2021.11.30 - Nyhetsbrev

Panasonic utsatt for datainnbrudd. Google Play-apper lastet ned 300 000 ganger og stjal bankinformasjon.

Panasonic utsatt for datainnbrudd

Panasonic kom fredag med en offentlig uttalelse om at de har vært utsatt for et datainnbrudd, hvor en ukjent angriper skal ha kompromittert deres interne nettverk og fått tilgang til flere filer. Panasonic oppdaget innbruddet tidligere denne måneden, den 11 november. Japanske nyhetskanaler hevder at angriperne skal ha hatt tilgang til Panasonics nettverk i over 4 måneder og at de har fått tilgang til sensitiv informasjon som blant annet inkluderer kundedetaljer, personlig informasjon om ansatte og tekniske filer. Panasonic selv har ikke kommentert disse påstandene.
Referanser
https://therecord.media/panasonic-discloses-f[...] https://www.zdnet.com/article/panasonic-confi[...]

Google Play-apper lastet ned 300 000 ganger og stjal bankinformasjon

Forskere har oppdaget et parti med apper lastet ned fra Google Play mer enn 300 000 ganger før appene ble avslørt som banktrojanere. Appene hentet passord og tofaktor autentiseringskoder, logget tastetrykk og tok skjermbilder. Appene er for eksempel QR-skannere, PDF-skannere og kryptovaluta-lommebøker og fungerer som de skal. De hadde imidlertid muligheten til å laste ned oppdateringer fra tredjepartskilder som i utgangspunktet hadde null deteksjon hos VirusTotal. Det er skadevaren Anatsa som blir installert.
Referanser
https://arstechnica.com/information-technolog[...] https://threatpost.com/banking-trojan-infecti[...]

2021.11.29 - Nyhetsbrev

Kompromitterte Google Cloud-kontoer hacket og blir brukt til utvinning av kryptovaluta. Interpol arresterer over 1000 mistenkte tilknyttet nettkriminalitet.

Kompromitterte Google Cloud-kontoer hacket og blir brukt til utvinning av kryptovaluta

Google advarer om at kompromitterte Google Cloud kontoer blir brukt til krypto mining, ut ifra 50 nylig kompromittert kontoer så har 86% blitt brukt til utvinning av krypto. På fleste parten av de kompromitterte kontoene ble det lastet ned mining verktøy iløpet av 22 sekunder. Flere av systemene har også scannet videre etter andre tilgjengelige resurser på nettet.
Referanser
https://www.cnbc.com/2021/11/26/google-warns-[...]

Interpol arresterer over 1000 mistenkte tilknyttet nettkriminalitet

Interpol har koordinert arrestasjonen av 1003 individer som er linket til forskjellig nettkriminalitet som romansesvindel-, investeringsvindel, nettbasert hvitvasking og ulovlig nett-gambling. Operasjonen går under navnet HAEICHI-II og 20 land har deltatt fra juni til september 2021. Interpol har klart å beslaglegge rundt 27 000 000 dollar og frosset 2350 bank-kontoer som er linket til forskjellige nettkriminalitet.
Referanser
https://www.bleepingcomputer.com/news/legal/i[...]

2021.11.26 - Nyhetsbrev

Apache HTTP-server har svakheter som påviker Cisco-produkter

Cisco har utgitt en rapport angående produkter som ble påvirket av Apache HTTP Server sårbarhetene i versjon 2.4.48, som ble avdekket i forrige måned. De undersøker sine produkter for å finne ut av hvilke som er påvirket av sårbarhetene. Foreløpig har de funnet at Cisco Expressway Series og Cisco TelePresence Video Communication Server (VCS) er sårbare. Produktene har ikke fått en oppdatering som fikser sårbarhetene, men det forventes at en fikset versjon X14.1 kommer i desember.
Referanser
https://tools.cisco.com/security/center/conte[...]

Sårbarheter funnet i VMware cVenter og VMware Cloud

Flere sårbarheter i VMwares produkter vCenter og VMware cloud har nå blitt patchet. Sårbarhetene i vCenter har fått sårbarhetsvurderingen 7.5 (av 10) og gjør det mulig å lese vilkårlige filer. Dette gjør det mulig for enhver person med HTTPS-tilgang til tjeneren å få tilgang til sensitiv informasjon. Det ble også meldt om en server side request forgery-sårbarhet (SSRF) i vCenter. Denne har sårbarhetsklassifisering 6.5 og kan gjøre det mulig for en angriper å få tilgang til interne tjenester.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Ukraina har arrestert fem medlemmer fra Phoenix-gruppen

Den internasjonale hackergruppen Phoenix var kjent for å utnytte mobile enheter. Formålet til gruppen er å stjele bank- og betalingsinformasjon fra infiserte klienter og selge privat informasjon til tredjeparter. For å gjennomføre dette lagde gruppen phising-sider basert på Apple og Samsung sine innloggingssider. Over to år fikk gruppen tilgang til flere hundre brukeres informasjon. En av deres andre inntektskilder var å åpne stjålne Apple-telefoner. Det er ukjent om de fem personene er alle medlemmene i Phoenix, eller om det finnes flere.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.11.24 - Nyhetsbrev

Android-malwaren Flubot sprer seg via SMS i Norge i dag. Apple saksøker NSO-gruppen på grunn av deres spionvare-produkt Pegasus.

Android-malwaren Flubot sprer seg via SMS i Norge i dag

Vi ser nok en gang spredning av skadevaren "Flubot" som sprer seg fra infiserte Android-mobiler. Flubot sprer seg ved å sende ut SMS-meldinger med tekster som "Ny melding fra tjenesteleverandør" og "Melding til deg". Dersom du blir lurt til å trykke på lenken, blir Android-brukere sendt til en side med skadevare, mens iPhone-brukere blir sendt til en svindel-side. Telenor har så langt blokkert over 200.000 meldinger i vårt SMS-filter, men noen meldinger slipper dessverre igjennom.
Referanser
https://www.tv2.no/nyheter/14368524/ https://www.facebook.com/TelenorSOC/

Apple saksøker NSO-gruppen på grunn av deres spionvare-produkt Pegasus

Apple saksøker NSO-gruppen grunnet at deres produkt Pegasus har blitt brukt til å spionere på Apple sine brukere. For å forhindre at dette skjer igjen, vil Apple forby NSO-gruppen å bruke Apple sine tjenester og produkter. I tillegg gir Apple 10 millioner dollar i støtte til cybersikkerhetsforskere og forkjempere av personvern. Sikkerhetsforskere ved Citizen Lab oppdaget i september en zero-day zero-click svakhet som ble brukt av NSO til å installere Pegasus på iPhone-telefoner. Apple ga kort tid etter ut en hasteoppdatering.
Referanser
https://www.apple.com/newsroom/2021/11/apple-[...] https://www.zdnet.com/article/apple-sues-nso-[...]

2021.11.23 - Nyhetsbrev

Ny zero-day Windows-svakhet lar en vanlig bruker bli administrator. GoDaddy utsatt for datainnbrudd, 1.2 millioner passord i klartekst lekket.

Ny zero-day Windows-svakhet lar en vanlig bruker bli administrator

En sikkerhetsforsker har sluppet detaljer om en svakhet i alle nyere versjoner av Windows. Svakheten lar en vanlig bruker eskalere rettighetene sine til administrator-tilgang. Exploit-kode for å utnytte svakheten er allerede tilgjengelig. Den nye svakheten ble oppdaget etter undersøkelser av patchen til en svakhet som ble patchet i Microsoft november-oppdatering, CVE-2021-41379 "Windows Installer Elevation of Privilege Vulnerability. Sikkerhetsforskeren bak oppdagelsen offentliggjorde detaljene rundt svakheten for å protestere mot Microsofts stadig lavere belønning for svakheter.
Referanser
https://www.bleepingcomputer.com/news/microso[...]

GoDaddy utsatt for datainnbrudd, 1.2 millioner passord i klartekst lekket

GoDaddy avslørte i dag at en ukjent angriper hadde fått uautorisert tilgang til systemet som ble brukt til å klargjøre selskapets administrerte WordPress-nettsteder. Innbruddet har påvirket opptil 1,2 millioner av deres WordPress-kunder. I følge en rapport fra GoDaddy, fikk angriperen først tilgang via et kompromittert passord 6. september 2021, og ble oppdaget 17. november 2021. Det ser ut til at GoDaddy lagret sFTP-innloggings-detaljer enten som ren tekst eller i et format som enkelt kan reverseres til ren tekst. Også de private SSL-nøklene til kundene skal være på avveie.
Referanser
https://www.wordfence.com/blog/2021/11/godadd[...] https://www.bleepingcomputer.com/news/securit[...] https://www.darkreading.com/attacks-breaches/[...]

2021.11.22 - Nyhetsbrev

Vindturbinprodusenten Vestas melder om datainnbrudd. Sikkerhetsfirma har hacket seg inn hos løsepengevirusgruppen Conti.

Vindturbinprodusenten Vestas melder om datainnbrudd

Danske Vestas melder i dag at de oppdaget et datainnbrudd fredag 19. november. De har siden jobbet døgnet rundt sammen med eksterne leverandører for å få oversikt over hendelsen. Det interne nettverket er kompromittert og data har blitt stjålet. Det er ingen indikasjoner på at innbruddet har gått ut over tredjeparter eller forsyningskjeder. Flere interne datasystemer er fortsatt nede.
Referanser
https://www.vestas.com/en/media/company-news/[...] https://www.infosecurity-magazine.com/news/wi[...]

Sikkerhetsfirma har hacket seg inn hos løsepengevirusgruppen Conti

Prodaft Threat Intelligence (PTI) fikk tilgang til Contis infrastruktur og identifiserte de egentlige IP-adressene til de aktuelle serverne. Conti har vist seg å være en spesielt hensynsløs gruppe, som vilkårlig retter seg mot sykehus, nødhjelpstjenesteleverandører og politisentraler globalt. Etter å ha brutt seg inn i Contis infrastruktur gjennom en sårbarhet, drev sikkerhetsfirmaet med overvåking av banden i over én måned. PRODAFT har laget en rapport som beskriver hvordan Conti-gruppen opererer, hvordan de velger ut mål, hvor mange ofre de har osv.
Referanser
https://www.prodaft.com/resource/detail/conti[...] https://therecord.media/conti-ransomware-gang[...]

2021.11.19 - Nyhetsbrev

Emotet botnettet er tilbake. Hackergruppen MosesStaff med destruktive angrep mot selskaper i Israel. Ny rowhammer-teknikk omgår tidligere mitigeringer.

Nye sidekanalangrep aktiverer alvorlige DNS cache forgiftningsangrep

Forskere har demonstrert enda en variant av SAD DNS-cache-forgiftningsangrepet som gjør omtrent 38 % av domenenavnsløserne sårbare. SAD DNS-angrep lar en angriper omdirigere all trafikk til sin egen server og deretter bli en man-in-the-middle (MITM) angriper, som tillater avlytting og tukling av kommunikasjonen. Den siste feilen påvirker Linux-kjerner så vel som populære DNS-programvare, inkludert BIND, Unbound og dnsmasq som kjører på toppen av Linux, men ikke om det kjøres på andre operativsystemer som FreeBSD eller Windows.
Referanser
https://thehackernews.com/2021/11/new-side-ch[...]

Tusenvis av Firefox-brukere publiserer påloggingsinformasjonskapsler på GitHub

Tusenvis av Firefox-informasjonskapseldatabaser som inneholder sensitive data er tilgjengelige på forespørsel fra GitHub-lagre som kan potensielt brukes til å kapre autentiserte økter. Disse cookies.sqlite- databasene ligger normalt i Firefox-profilmappen og brukes til å lagre informasjonskapsler mellom nettlesingsøktene. De er tilgjengelige ved å søke i GitHub med spesifikke søkeparametere, det som er kjent som et søk «dork».
Referanser
https://www.theregister.com/2021/11/18/firefo[...]

2021.11.18 - Nyhetsbrev

USA, Storbritannia og Australia sikter Iran for utnyttelse av Fortinet og Exchange-hull.

USA, Storbritannia og Australia sikter Iran for utnyttelse av Fortinet og Exchange-hull

Cybermyndigheter i USA, Storbritannia og Australia har bedt administratorer om å umiddelbart fikse fire sårbarheter: CVE-2021-34473, 2020-12812, 2019-5591 og 2018-13379. FBI og CISA har observert disse sårbarhetene utnyttet av en APT støttet av Iran. Trusselaktøren har utnyttet svakheter i Fortinet siden mars, og Microsoft Exchange Proxyshell siden oktober. Det australske cybersikkerhetssenteret ACSC er også klar over denne APT gruppen og har sett samme Microsoft Exchange-sårbarhet utnyttet i Australia. Ved å utnytte svakhetene, kunne angriperen få tilgang til systemet og opprettet deretter nye brukere som liknet på eksisterende brukere. Så aktiverte de løsepengeviruset mens data ble hentet ut via FTP til APT gruppen.
Referanser
https://www.zdnet.com/article/us-uk-and-austr[...]

2021.11.17 - Nyhetsbrev

Nye sårbarheter funnet i Intel CPUer. Ny androidtrojaner SharkBot brukes til å stjele bank- og kryptovaluta-kontoer

Nye sårbarheter funnet i Intel CPUer

Intel fikser en sårbarhet som uautoriserte personer med fysisk tilgang kan utnytte for å installere skadelig fastvare på brikken. Sårbarheten tillater en angriper å kjøre chipen i utviklermodus, og han kan slik forbigå sikkerhetsmekanismer på chipen, som mekanismer fra Bitlocker og Trusted platform modules (TPM). Angriperen kan hente ut nøkkelen som benyttes til å kryptere data som lagres i TPM. Derfra kan angriperen forbigå kode signering og installere bakdører. Sårbarheten er funnet i Pentium, Celeron, Atom Gemini og Apollo lake plattformene. Sårbarheten har fått CVE-ID CVE-2021-0146.
Referanser
https://arstechnica.com/gadgets/2021/11/intel[...]

Ny androidtrojaner SharkBot brukes til å stjele bank- og kryptovaluta-kontoer

SharkBot er en Android-trojaner som stjeler bankkonto- og kryptovalutakontoinformasjon fra infiserte klienter. Den ble oppdaget sent i oktober i år, og er designet for å utnytte 27 tjenester i programvare fra 22 banker i Italia og Storbritannia og fem amerikanske kryptovalutaapper. Når enheten har blitt infisert har angripere mulighet til å hente ut sensitiv informasjon. Angriperen har også mulighet til å gjennomføre transaksjoner på den infiserte klienten. På lik linje med andre trojanere spør den brukeren om å få høyere privilegier. I motsetning til annen skadevare er den nye teknikken til SharkBot å starte pengeoverføringer via automatiske overføringssystemer, og dermed forbigå totrinnsverifisering.
Referanser
https://thehackernews.com/2021/11/sharkbot-ne[...]

2021.11.16 - Nyhetsbrev

Emotet botnettet er tilbake. Hackergruppen MosesStaff med destruktive angrep mot selskaper i Israel. Ny rowhammer-teknikk omgår tidligere mitigeringer.

Emotet botnettet er tilbake

I januar 2021 ble botnettet Emotet tatt ned etter en større aksjon utført av mynidgheter og politi fra flere land. Siden den gang har det stort sett ikke vært aktivitet, før mandag denne uken. Botnettet er på vei opp igjen ved hjelp av et annet botnett, kalt Trickbot, som har installert Emotet-malware på infiserte maskiner. Kommunikasjon mellom infiserte maskiner og sentrale servere (C&C) foregår nå via krypterte HTTPS-forbindelser, i motsetning til ukryptert HTTP tidligere. Når Emotet er oppe igjen, vil det sannsynligvis brukes til å sende ut større mengder spam-eposter.
Referanser
https://isc.sans.edu/diary/Emotet+Returns/28044 https://therecord.media/emotet-botnet-returns[...]

Hackergruppen MosesStaff retter seg mot selskaper i Israel

MosesStaff utfører målrettede angrep mot israelske selskaper, lekker dataene deres og krypterer nettverkene deres. Det er ingen krav om løsepenger og ingen dekrypteringsalternativ; deres motiver er rent politiske. Innledende tilgang til ofrenes nettverk oppnås antagelig gjennom å utnytte kjente sårbarheter i offentlig infrastruktur som Microsoft Exchange-servere. MosesStaff bruker DiskCryptor til å utføre volumkryptering og låse ofrenes datamaskiner med en bootloader som ikke lar maskinene starte opp uten riktig passord.
Referanser
https://research.checkpoint.com/2021/mosessta[...]

Ny rowhammer-teknikk omgår tidligere mitigeringer

Rowhammer-angrep gjennomføres ved å svært hurtig skifte informasjon i DDR-minne for å fremprovosere en bit-flip i nærliggende minneceller på en minnebrikke. De nye teknikkene benytter flere rader med minne med forskjellige bit-mønstre. Teknikken kan brukes for å oppnå utvidet lokal tilgang til en maskin. Det beste forsvaret mot denne typen angrep er å bruke minne med feilretting, ECC.
Referanser
https://arstechnica.com/gadgets/2021/11/ddr4-[...]

2021.11.15 - Nyhetsbrev

AMD og Intel rapporterer om alvorlige svakheter i deres produkter.

AMD og Intel rapporterer om alvorlige svakheter i deres produkter

AMD rapporterer 50 nye sårbarheter, hvor 23 av dem er klassifisert som alvorlige. Feilene finnes i grafikkdrivere og i tre generasjoner av Epyc-prosessorer. Intel har også rapportert sårbarheter, hele 25 stykk. Disse er fordelt på WiFi-produkter, harddisker og prosessorer. AMD har skrevet en bulletin for svakhetene i grafikkortdrivere for Windows.
Anbefaling
Oppdater firmware.
Referanser
https://www.theregister.com/2021/11/12/amd_an[...] https://www.amd.com/en/corporate/product-secu[...]

2021.11.12 - Nyhetsbrev

Bruken av HTML-smugling for å unngå deteksjon øker. Målrettet kampanje utnyttet nulldagssårbarhet i Apple-produkter.

Bruken av HTML-smugling for å unngå deteksjon øker

HTML-smugling er en teknikk som kan forbigå automatisk deteksjon av skadelig kode ed hjelp av funksjoner i HTML5 og JavaScript. En angriper sender først en epost med en nettside vedlagt, eller en link til en ondsinnet nettside. Når nettsiden åpnes lokalt, lastes javascript-kode automatisk ned og bygges opp til en ondsinnet kjørbar fil på klienten. Microsoft skriver i et blogginnlegg at denne måten for å automatisk laste ned ondsinnet kode er sett mye i målrettede angrep i banksektoren.
Referanser
https://www.microsoft.com/security/blog/2021/[...]

Målrettet kampanje utnyttet nulldagssårbarhet i Apple-produkter

Googles trusselanalysegruppe (TAG) beskriver en kampanje oppdaget i august i år, som rettet seg mot besøkende av flere pro-demokrati nettsider i Hong-Kong. Nettsidene hadde blitt kompromittert og inneholdt to iframes med kode styrt av trusselaktørene; én som rettet seg mot enheter med iOS og én mot MacOS. Dersom angrepskjeden var vellykket, ville enheten til slutt få installert skadevare som kunne overvåke enhetens tastetrykk, ta opp lyd samt laste opp og ned filer til angripernes servere. TAG skriver at det sannsynligvis står en statlig aktør bak kampanjen. Blogginnlegget har også en liste med IOCer. Sårbarhetene som ble utnyttet er patchet av Apple.
Anbefaling
Installer sikkerhetsoppdateringer.
Referanser
https://blog.google/threat-analysis-group/ana[...]

2021.11.11 - Nyhetsbrev

Kritisk sårbarhet i Palo Alto sikkerhets-produkter (PAN-OS v8.1). Kritisk Citrix DDoS-feil slår av nettverket, tilgang til skyapper. Det kan være skjulte bakdører i JavaScript-koden din.

Kritisk sårbarhet i Palo Alto sikkerhets-produkter (PAN-OS v8.1)

Sikkerhetsfirmaet Randori melder om en kritisk svakhet i PAN-OS versjon 8.1 som rammer rundt 10.000 VPN/brannmur-enheter. Svakheten gjør det mulig å ta full kontroll over en sårbar enhet over nettet. Med kontroll over brannmuren blir det også enkelt å flytte seg vider innover i nettet for en potensiell angriper. Randori oppdaget svakheten for ett år siden, utviklet utnyttelseskode og har siden brukt svakheten i sikkerhetstesting mot sine kunder. Vi anbefaler å patche ASAP!
Referanser
https://threatpost.com/massive-zero-day-hole-[...] https://security.paloaltonetworks.com/CVE-202[...] https://www.randori.com/blog/cve-2021-3064/

Kritisk Citrix DDoS-feil slår av nettverket, tilgang til skyapper

En kritisk sikkerhetsfeil i Citrix Application Delivery Controller (ADC) og Citrix Gateway kan tillate nettangripere å krasje hele bedriftsnettverk basert på produktene uten å måtte autentisere. Tjenestene brukes til applikasjonsbevisst trafikkstyring og sikker fjerntilgang. Det ble sendt ut en sikkerhetsoppdatering på tirsdag for sårbarheten, sporet som CVE-2021-22955, som tillater DoS på grunn av ukontrollert ressursbruk. Den andre sikkerhetsoppdateringen fikser en feil som kunne forstyrre administrasjonsgrensesnittet Nitro API sporet som CVE-2021-22956.
Referanser
https://threatpost.com/critical-citrix-bug-et[...]

Det kan være skjulte bakdører i JavaScript-koden din

Tidligere denne måneden avslørte forskere fra University of Cambridge et smart angrep kalt Trojan Source for å injisere sårbarheter i kildekoden, på en måte som gjør at den skadelige koden ikke lett kan oppdages av mennesker som kontrollerer koden. Metoden fungerer med noen av de mest brukte programmeringsspråkene i dag, og motstandere kan bruke den til forsyningskjedeangrep. Denne uken har en forsker avslørt hvordan visse tegn kan injiseres i JavaScript-kode for å introdusere usynlige bakdører og sikkerhetssårbarheter.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.11.10 - Nyhetsbrev

Microsoft patchetirsdag fikser seks kritiske svakheter. To av disse utnyttes allerede aktivt i angrep.

Microsoft patchetirsdag fikser seks kritiske svakheter

Microsoft slipper sikkerhetsoppdateringer for 55 svakheter, hvorav seks er kritiske. To av svakhetene utnyttes allerede i aktive angrep. En av de kritiske oppdateringene som utnyttes aktivt er CVE-2021-42321, som muliggjør fjernkjøring av kode i Microsoft Exchange Server. Den andre svakheten gjør det mulig å omgå sikkerhetsfunksjoner i Excel og har blitt tildelt CVE-2021-42292. Det er også en svakhet i Remote Desktop som gjør at en server kan kompromittere en sårbar klient som kobler seg til serveren (CVE-2021-38666).
Referanser
https://msrc.microsoft.com/update-guide/ https://isc.sans.edu/diary/Microsoft+November[...] https://krebsonsecurity.com/2021/11/microsoft[...]

2021.11.09 - Nyhetsbrev

Flere personer tilknyttet Sodinokibi/REvil arrestert. USA sanksjonerer kryptobørsen Chatex for tilknytning til løsepengevirus.

Flere personer tilknyttet Sodinokibi/REvil arrestert

Rumensk politi har arrestert to personer som er mistenkt å ha vært tilknyttet løsepengevirus-banden Sodinokibi/REvil. De skal ha stått bak over 5000 infiseringer med ransomware og har fått inn minst en halv million Euro i løsepenger. Også fem andre personer tilknyttet Revil og CandCrab er arrestert i løpet av året. Disse personene jobbet som affiliates/partnere til løsepengevirus-gruppene. Det vil si at de tok ansvaret for å bryte seg inn hos ofre og installere malware på ofrenes maskiner.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.justice.gov/opa/pr/ukrainian-arre[...]

USA sanksjonerer kryptobørsen Chatex for tilknytning til løsepengevirus

USA innfører sanksjoner mot Chatex grunnet at de har hjulpet løsepengevirus-grupper med å unngå sanksjoner og med tilrettelegging for løsepengetransaksjoner. Ved å sanksjonerer Chatex, ønsker regjeringen i USA å ta ned en viktig kanal som er brukt av løsepengevirus-grupper til å innhente utbetalinger fra ofre. Dette er andre gangen en kryptobørs blir sanksjonert av USA. Den første var den Russland-tilknyttede børsen Suex i september.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2021.11.08 - Nyhetsbrev

61 nulldagssårbarheter avdekket i årets Pwn2Own. Ungarske myndigheter innrømmer kjøp og bruk av NSO Group sitt Pegasus spionvareverktøy.

61 nulldagssårbarheter avdekket i årets Pwn2Own

Den årlige hacke-konkurransen som arrangeres av Zero Day Initiative er over. I løpet av fire dager med hacking ble det totalt avdekket 61 nulldagssårbarheter som resulterte i en total premieutbetaling på 1,081,250 amerikanske dollar, som tilsvarer 9,259,500 norske kroner i dagens kurs. Blant enheter som ble hacket var mobiltelefoner, NAS-enheter, printere, routere og smart-høyttalere.
Referanser
http://securityaffairs.co/wordpress/124254/ha[...]

Ungarske myndigheter innrømmer kjøp og bruk av NSO Group sitt Pegasus spionvareverktøy

Lajos Kosa, en offisiell person i det ungarske parlamentets forsvars- og rettshåndhevelseskomité, bekrefter at Ungaren er kunde av det israelske overvåkningsselskapet NSO Group og at de har kjøpt og bruker det omtalte spoionverktøyet Pegasus. I følge Kosa er bruken av spionverktøyet godkjent av en dommer eller Justisministeren. Like etter Kosa kom med denne informasjonen har det ungarske innenriksdepartementet gått ut og sagt at de ikke stiller seg bak denne avsløringen og at de ikke driver med ulovlig overvåking.
Referanser
https://securityaffairs.co/wordpress/124310/i[...]

2021.11.05 - Nyhetsbrev

Ukraina avslører identiteten til medlemmer av grupperingen Gamaredon. USA beordrer sivile etater til å fjerne hundrevis av sårbarheter under angrep. Cisco slipper sikkerhetsoppdateringer for flere produkter.

Cisco slipper sikkerhetsoppdateringer for flere produkter

Flere av oppdateringene har blitt klassifisert som kritiske. En av svakhetene i Cisco Policy Suite gjør det mulig for hvem som helst å logge seg inn på en enhet, grunnet et innebygget statisk passord eller statiske SSH-nøkler.
Referanser
https://us-cert.cisa.gov/ncas/current-activit[...] https://www.bleepingcomputer.com/news/securit[...]

Ukraina avslører identiteten til medlemmer av grupperingen Gamaredon

De ukrainske sikkerhetstjenestene (SSU) har avslørt identiteten til fem av medlemmene av cyber-spionasje gruppen Gamaredon. Alle medlemmene har tilknytning til russiske FSB. SSU har også offentliggjort telefonsamtaler mellom medlemmer av gruppen. Gamaredon har vært aktive siden 2013 og skal ha utført mer enn 5000 cyber-angrep mot Ukraina, for det meste statlige mål.
Referanser
https://therecord.media/ukraine-discloses-ide[...]

USA beordrer sivile etater til å fjerne hundrevis av sårbarheter under angrep

Amerikanske Cybersecurity and Infrastructure Security Agency (CISA), som har et ansvar for å gjøre den amerikanske infrastrukturen sikrere og mer motstandsdyktig, kom onsdag med et bindende direktiv som beordrer sivile, føderale etater i USA til å fjerne et stort utvalg av digitale sårbarheter som faktisk blir utnyttet i angrep. Dette må de gjøre innen en viss tidsfrist.
Referanser
https://www.digi.no/artikler/usa-beordrer-siv[...] https://www.cisa.gov/news/2021/11/03/cisa-rel[...]

2021.11.04 - Nyhetsbrev

USA sanksjonerer fire selskaper som selger hacker-verktøy for overvåking, inkludert NSO-Group og Candiru.

USA sanksjonerer fire selskaper som selger hacker-verktøy, inkludert NSO-Group og Candiru

Den amerikanske regjeringen har bestemt seg for å sanksjonere NSO Group, Candiru, Positive Technologies og Computer Security Initiative Consultancy på grunnlag at de selger og utvikler spionvare og andre hacker-verktøy. Det er kjent at flere av firmaene har solgt avanserte verktøy, som Pegasus, til myndigheter over hele verden. Disse har siden brukt dem til å overvåke journalister, politikere, regimekritikere osv.
Referanser
https://therecord.media/us-sanctions-four-com[...] https://www.commerce.gov/news/press-releases/[...]

2021.11.03 - Nyhetsbrev

Google advarer om Android-sårbarhet som trolig utnyttes i angrep. Destruktivt cyberangrep mot National Bank of Pakistan. Gruppen bak løsepengeviruset BlackMatter stanser aktiviteten etter press fra de lokale myndighetene. Google har sluppet sikkerhetsoppdateringer som fikser nulldags-sårbarhet.

Google advarer om Android-sårbarhet som trolig utnyttes i angrep

Det er oppdaget et sikkerhetshull hvor en angriper som har tilgang til telefonen via en installert app har muligheten til å øke privilegiene til appen. Google har sluppet en sikkerhetsoppdatering mot dette for Pixel enheter men det har enda ikke kommer en oppdatering for dette for andre Android-enheter.
Referanser
https://www.digi.no/artikler/google-advarer-o[...]

Destruktivt cyberangrep mot National Bank of Pakistan

Natt til lørdag ble den nasjonale banken i Pakistan truffet av et skadevare-angrep med skadevare som sletter data. Angrepet rammet bankens backend systemer og servere som koblet sammen avdelinger. Som følger av dette var bankens minibanker og mobilbank ute av drift i en periode.
Referanser
https://therecord.media/destructive-cyberatta[...]

Gruppen bak løsepengeviruset BlackMatter stanser aktiviteten etter press fra de lokale myndighetene.

Den kriminelle gruppen bak løsepengeviruset BlackMatter har annonsert planer om å stoppe sine operasjoner på grunn av press fra de lokale myndighetene. BlackMatter er en løsepengevirus-tjeneste hvor andre kriminelle grupper kan registrere seg for å få tilgang til deler av viruset.
Referanser
https://therecord.media/blackmatter-ransomwar[...] https://www.bleepingcomputer.com/news/securit[...]

Google har sluppet sikkerhetsoppdateringer som fikser nulldags-sårbarhet.

Oppdateringen fikser 39 sårbarheter der en av de muligens har vært under aktiv utnyttelse. Nulldags-sårbarheten gjorde det mulig for en angriper å forhøye sine privilegier. Sårbarheten er kjent under CVE-2021-1048, og utnyttes grunnet en use-after-free UAF svakhet. Android TVen hadde sårbaheten listet under CVE-2021-0889 som tillot en angriper å koble seg til TVen og eksekvere vilkårlig kode. Det er også to kritiske CVEer som tillater fjerneksekvering under CVE-2021-0918 og CVE-2021-0930. En av disse sårbarhetene gir en angriper mulighet til å eksekvere kode som en priviligert prosess, men det enda er uvisst hvilken av sårbarhetene dette gjelder.
Referanser
https://blog.malwarebytes.com/exploits-and-vu[...]

2021.11.02 - Nyhetsbrev

Nytt bot-nett er oppdaget av sikkerhetsforskere

Nytt bot-nett er oppdaget av sikkerhetsforskere

Sikkerhetsforskere fra Qihoo 360s Netlab Cybersecurity har oppdaget et nytt bot-nett som har fått navnet Pink Botnet. Det skal bestå av omtrent 1.6 millioner enheter, hvor flesteparten av dem er lokalisert i Kina. Sikkerhetsforskerne ser at bot-nettet blir hovedsakelig brukt til å utføre DDoS-angrep samt for å snike inn annonser inn i HTTP-trafikken til ofrene sine.
Referanser
https://securityaffairs.co/wordpress/124027/m[...]

2021.11.01 - Nyhetsbrev

Ny AbstractEmu malware rooter Android-enheter. Mozilla advarer: Flere hundre tusen Firefox-brukere har installert ondsinnede nettlesertillegg. BlackMatter: Nytt dataeksfiltreringsverktøy som blir brukt i angrep. Nødoppdatering av Google Chrome fikser null-dagers brukt i angrep.

Ny AbstractEmu malware rooter Android-enheter

AbstractEmu kan roote infiserte enheter for å ta fullstendig kontroll og stille inn systeminnstillinger. De skadelige appene ble fjernet fra Google Play Store etter at Lookout Threat Labs rapporterte oppdagelsen deres. Imidlertid distribuerer de andre appbutikkene dem sannsynligvis fortsatt. Lite Launcher, en av flere apper som brukes til å levere AbstractEmu malware hadde over 10 000 nedlastinger da det ble fjernet fra Google Play. Når den er installert, vil AbstractEmu begynne å høste og sende systeminformasjon til sin kommando-og-kontroll-server (C2) mens skadelig programvare venter på ytterligere kommandoer.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Mozilla advarer: Flere hundre tusen Firefox-brukere har installert ondsinnede nettlesertillegg

Mozilla advarer om ondsinnede Firefox-tilegg som har misbrukt Proxy-API-en, de forhindrer da sikkerhetsoppdateringer, tilgang til oppdatert blokkeringslister og oppdatertert fjernkonfigurerert innhold. Det har kommet på plass en oppdatering som gjør en direkte kobling hver gang Firefox gjør en viktig forespørsel, som eks en oppdatering.
Referanser
https://www.digi.no/artikler/mozilla-advarer-[...]

BlackMatter: Nytt dataeksfiltreringsverktøy som blir brukt i angrep

Det er utviklet et nytt spesial tilpasset løsepengevirus verktøy, dette tyder på at angripere prøver å øke hastigheten på angrepene dems. Verktøyet har fått navn Exmatter som er designet til å stjele filer som er lokalisert i spesielle direktorater, også laste dem opp til angriperens sin server før løsepengeviruset inntreffer nettverket. Dette er det tredje gangen som det er utviklet et spesial tilpasset dataeksfiltreringsverktøy av løsepengevirus operatører.
Referanser
https://symantec-enterprise-blogs.security.co[...]

Nødoppdatering av Google Chrome fikser null-dagers brukt i angrep

Google har gitt ut Chrome 95.0.4638.69 for Windows, Mac og Linux for å fikse to nulldagssårbarheter som angripere aktivt har utnyttet. Google opplyser at oppdateringen har allerede begynt å rulle ut, men kan ta tid for å nå alle. Denne Chrome-utgivelsen fikser totalt syv sårbarheter, hvorav to er null-dager som er kjent for å ha blitt utnyttet (CVE-2021-38000 & CVE-2021-38003). Med disse rettelsene har Google rettet 15 Chrome zero-day-sårbarheter siden begynnelsen av 2021.
Referanser
https://www.bleepingcomputer.com/news/google/[...]