/google-this-maj[...]

2021.09.20 - Nyhetsbrev

Microsoft MSHTML-feil utnyttet av Ryuk Ransomware Gang og andre aktører.

Microsoft MSHTML-feil utnyttet av Ryuk Ransomware Gang

Microsoft- og RiskIQ-forskere har identifisert flere kampanjer som bruker den nylig oppdaterte 0-day svakheten i MSHTML, og gjentok en oppfordring til organisasjoner om å oppdatere berørte systemer. Svakheten lar angripere lage Office-dokumenter som kompromitterer en Windows-maskin når dokumentet blir åpnet. RiskIQ identifiserte ransomware-infrastrukturen som potensielt tilhørende det russisktalende Wizard Spider, som også er kjent for å vedlikeholde og distribuere Ryuk-ransomware.
Referanser
https://threatpost.com/microsoft-mshtml-ryuk-[...]

2021.09.17 - Nyhetsbrev

Gratis REvil løsepengevirus hoved-dekrypteringsnøkkel utgitt for tidligere ofre. Det Sør-Afrikanske justisdepartementet rammet av løsepengevirus-angrep.

Gratis REvil løsepengevirus hoved-dekrypteringsnøkkel utgitt for tidligere ofre

En gratis master-dekrypter for REvils løsepengevirus-operasjonen har blitt utgitt. Denne lar alle ofrene gjenopprette filene sine gratis. REvil master-dekrypter er laget av cybersikkerhetsfirmaet Bitdefender i samarbeid med politiet. Bitdefender vil ikke dele detaljer om hvordan de skaffet dekrypteringsnøkkelen, men den funkerer for alle REvil-ofre som er kryptert før 13.juli. Ofre for REvil løsepengevirus kan laste ned dekrypteringsnøkkelen fra Bitdefender.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Det Sør-Afrikanske justisdepartementet rammet av løsepengevirus-angrep

Det Sør-Afrikanske justisdepartementet har avslørt at de ble rammet av et løsepengevirus-angrep i september 2021. Dette er det andre vellykkede cyberangrepet mot en statsinstitusjon i Sør-Afrika på to måneder. Hendelsen skjedde 6. september og etterlot alle avdelingens informasjonssystemer kryptert og utilgjengelige.
Referanser
https://www.digitaljournal.com/tech-science/s[...]

2021.09.16 - Nyhetsbrev

Man kan nå fjerne passordet fra Microsoft-kontoen sin og heller logge inn med autentiserings-app, fysisk sikkerhetsnøkkel eller Windows Hello.

Man kan nå fjerne passordet fra Microsoft-kontoen sin

Det er nå mulig å fjerne passordet sitt fra Microsoft kontoen sin og erstatte det med Microsoft Authenticator App, Windows Hello eller fysiske sikkerhetsnøkkler. Dette anbefales å gjøre for å redusere antall passord man bruker og fordi passord er ofte lettere å kompromittere.
Referanser
https://techcommunity.microsoft.com/t5/azure-[...] https://www.digi.no/artikler/na-trenger-du-ik[...]

2021.09.15 - Nyhetsbrev

Oppdateringer tilgjengelig fra Adobe for diverse produkter. Tidligere amerikansk militærtrio var cyber-leiesoldater for UAE. Gruppen Anonymous hevder å ha stjålet store mengder data fra Epik. Månedlige oppdateringer fra Microsoft.

Oppdateringer tilgjengelig fra Adobe for diverse produkter

Adobe har sluppet sikkerhets-oppdateringer for 15 av sinde produkter, blant annet Adobe Photoshop, ColdFusion og Acrobat Reader.
Referanser
https://helpx.adobe.com/security/security-bul[...]

Tidligere amerikansk militærtrio var cyber-leiesoldater for UAE

Tre tidligere amerikanske etterretnings- og militære operatører brøt USAs lover om eksport av våpen og datasikkerhet ved blant annet å hjelpe De forente arabiske emirater med å stjele data fra folks iPhone-telefoner. De var tiltalt for forholdene, men har nå inngått en avtale med påtalemyndighetene.
Referanser
https://www.theregister.com/2021/09/15/three_[...]

Gruppen Anonymous hevder å ha stjålet store mengder data fra Epik

Medlemmer av hacktivistkollektivet Anonymous hevder å ha hacket web-hosting-selskapet Epik og angivelig å ha stjålet "ti år med data", inkludert mengder informasjon om selskapets klienter og deres domener. Epik er kjent for å tilby web-hosting for kontroversielt innhold.
Referanser
https://gizmodo.com/anonymous-claims-to-have-[...]

Månedlige oppdateringer fra Microsoft

Denne måneden fikk leverte Microsoft oppdateringer for 86 sårbarheter hvor 3 av sårbarhetene er kritiske. Blant oppdateringene er en patch for svakheten kjent som MSHTML (CVE-2021-40444) som allerede blir brukt i målrettede angrep. Det blir også utbedret en svakhet i systemet for å auto-konfigurere WLAN-forbindelser, der alle versjoner av Windows er rammet. Denne svakheten kan gi en ikke-autentisert bruker tilgang til sårbare maskiner. Microsoft patcher også en sårbarhet i Microsoft Open Management System. Dette er et åpent kildekode-prosjekt som blir ledet av Microsoft som brukes til overvåking av servere. Linux-systemer i Azure-skyen får i mange tilfeller denne komponenten installert automatisk, og disse systemene må patches manuelt. Svakheten har en CVE-score på 9.8 og gir en ikke-autentisert bruker remote root-tilgang til systemet.
Referanser
https://isc.sans.edu/diary/Microsoft+Septembe[...] https://msrc.microsoft.com/update-guide/ https://www.wiz.io/blog/secret-agent-exposes-[...] https://krebsonsecurity.com/2021/09/microsoft[...]

2021.09.14 - Nyhetsbrev

Apple fikser nulldagssårbarhet som har blitt brukt av NSO iPhone-spionprogramvare. Google fikser to nye Chrome zero-day-feil som aktivt utnyttes. Cobalt Strike re-implementasjon for Linux og Windows omtales som Vermilion Strike. ExpressVPN er kjøpt for 1 milliard dollar av et britisk selskap med historie innenfor adware.

Apple fikser nulldagssårbarhet som har blitt brukt av NSO iPhone-spionprogramvare

Apple har sluppet sikkerhetsoppdatering som fikser to nulldagssårbarheter brukt til å angripe både Mac og iPhones. Det er kjent at en av svakhetene har blitt brukt til å installere Pegasus spionprogramvare på iPhones. Denne svakheten skal kunne ta kontroll over en iPhone uten at brukeren foretar seg noe.
Referanser
https://www.bleepingcomputer.com/news/apple/a[...] https://support.apple.com/en-us/HT201222 https://citizenlab.ca/2021/09/forcedentry-nso[...]

Cobalt Strike re-implementasjon for Linux og Windows omtales som Vermilion Strike

I august fant Intezer en ny ELF-versjon (for Linux) av Cobalt Strike sin Beacon som de ga navnet Vermilion Strike. Cobalt Strike Beacon brukes av sikkerhetstestere og angripere som programvare for å ta kontroll over PCer og servere de har klart å kompromittere. Det første eksemplaret av den nye varianten ble lastet opp fra Malaysia og blir ikke merket som ondsinnet av noen anti-virus-leverandører på tjenesten VirusTotal. Vermilion Strike benytter seg av samme C2 (Command and Control)-protokoll som Cobalt Strike og har så langt blitt brukt i målrettede angrep mot telekommunikasjonsbedrifter, myndigheter, IT-bedrifter, finansbedrifter og konsulentfirmaer. Intezer har gjennomført en teknisk analyse av Vermilion Strike.
Referanser
https://www.intezer.com/blog/malware-analysis[...]

Google fikser to nye Chrome zero-day-feil som aktivt utnyttes

Google gir ut Chrome 93.0.4577.82 for Windows, Mac og Linux som løser elleve sikkerhetsproblemer, inkludert to null-dagers sårbarheter som aktivt utnyttes i angrep. Oppdateringen inneholder også utbedringer for flere andre svakheter. Dette er den tiende null-dagers sårbarheten i Chrome som Google patcher i år.
Referanser
https://securityaffairs.co/wordpress/122192/h[...]

ExpressVPN er kjøpt for 1 milliard dollar av et britisk selskap med historie innenfor adware

Det britiske selskapet Kape Technologies kjøpte ExpressVPN for 936 millioner dollar for å doble kundebasen deres til 6 millioner. Kape eier allerede andre VPN-selskaper og vil med dette oppkjøpet "create a premium consumer privacy and security player". Kape het før Crossrider og ble i 2015 identifisert i en felles studie av University of California, Berkely og Google som en samarbeidspartner for annonseinjektorer, inkludert SuperFish. Da de endret navn lovet deres CEO Ido Erlichman at de har "completely broken away from the ad-tech world".
Referanser
https://www.theregister.com/2021/09/14/expres[...]

2021.09.13 - Nyhetsbrev

Personopplysninger om millioner av barn stjålet fra skoler, lekket ut på det mørke nettet. KrebsOnSecurity truffet av enormt nytt botnet kalt “Meris”.

Personopplysninger om millioner av barn stjålet fra skoler, lekket ut på det mørke nettet

I USA blir mange skoler rammet av ransomware-angrep, og personopplysninger om millioner av barn publiseres på det mørke nettet. NBC News samlet og analyserte filer fra disse nettstedene og fant at de er fulle av personlig informasjon om barn. I 2021 publiserte ransomware-gjenger data fra mer enn 1200 amerikanske K-12-skoler, ifølge en oppgave som ble levert til NBC News av Brett Callow, en ransomware-analytiker ved cybersikkerhetsselskapet Emsisoft.
Referanser
https://www.nbcnews.com/tech/security/hackers[...]

KrebsOnSecurity truffet av enormt nytt botnet kalt “Meris”

Torsdag kveld var KrebsOnSecurity gjenstand for et ganske massivt (og barmhjertig kort) distribuert denial-of-service (DDoS) angrep. Angrepet kom fra "Meris", det samme nye botnettet bak rekordknusende angrep mot den russiske søkegiganten Yandex denne uken og Internett-infrastrukturfirmaet Cloudflare tidligere i sommer. Mens nattens Meris-angrep på dette nettstedet var langt mindre enn det nylige DDoS-angrepet mot Cloudflare, var det langt større enn anngrepet mot Mirai i 2016 som holdt KrebsOnSecurity offline i nesten fire dager. Trafikkflommen fra torsdagens angrep var mer enn fire ganger det Mirai klarte for fem år siden. Dette siste angrepet involverte mer enn to millioner forespørsler per sekund. Til sammenligning genererte 2016 Mirai-DDoS omtrent 450 000 forespørsler per sekund. Botnettet består for det meste av hackede MikroTik routere.
Referanser
https://krebsonsecurity.com/2021/09/krebsonse[...] https://therecord.media/meet-meris-the-new-25[...]

2021.09.10 - Nyhetsbrev

Sikkerhetsoppdatering for Citrix Hypervisor. Russlands Yandex sier at de har avvist det største DDOS-angrepet i historien.

Sikkerhetsoppdatering for Citrix Hypervisor

Citrix har gitt ut sikkerhetsoppdateringer for å løse sårbarheter i Hypervisor. Oppdateringene retter 5 svakheter som kunne gjøre det mulig for en angriper å ta kontroll over et berørt system.
Referanser
https://support.citrix.com/article/CTX325319

Russlands Yandex sier at de har avvist det største DDOS-angrepet i historien

Et cyberangrep mot den russiske teknologigiganten Yandex sine servere i august og september var det største kjente distribuerte denial-of-service (DDoS)-angrepet i internettets historie, sa selskapet torsdag. DDoS -angrepet, der hackere prøver å oversvømme et nettverk med uvanlig store mengder datatrafikk slik at det ikke lenger kan takle omfanget av forespurte data, begynte i august og nådde et rekordnivå 5. september. "Våre eksperter klarte å avvise et rekordangrep på nesten 22 millioner forespørsler per sekund (RPS). Dette er det største kjente angrepet i internettets historie," sa Yandex i en uttalelse.
Referanser
https://slashdot.org/story/21/09/09/2139252/r[...]

2021.09.09 - Nyhetsbrev

Microsoft advarer mot sikkerhetsfeil i Azure container-tjeneste. CISA advarer mot Zoho server zero-day utnyttelse. Lekkasje av 500.000 brukernavn/passord fra 87.000 kompromitterte Fortinet SSL-VPN. Mozilla utgir sikkerhetsoppdateringer for Firefox, Firefox ESR og Thunderbird. Cisco slipper oppdateringer til Cisco IOS XR.

Microsoft advarer mot feil i Azure container-tjeneste

Microsoft melder at de nylig har rettet en feil i Azure Container Instances (ACI) som kunne gjøre det mulig for kunder å hente ut informasjon fra andre kunders informasjon i tjenesten. Microsoft mener at ingen uvedkommende har fått tilgang til informasjon og at kundene ikke trenger å foreta seg noe. For sikkerhets skyld har de allikevel varslet kunder på den det samme clusteret som sikkerhetsforskerne som oppdaget svakheten har jobbet på. Det var ansatte hos firmaet Palo Alto som oppdaget og meldte fra om svakheten. De opplyser at de klarte å bryte seg ut av containeren og ta full kontroll over hele clusteret. Dette skyldtes at Microsoft ikke hadde patchet en kjent svakhet i programvaren.
Referanser
https://www.reuters.com/technology/microsoft-[...] https://msrc-blog.microsoft.com/2021/09/08/co[...]

CISA advarer mot Zoho server zero-day utnyttelse

US Cybersecurity and Infrastructure Security Agency (CISA) oppfordret organisasjoner i dag til å bruke den siste sikkerhetsoppdateringen til Zoho ManageEngine-serverne for å lappe en zero-day-sårbarhet som for øyeblikket har blir aktivt utnyttet i mer enn en uke. Sårbarheten spores som CVE-2021-40539, og påvirker Zoho ManageEngine ADSelfService Plus, en løsning for passordbehandling og pålogging (SSO) fra det indiske selskapet Zoho. Sårbarheten kan tillate angriperen å kjøre ondsinnet kode på den underliggende Zoh-serveren for å ta kontroll over et berørt system.
Referanser
https://therecord.media/cisa-warns-of-zoho-se[...] https://www.bleepingcomputer.com/news/securit[...]

Lekkasje av 500.000 brukernavn/passord fra 87.000 kompromitterte Fortinet SSL-VPN

Sist sommer ble det kjent at en svakhet i Fortinet sin VPN-løsning gjorde det mulig for angripere å hente ut lister med brukernavn og passord. I etterkant av hendelsen ble det publisert lister med brukernavn/passord på nettet i forskjellige varianter. Det har nå blitt publisert en enda større lister med brukernavn og passord, men kilden til dataene er fortsatt fra i fjor sommer. Noen av innloggingsdetaljene kan imidlertid fortsatt være gyldige. Brukere av Fortinet SSL-VPN bør vurdere å resette brukernes passord. En liste over IP-adresser fra lekkasjen en offentliggjort og kan brukes til å sjekke om en bedrift er rammet.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.fortinet.com/blog/psirt-blogs/mal[...] https://gist.github.com/crypto-cypher/f216d6f[...]

Mozilla utgir sikkerhetsoppdateringer for Firefox, Firefox ESR og Thunderbird

Mozilla har kommet med en sikkerhetsoppdateringer for å løse sårbarheter i Firefox, Firefox ESR og Thunderbird. En angriper kan utnytte noen av disse sårbarhetene til å ta kontroll over et berørt system. CISA oppfordrer brukere og administratorer til å gå gjennom Mozilla sikkerhetsrådene for Firefox 92, Firefox ESR 78.14 og Thunderbird 78.14.
Anbefaling
Gå gjennom Mozilla sikkerhetsrådene for Firefox 92, Firefox ESR 78.14 og Thunderbird 78.14.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...]

Cisco slipper oppdateringer til Cisco IOS XR

Cisco oppdaterer Cisco IOS XR to ganger årlig. De har nå sluppet en oppdatering for diverse svakheter. Oppdateringen utbedrer 9 svakheter.
Anbefaling
Installer patcher.
Referanser
https://tools.cisco.com/security/center/viewE[...]

2021.09.08 - Nyhetsbrev

Ny 0-dagers sårbarhet utnyttes ved hjelp av Microsoft Office-dokumenter. Eksperter avdekker mobilt spionprogramangrep rettet mot kurdisk etnisk gruppe.

Eksperter avdekker mobilt spionprogramangrep rettet mot kurdisk etnisk gruppe

Cybersikkerhetsforskere offentliggjorde tirsdag nye funn som avslører en årelang mobil spionasje-kampanje mot den kurdiske etniske gruppen for å distribuere to Android-bakdører som maskerer seg som legitime apper.
Referanser
https://thehackernews.com/2021/09/experts-unc[...]

Ny 0-dagers sårbarhet utnyttes ved hjelp av Microsoft Office-dokumenter

Microsoft advarte tirsdag om en aktivt utnyttet null-dagers sårbarhet som påvirker Internet Explorer. Sårbarheten blir brukt til å "hijacke" sårbare Windows-systemer ved å bruke Office-dokumenter med kode for å utnytte svakheten. Svakheten ligger i MSHTML (Trident), et komponent som brukes av Windows til å vise HTML-innhold og som også benyttes av Office. Dersom et offer åpner et skadelig dokument, kan det ta kontroll over PCen. Microsoft anbefaler å slå av støtte for Active X i Internet Explorer inntil en patch foreligger.
Anbefaling
Slå av Active X i Internet Explorer.
Referanser
https://msrc.microsoft.com/update-guide/vulne[...] https://www.helpnetsecurity.com/2021/09/08/cv[...] https://thehackernews.com/2021/09/new-0-day-a[...]

2021.09.07 - Nyhetsbrev

ProtonMail deler IP-adresse med sveitsiske myndigheter.

ProtonMail deler IP-adresse med sveitsiske myndigheter

Den sveitsiske ende til ende krypterte mail tilbyderen ProtonMail har, etter en juridisk forespørsel fra det sveitsiske føderale justisdepartementet, delt IP-adresse tilhørende en aktivist. Dette selv om de har en policy på at de ikke lagrer IP-logger. Selskapet selv sier at de er pålagt å følge sveitsisk lov og de kunne ikke bekjempe denne forespørselen fordi en handling i strid med sveitsisk lov hadde funnet sted. Dersom man vil beskytte seg mot dette har ProtonMail en Tor Onion-side for anonym adgang til ProtonMail.
Referanser
https://thehackernews.com/2021/09/protonmail-[...]

2021.09.06 - Nyhetsbrev

Cisco Enterprise NFV Infrastructure Software autentiserings-svakhet. Babuk ransomware sin fulle kildekode lekket på hackerforum.

Cisco Enterprise NFV Infrastructure Software autentiserings-svakhet

En sårbarhet i funksjonen TACACS+ autentiseringsløsning i Cisco Enterprise NFV Infrastructure Software (NFVIS) kan tillate en ikke-autentisert, ekstern angriper å omgå godkjenning og logge på en sårbar enhet som administrator. Svakheten er regnet som kritisk med CVSS-score på 9.8.
Referanser
https://tools.cisco.com/security/center/conte[...]

Babuk ransomware sin fulle kildekode lekket på hackerforum

Babuk Locker, også kjent internt som Babyk, er en ransomware-operasjon som ble lansert i begynnelsen av 2021 da banden begynte å stjele og kryptere data. I følge nettstedet VX-underground, har et av medlemmene av hacker-gruppen lagt ut kildekoden til programvaren Babuk har benyttet i angrepene sine på et populært russisktalende hackingforum. Dette medlemmet hevdet å lide av dødelig kreft og bestemte seg for å slippe kildekoden mens de "levde som et menneske."
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.09.03 - Nyhetsbrev

Gavekort-hackere stjeler penger fra 100 000 e-postinnbokser daglig. Aggressive DDoS-angrep mot britiske VoIP-operatører. Teknisk analyse av Qakbot.

Gavekort-hackere stjeler penger fra 100 000 e-postinnbokser daglig

En anonym kilde har oppdaget en nettkriminalitetsgruppe som kompromitterer opptil 100 000 e-postinnbokser per dag. De gjør tilsynelatende lite annet med denne tilgangen enn å stjele gavekortskoder som kan selges videre på nettet. Denne metoden, hvor små summer stjeles fra mange mennesker over en lengre periode er langsom, men har fordelen med at den er vanskelig å oppdage. Det beste man kan gjøre for å sikre seg mot denne typen kriminalitet er å benytte seg av flerfaktorautentisering.
Referanser
https://krebsonsecurity.com/2021/09/gift-card[...]

Aggressive DDoS-angrep mot britiske VoIP-operatører

To britiske VoIP- operatører har fått forstyrret sine tjenester de siste par dagene av et pågående DDoS-angrep. VoIP Unlimited har bekreftet at det har kommet et løsepengekrav etter å ha blitt rammet av et vedvarende og storstilte DDoS-angrep. De påstår at angrepene kommer fra den russiske cyberkriminelle gjengen REvil. Torsdag 2. september var tjenestene operative igjen, men angrepene pågår fortsatt. London-baserte VoIPfone lider også fortsatt under angrepet med brudd på inngående/utgående samtaler, og SMS-tjenester.
Referanser
https://www.theregister.com/2021/09/02/uk_voi[...]

Teknisk analyse av Qakbot

Kaspersky har skrevet en teknisk analyse av den mye brukte bank-trojaneren Qakbot.
Referanser
https://securelist.com/qakbot-technical-analy[...]

2021.09.02 - Nyhetsbrev

Microsoft advarer mot uvanlig «smart» phishing-kampanje. Sikkerhetsoppdatering for Google Chrome. Skadelig programvare skjules i AMD- og NVIDIA-GPUer.

Microsoft advarer mot uvanlig «smart» phishing-kampanje

Microsoft advarer om en ny phishing-teknikk. Den ny teknikken tar i bruk en CAPTCHA-test som Microsoft tror brukes for å omgå scanning av siden slik at analyseverktøyet ikke når helt frem til selve phishing-siden. Den første siden som offeret tas til er også en tilsynelatende legitim side, men denne siden omdirigerer øyeblikkelig til en annen side. Det blir brukt en rekke andre verktøy for å få siden til å virke mer legitim slik som etterligning av Office 365, forhåndsutfylt epost-adresse til brukeren og omdirigeringen til andre legitime sider.
Referanser
https://www.digi.no/artikler/microsoft-advare[...]

Oppdatering for Google Chrome

Google vil rulle ut en oppdatering til Chrome til den stabile kanalen for Windows, Mac og Linux i løpet av de kommende dagene/ukene. Versjonen er Chrome 93 (93.0.4577.63). Oppdateringen inneholder en rekke feilrettinger og forbedringer.
Referanser
https://chromereleases.googleblog.com/2021/08[...]

Skadelig programvare skjules i AMD- og NVIDIA-GPUer

Nettkriminelle gjør fremskritt i salg av skadelige programvarer som utnytter GPUer på infiserte maskiner. Dette kom frem i hackerforum som et Proof-of-concept (PoC) hvor malwaren bruker GPU-minnebufferen til å lagre skadelig kode og kjøre den derfra. I følge annonsøren fungerer dette kun på Windows-systemer som støtter versjoner 2.0 og nyere av OpenCL-rammeverket.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.09.01 - Nyhetsbrev

Malware-bander selger offrenes internettbåndbredde.

Malware-bander selger offerets internettbåndbredde

Proxyware, også kjent som internett-delingsprogrammer, er legitime tjenester som lar brukere dele internettforbindelesen for andre enheter, gjerne for VPN-forbindelser. Denne tjeneste blir levert av legitime tilbyder som Honeygain, PacketStream og Nanowire. Internett-kriminelle bruker nå denne typen tjenester til å generere passiv inntekt, slik de tidligere har brukt utvinning av kryptovaluta. Ifølge Cisco Talos installeres proxy-ware komponentene ofte av et infisert installasjonprogram som inneholder skadelig kode i tillegg til det legitime programmet.
Referanser
https://www.zdnet.com/article/cyberattackers-[...]