Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday 23 December 2022

2022.12.23 - Nyhetsbrev

LastPass sitt passord-hvelv kopiert ut av hackere. Hackere krever løsepenger av norsk entreprenørselskap etter ransomware-angrep.

LastPass sitt passord-hvelv kopiert ut av hackere

Passordlagringstjenesten LastPass har i det siste vært rammet av to datainnbrudd. De opplyser nå at inntrengerne har kopiert ut data om kundene.

Av ukrypterte data er både epost-adresser og hvilke tjenester kundene har lagret passord til. Dette kan brukes til å lage personlig utformede phishing-angrep for å lure fra brukerne passordene sine.

Brukernes passord er heldigvis kryptert med den enkelte brukers "hovedpassord". Dersom dette passord er unikt og langt (minst 12 tegn), skal risikoen for at dataene kan dekrypteres være liten. Vi vil uansett anbefale å bytte passord på ekstra viktige tjenester som epost-konto, Apple ID, Google, BankID osv. Bytt også hoved-passord dersom dette ikke er unikt, eller ikke har tilstrekkelig antall tegn.
Referanser
https://www.tek.no/nyheter/nyhet/i/EQJxQj/las[...]
https://blog.lastpass.com/2022/12/notice-of-r[...]

Hackere krever løsepenger av norsk entreprenørselskap etter ransomware-angrep

Stangeland Maskin har nylig vært utsatt for et ransoware-angrep. Hackere krever millioner av kroner i løsepenger, ifølge Aftenbladet. Leverandører av selskapet har blitt varslet og det har så langt ikke gått ut over anleggsarbeidet. Selskapet har hyret inn eksperter på datasikkerhet for å få kontroll på situasjonen. Politiet er også informert.
Referanser
https://www.nrk.no/rogaland/hackere-krever-lo[...]

Wednesday 21 December 2022

2022.12.21 - Nyhetsbrev

Russisk-støttede hackere angrep stort oljeraffineri i et NATO-land. Kildekoden til Okta kompromittert gjennom hacket GitHub-bruker. Ny exploit forbigår ProxyNotShell-mitigeringer.

Russisk-støttede hackere angrep stort oljeraffineri i et NATO-land

I slutten av august i år gjennomførte en av de større russisk-støttede hacker-gruppene (Gamaredon/Primitive Bear/Shuckworm) et målrettet angrep mot et stort olje-raffineri i en NATO-nasjon. Angrepet var ikke vellykket, men tyder på en større russisk aggresjon når det gjelder informasjonsinnhenting mot den globale energi-sektoren. Palo Altos Unit 42 trusselforskere har brukt de siste 10 månedene på å samle og kartlegge hacker-gruppens forsøk, og poengterer at de fleste angreps-forsøkene blir gjennomført via e-poster som sikter seg inn mot spesifikke brukere.
Referanser
https://arstechnica.com/information-technolog[...]
https://unit42.paloaltonetworks.com/trident-ursa/

Kildekoden til Okta kompromittert gjennom hacket GitHub-bruker

Tidligere denne måneden fikk ondsinnede aktører tilgang til Oktas Github-konto. Dette medførte at aktøren kopierte kildekode relatert til Okta Workforce Identity Cloud (WIC), men skal ikke ha påvirket deres Auth0 (Customer Identity Cloud)-tjeneste.

Okta meddeler at angriperen ikke hadde tilgang til kundedata eller Oktas tjenester og at de har kontaktet relevante myndigheter. De er heller ikke avhengig av at kildekoden skal være konfidensiell for å beskytte sine tjenester. Det dermed ikke er nødvendig for kunder å foreta seg noe.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Ny exploit forbigår ProxyNotShell-mitigeringer

CrowdStrike har nylig funnet ny sårbarhet som gjør det mulig for angripere å fjern-eksekvere kode via Outlook Web Access (OWA). De har også delt eksempelkode (PoC) for sårbarheten, samt sammenlignet den med tidligere lignende sårbarheter. Sårbarheten har fått navnet OWASSRF og har blitt aktivt utnyttet i løsepengeangrep for initiell tilgang til systemer. Under disse angrepene har man sett at aktøren vanligvis beholder tilgang til systemet ved hjelp av legitime AnyDesk- og Plink-installasjoner.

Sårbarhetene går under CVE-2022-41080 og CVE-2022-41082. Disse ble patchet 8. november av Microsoft. Ikke all gamle versjoner av Exchange kan oppgraderes. OWA-funksjonen bør slås av på disse installasjonene inntil de er oppgradert.
Referanser
https://www.crowdstrike.com/blog/owassrf-expl[...]

Tuesday 20 December 2022

2022.12.20 - Nyhetsbrev

Microsoft fant svakhet i OS X som lot malware unngå lokal sikkerhetssjekk.

Microsoft fant svakhet i OS X som lot malware unngå lokal sikkerhetssjekk

Microsoft har funnet en svakhet i macOS som lot angripere unngå sikkerhets-sjekker utført av det innebygde macOS-verktøyet Gatekeeper. Svakheten gjorde det mulig å lure potensielle ofre til å laste ned usignert malware fra nettet og få dette kjørt uten at Gatekeeper reagerte. Svakheten ble fikset i oktober. Microsoft har skrevet en lengre blogg-post om hvordan Gatekeeper fungerer og hvordan svakheten ble utnyttet.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://www.microsoft.com/en-us/security/blog[...]

Monday 19 December 2022

2022.12.19 - Nyhetsbrev

Samba utgir sikkerhetsoppdateringer som fikser fire kritiske sårbarheter. Rec Silicon rammet av hackerangrep.

Samba utgir sikkerhetsoppdateringer som fikser fire kritiske sårbarheter

Samba implementerer Windows fildeling og utskrifter for Linux og MacOS. Blant de fire sårbarhetene ble to omtalt i Microsoft sin patche-tirsdag i november. Sårbarhetene gjorde det mulig for en angriper å tilegne seg administratorrettigheter.

De fire sårbarhetene går under CVE-2022-38023, CVE-2022-37966, CVE-2022-37967 og CVE-2022-45141.
Referanser
https://thehackernews.com/2022/12/samba-issue[...]

Rec Silicon rammet av hackerangrep

Rec Silicon melder at de er blitt rammet av et løsepengevirus, som satte selskapets servere ute av drift en periode. Alle systemene er nå oppe igjen, men angriperne klarte dessverre å kopiere ut data fra bedriften før de ble stoppet. Disse stjålne dataene skal delvis ha blitt lagt ut offentlig.
Referanser
https://www.digi.no/artikler/rec-silicon-ramm[...]
https://newsweb.oslobors.no/message/578514

Friday 16 December 2022

2022.12.16 - Nyhetsbrev

Facebook: Firmaer som gjør datainnbrudd og overvåking mot betaling øker globalt. Justisdepartementet i USA har tatt ned DDoS-tjenester.

Facebook: Firmaer som gjør datainnbrudd og overvåking mot betaling øker globalt

Facebook har gitt ut en ny rapport der de ser på påvirkningsoperasjoner og hacking som har foregått delvis ved bruk av deres plattform. Firmaer som selger tjenester for datainnbrudd og overvåking er i stadig vekst. Ofte er det journalister, aktivister og regimekritikere som er målene. Firmaene bruker gjerne Facebook til å levere linker til phishing eller overvåkingsprogramvare til ofrene.

Rapporten tar spesielt for seg aktivitetene til det indiske firmaet CyberRoot. Firmaet har hatt mål over hele verden tilhørende flere sektorer. Alle kontoer tilhørende firmaet, samt alle kjente domener, er nå sperret fra Facebooks tjenester.
Referanser
https://therecord.media/spyware-and-surveilla[...]

Justisdepartementet i USA har tatt ned DDoS-tjenester

Det amerikanske justisdepartementet melder at de har arrestert seks personer for å ha drevet flere nettsteder som har tilbydd DDoS-angrep mot betaling. FBI har også beslaglagt 48 Internet-domener der tjenestene har blitt solgt.

Denne typen tjenester ("booter"-tjenester) brukes ofte av utpressere. De velger seg ut ofre, utfører DDoS-angrep mot dem og forlanger løsepenger for å avslutte angrepene.
Referanser
https://www.justice.gov/usao-cdca/pr/federal-[...]

Thursday 15 December 2022

2022.12.15 - Nyhetsbrev

Qakbot sniker seg inn via HTML-vedlegg som oppretter .ZIP-filer.

Qakbot sniker seg inn via HTML-vedlegg som oppretter .ZIP-filer

Skadevaren Quakbot blir nå spredt gjennom HTML-vedlegg i eposter. Når offeret åpner vedlegget, dekoder browseren en SVG-fil (vektor-grafikk objekt) som brukes til å bygge opp en .zip-fil lokalt på maskinen. Etter at ZIP-filer er bygget opp, blir brukeren bedt om å lagre filen. Dersom brukeren så blir lurt til å åpne filen, vil en .ISO-fil bli pakket ut. Dersom denne åpnes vil Quakbot bli installert. Quakbot vil deretter sanke inn informasjon fra den rammede maskinen og installere mer malware, som f.eks. ransomware eller bakdører.
Referanser
https://thehackernews.com/2022/12/hacking-usi[...]
https://blog.talosintelligence.com/html-smugg[...]

Wednesday 14 December 2022

2022.12.14 - Nyhetsbrev

Både Microsoft, Citrix og Apple har gitt ut oppdateringer mot svakheter som allerede utnyttes i aktive angrep. VMWare og Mozilla oppdaterer også flere produkter. Drivere signert av Microsoft brukt i ransomware-angrep. Sikkerhetsfloke i Amazon ECR (Elastic Container Registry).

Drivere signert av Microsoft brukt i ransomware-angrep

Hardware-utviklere har tilgang til å signere driverne sine gjennom en Microsoft-tjeneste kalt Microsoft Windows Hardware Developer Program. Microsoft har nå slette en rekke av disse kontoene, etter at de har blitt brukt til å signere malware som senere ble brukt i ransomware-angrep.
Referanser
https://www.bleepingcomputer.com/news/microso[...]
https://www.mandiant.com/resources/blog/hunti[...]

Sikkerhetsfloke i Amazon ECR (Elastic Container Registry)

Amazon ECR (Elastic Container Registry) Public Gallery, som tilbyr ferdiglagede container-varianter i AWS, tillot trussel aktører å redigere, modifisere eller slette eksisterende container-filer tilhørende andre AWS-brukere. Amazon ECR er et offentlige arkiv for container-filer for Nginx, EKS Distro, Amazon Linux osv. En sikkerhetsanalytiker i selskapet Lighspin oppdaget sårbarheten og informerte AWS 15. november. Det tok mindre enn 24 timer før AWS kom ut med en oppdatering som fikset problemet.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Microsoft fikser 74 sårbarheter, én utnyttes allerede

Microsoft publiserte på tirsdag fikser for 74 sårbarheter. Syv av dem er definert som kritiske. Én svakhet i Windows SmartScreen utnyttes allerede i aktive angrep for å omgå ekstra beskyttelse mot filer nedlastet fra nettet (Mark og the Web).

En av de andre kritiske svakhetene muliggjør ekstern kjøring av kode (RCE) fra .Net rammeverket (CVE-2022-41089, CVSS 8.8). Det var også to mindre kritiske sårbarheter som kan utnyttes fra eksternt ståsted (RCE) som påvirket Microsoft SharePoint Server og Powershell.
Referanser
https://isc.sans.edu/diary/Microsoft+December[...]
https://msrc.microsoft.com/update-guide/en-US[...]

Apple oppdaterer iOS og MacOS, én svakhet utnyttes allerede

Apple har sluppet oppdateringer for iOS/iPadOS, MacOS, TVOS og WatchOS som fikser 39 sårbarheter. Denne oppdateringen gjør det også mulig å slå på krypterte backups i iCloud.

Apple ga også ut en en oppdatering for iOS (versjon 16.1.2) for to uker siden som fikset en sårbarhet i WebKit som lar en angriper eksekvere kode. Hva som ble patchet i denne oppdateringen ble først kjent i går. Google sin trussel-analyse gruppe nevner at WebKit sårbarheter ofte er assosiert med at personen besøker en ondsinnet nettside. WebKit sårbarheten kombineres ofte sammen med andre sårbarheter for å bryte gjennom flere sikkerhetslag på telefonen.
Referanser
https://isc.sans.edu/diary/Apple+Updates+Ever[...]
https://support.apple.com/en-us/HT213530
https://techcrunch.com/2022/12/13/apple-zero-[...]

Mozilla utgir sikkerhets oppdateringer for Thunderbird og Firefox

Mozilla har utgitt nye sikkerhets-oppdateringer for å motvirke sårbarheter i Thunderbird, Firefox ESR og Firefox. CISA anbefaler brukere til å lese over oppdateringene og patche der nødvendig. Denne gangen er det ingen svakheter kategorisert som kritiske, men flere med høy viktighet.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]

VMware oppdaterer VMware ESXi, Workstation, Fusion og VMware vRealize Network Insight

VMware har utgitt nye sikkerhets-oppdateringer for å utbedre flere sårbarheter i flere av deres produkter. Én av sårbarhetene gjør det mulig å bryte ut av det virtuelle miljøet og kjøre kode på host-systemet. En annen svakhet gjør det mulig å kjøre kode på VMware vRealize Network Insight med nettverkstilgang uten å logge inn.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Sårbarhet i Citrix ADC og Citrix Gateway utnyttes allerede i angrep

Citrix publiserte i går opplysninger om CVE-2022-27518 som tar for seg en sårbarheter i Citrix ADC og Citrix Gateway som kan forårsake uautentisert ekstern kjøring av vilkårlig kode. Svakhetene blir allerede utnyttet i målrettede angrep. Vi anbefaler å patche så fort som mulig og sjekke eksponerte installasjoner for kompromittering.

NSA advarte også i går om at den kinesiske aktøren APT5 utnytter nylige svakheter i Citrix ADC. Se lenke til PDF.
Anbefaling
Oppdater Citrix ADC og Citrix Gateway til den relevante versjonen så fort som mulig
Referanser
https://support.citrix.com/article/CTX474995/[...]
https://www.citrix.com/blogs/2022/12/13/criti[...]
https://media.defense.gov/2022/Dec/13/2003131[...]

Tuesday 13 December 2022

2022.12.13 - Nyhetsbrev

Kritisk sårbarhet i FortiOS SSL-VPN.

Kritisk sårbarhet i FortiOS SSL-VPN

Nasjonalt Cybersikkerhetssenter (NCSC) har sendt ut varsel om en kritisk sårbarhet (CVE-2022-42475) i FortiOS SSL-VPN [1]. Sårbarheten har fått CVSS-score 9.3 og gjør det mulig for en ekstern, uautentisert angriper å kjøre vilkårlig kode på systemet via spesielt utformede forespørsler.

Fortinet er kjent med aktiv utnyttelse av sårbarheten. NCSC anbefaler derfor systemeiere å oppdatere berørte versjoner av FortiOS til nyeste versjon så snart det lar seg gjøre. I tillegg bør man utføre Fortinets anbefalte undersøkelser for å avdekke hvorvidt man kan ha blitt utsatt for utnyttelse.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://www.fortiguard.com/psirt/FG-IR-22-398

Monday 12 December 2022

2022.12.12 - Nyhetsbrev

Flere SektorCERTer i Norge advarer mot spredning av ormen Raspberry Robin via USB-enheter.

Det advares mot spredning av USB-ormen Raspberry Robin i Norge

Flere norske SektorCERT-organisasjoner advarer mot spredning av ormen Raspberry Robin via USB-enheter i Norge. Vi har hatt flere saker om ormen, blant annet en oppdatering fra Microsoft i slutten av oktober som vi inkluderer på nytt i denne saken. Ormen har flere måter å spre seg på. Etter at den får tilgang på innsiden av et nettverk, blir tilgangen typisk videresolgt til bruk for industri-spionasje, ransomware osv.

Etter at brukeren setter inn USB lagringsenheten i en PC, blir vedkommende lurt til å trykke på en .LNK-fil. Windows Installer blir deretter brukt til å hente ned en .DLL-fil med skadevare som så infiserer PCen.

HelseCERT anbefaler følgende tiltak:

- Begrensnig av hvilke minnepinner som kan benyttes ved hjelp av Group Policy
- Blokkere tilgang til nylig opprettede domener. Dette kan for eksempel gjøres i en del brannmurer av nyere type.
- Vurdere å innføre applikasjonshvitelisting på DLL-filer ved hjelp av AppLocker.
- Vurder overvåking av nettverkstrafikk generert av Windows Installer/msiexec.
Referanser
https://www.microsoft.com/en-us/security/blog[...]
https://redcanary.com/blog/raspberry-robin/

Friday 9 December 2022

2022.12.09 - Nyhetsbrev

Automatiserte dark-web markedsplasser selger bedrifters epost-kontoer for $2. Ransomware-grupper finner stadig på nye utpressingsmetoder mot ofre.

Automatiserte dark-web markedsplasser selger bedrifters epost-kontoer

Bedrifters stjålne e-post-kontoer blir solgt på markedsplasser for cyberkriminelle for så lite som 2 USD. Det israelske cyber-etterretningsselskapet KELA rapporterer at minst 225.000 e-post-kontoer er til salgs på slike markedsplasser.

Disse kontoene blir som regel stjålet ved hjelp av cracking (av stjålne passord-filer), gjetting av passord mot eksponerte tjenester (credential stuffing) og phishing. De som kjøper disse kontoene bruker de gjerne til å utføre angrep som business email compromise (BEC), sosial manipulering målrettede phishing-angrep og som en inngangsport til dypere nettverksinfiltrering.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Ransomware grupper finner stadig nye utpressingsmetoder mot ofre

Sikkerhetsfirmaet Hold Security melder at ransomwaregrupper i mange tilfeller har problemer med å få betalt. De benytter seg derfor av nye utpressingsmetoder. Ransomware-gruppen Venus har for eksempel truet med å endre e-poster tilhørende høyt profilerte ledere, for å få det til å se ut som om de planlegger innsidehandel. Gruppen truer videre med å publisere disse e-postene dersom det ikke betales en sum løsepenger.

Videre melder Hold Security om en annen gruppe kalt CLOP, som også har uført ransomware-angrep mot helsesektoren i USA. Denne grupperingen har begynt å sende infiserte filer utformet til å se ut som ultralyd-bilder eller andre medisinske dokumenter. Deretter skaffer de helseforsikring og betalingsbevis for å booke en konsultasjonstime, i håp om at helsepersonell vil gå igjennom de infiserte filene før timen og dermed infisere systemene sine.
Referanser
https://krebsonsecurity.com/2022/12/new-ranso[...]

Thursday 8 December 2022

2022.12.08 - Nyhetsbrev

Apple vil tillate kryptering av iCloud sikkerhetskopier.

Apple vil tillate kryptering av iCloud sikkerhetskopier

Apple har meldt at de nå vil tilby kryptering av Bilder, chat-logger og andre sensitive bruker-data i iCloud. Den nye sikkerhetsfunksjonen vil bli tilgjengelig for software-testere umiddelbart, mens Kunder i USA vil få mulighet i løpet av året. Resterende land vil få tilgang til tjenesten i løpet av neste år.

Det er forventet at det vil komme protester fra myndigheter i forskjellige land sammen med potensielle lovforslag for å stoppe sikkerhetstiltaket. Fram til nå har mange lands myndigheter kunnet få tilgang til ukryptert backup av Apple-enheter ved hjelp av krav om utlevering av data, noe som nå vil bli umulig.
Referanser
https://www.washingtonpost.com/technology/202[...]
https://www.apple.com/newsroom/2022/12/apple-[...]

Wednesday 7 December 2022

2022.12.07 - Nyhetsbrev

Android-oppdatering fikser fire kritiske sårbarheter. Skyleverandøren Rackspace bekrefter at nedetid skyldes ransomware angrep. Palo Alto publiserer en trusselprofil av ransomware-gruppen Vice Society. Oppsummering av nyhetsbildet innen datasikkerhet for november 2022.

Android-oppdatering fikser fire kritiske sårbarheter

Google har sluppet desember-oppdateringen for Android. Fire kritiske sårbarheter blir utbedret, inkludert en sårbarhet som kan utnyttes via Bluetooth uten noen spesielle rettigheter. Totalt er det 81 svakheter som blir utbedret.
Referanser
https://source.android.com/docs/security/bull[...]
https://www.bleepingcomputer.com/news/securit[...]

Oppsummering av nyhetsbildet innen datasikkerhet for november 2022

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for november 2022. Denne måneden er hovedsakene Microsofts "Digital Defense Report" for 2022 og togstansen i Danmark som skyldtes et cyber-angrep.
Referanser
https://telenorsoc.blogspot.com/2022/12/oppsu[...]

Skyleverandøren Rackspace bekrefter at nedetid skyldes ransomware angrep

Rackspace skriver selv at de ble oppmerksomme på mistenkelig aktivitet 2. desember og isolerte deres Hosted Exchange-tjeneste for å unngå spredning av angrepet. De melder videre at de undersøker hendelsen sammen med et sikkerhetsfirma, men at de er i en tidlig fase og ikke kan si noe om hvilken data som kan være påvirket. Kunder som benytter epost-tjenesten til firmaet har fortsatt ikke tilgang til tjenesten. Det er ukjent når tjenesten kommer opp igjen, men kundene kan få kopier av mailboksene sine.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Palo Alto publiserer en trusselprofil av ransomware-gruppen Vice Society

Vice Society er en ransomware-gruppe som har vært involvert i ransomware-angrep særlig mot utdanningssektoren dette året. De skiller seg fra andre grupper som f.eks LockBit ved at de ikke bruker "ransomware som en tjeneste"-modellen (RaaS) men heller bruker avledede versjoner (forks) av allerede eksisterende ransomware-familier, som er solgt på markedsplasser på det mørke nettet.
Referanser
https://unit42.paloaltonetworks.com/vice-soci[...]

Tuesday 6 December 2022

2022.12.06 - Nyhetsbrev

Crowdstrike ser på økonomisk motiverte angrep mot telekom-selskaper. Kinesisk APT bruker Ukraina-krigen som lokkemat for initiell tilgang.

Crowdstrike ser på økonomisk motiverte angrep mot telekom-selskaper

Crowdstrike har sett på en angrepskampanje fra en økonomisk motivert angriper som retter seg mot telekom-selskaper og outsourcing-selskaper. Målet er å få tilgang til abonnements-tjenester og å bytte ut eiere av SIM-kort og dermed få tilgang til bankkontoer. Initiell tilgang oppnås ved hjelp av social engineering. Ofrene blir også lurt til å installere diverse programmer for fjerntilgang.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://www.crowdstrike.com/blog/analysis-of-[...]

Kinesisk APT bruker Ukraina-krigen som lokkemat for initiell tilgang

BlackBerry har gitt ut en rapport om den kinesiske aktøren Mustang Panda. Aktøren har tatt i bruk en fil kalt “Political Guidance for the new EU approach towards Russia.rar” som lokkemat for å oppnå initiell tilgang hos potensielle ofre. I tillegg til et dokument inneholder også filen en PlugX-trojaner for fjerntilgang. Kampanjen har rettet seg både mot private selskaper og offentlige myndigheter i flere land. Rapporten inneholder mer detaljer, inkludert nettverksinfrastrukturen som aktøren bruker og IoCer.
Referanser
https://blogs.blackberry.com/en/2022/12/musta[...]

Monday 5 December 2022

2022.12.05 - Nyhetsbrev

Hasteoppdatering til Google Chrome fikser nulldagssårbarhet. Flere Android-appsigneringsnøkler har blitt lekket - kan bli brukt til å signere skadevare. Ny publisering fra Microsoft: Ukraina og russiske cyberoperasjoner i vinter.

Hasteoppdatering til Google Chrome fikser nulldagssårbarhet

Google slapp Chrome versjon 108.0.5359.94/.95 for Windows, Mac og Linux-brukere. Denne versjonen fikser en nulldagssårbarhet som allerede blir aktivt utnyttet. Sårbarheten er beskrevet i CVE-2022-4262 og er et resultat av en feil i Chrome V8 JavaScript-dekoderen som gjorde det mulig å lese og skrive til egentlig utilgjengelige minneområder. Dette er årets niende nulldagssårbarhet oppdaget i Google Chrome.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://chromereleases.googleblog.com/2022/12[...]

Flere Android-appsigneringsnøkler har blitt lekket - kan bli brukt til å signere skadevare

Google sin Android-sikkerhetsgruppe har publisert at de har oppdaget lekkede Android-appsigneringsnøkler som blir brukt til å signere apper med skadevare. De lekkede nøklene tilhører blant annet Samsung, LG og Mediatek. Lekkasjene har skjedd over flere år. Dersom en holder seg til apper i Google Play skal ikke lekkasjen utgjøre noe fare, da apper som som er signert med dem ikke vil bli godkjent.
Referanser
https://arstechnica.com/gadgets/2022/12/samsu[...]

Ny publisering fra Microsoft: Ukraina og russiske cyberoperasjoner i vinter

I de siste månedene har trusselaktører tilknyttet det russiske militæret utført angrep mot energi, vann og kritisk nettverksinfrastruktur i Ukraina og landene rundt. Microsoft har også overvåket hvordan russiske aktører har påvirket valg og spredd propaganda, de har utifra dette laget en Russian Propaganda Index ved hjelp av deres AI for Good Lab. De meddeler også hvordan de planlegger å mitigere trusler fra aktører med blant annet informasjons-spredning, overvåkning og etterforsking av angrep.
Referanser
https://blogs.microsoft.com/on-the-issues/202[...]

Friday 2 December 2022

2022.12.02 - Nyhetsbrev

ConnectWise har fikset svakhet som hjalp svindlere.

ConnectWise har fikset svakhet som hjalp svindlere

ConnectWise som tilbyr remote desktop programvare har sluppet en oppdatering som fikser en farlig svakhet. Svakheten gjør at en angriper kan ta over remote desktop programvaren bare ved at brukeren trykker på en link.
Referanser
https://krebsonsecurity.com/2022/12/connectwi[...]

Thursday 1 December 2022

2022.12.01 - Nyhetsbrev

Datainnbrudd hos LastPass mer alvorlig enn først antatt. Utnyttelse av 0-dags sårbarheter i nettlesere knytes til IT-firma i Spania.

Datainnbrudd hos LastPass mer alvorlig enn først antatt

I et blogginnlegg på deres egen blogg skriver LastPass at de undersøker en sikkerhetshendelse sammen med blant annet Mandiant og relevante myndigheter. LastPass har oppdaget unormal aktivitet hos en tredjeparts skylagringstjeneste, brukt av dem selv og deres partner GoTo.

Datainnbruddet er antageligvis relatert til en hendelse som tok plass i august, der en inntrenger fikk tilgang til interne data. Disse dataene har blitt brukt til å utføre videre innbrudd.

LastPass forsikrer imidlertid kundene sine om at lagrede passord ikke har kommet på avveie, siden passordene er kryptert med brukernes eget "master passord" som LastPass ikke skal ha tilgang til.
Referanser
https://blog.lastpass.com/2022/11/notice-of-r[...]

Utnyttelse av 0-dags sårbarheter i nettlesere knytes til IT-firma i Spania

Google har i det siste fulgt ekstra godt med på firmaer som lever av å selge komersiell spionprogramvare, som israelske NSO-group. I en ny rapport avslører de detaljer rundt et malware-rammeverk kalt "Heliconia" laget av det spanske firmaet Variston IT.

Rammeverket har utnyttet 0-dags sårbarheter i Chrome, Firefox og Microsoft Defender. Google, Microsoft og Mozialla fikset sårbarhetene i 2021 og tidlig 2022. Etter at sårbarhetene har blitt utnyttet har avanserte spionprogramvare blitt installert på de sårbare enhetene.
Referanser
https://arstechnica.com/information-technolog[...]
https://blog.google/threat-analysis-group/new[...]

Wednesday 30 November 2022

2022.11.30 - Nyhetsbrev

USB-enheter brukes til å angripe mål i Sørøst-Asia. Ny ransomware oppdaget med Ukraina som mål. Ikea undersøker cyberangrep mot butikker i Kuwait og Marokko.

USB-enheter brukes til å angripe mål i Sørøst-Asia

USB-enheter brukes for å få initiell tilgang til angrepsmål av grupperingen UNC4191 i Sørøst-Asia. Tidligere i år har FBI advart om at USB-enheter med malware ble sendt via posten til amerikanske firmaer. Det skal være Kina som står bak operasjonen.

Også i Europa har det vært spredning av ormen "Raspberry Robin" i det siste via USB-enheter. Ofte er det fotobutikker brukt for fremkalling av bilder som fører til at enhetene blir infisert og tar med seg malware videre til bedrifter.
Referanser
https://therecord.media/espionage-group-using[...]
https://www.mandiant.com/resources/blog/china[...]

Ny ransomware oppdaget med Ukraina som mål

Forskere ved ESET har oppdaget en ny bølge med ransomware-angrep som er målrettet mot Ukrainske organisasjoner. Den nye kampanjen bærer likhet med tidligere kampanjer utført av APT-gruppen Sandworm. ESET har kalt den nye programvaren RansomBoggs og den er skrevet i .NET-rammeverket.
Referanser
https://www.welivesecurity.com/2022/11/28/ran[...]

Ikea undersøker cyberangrep mot butikker i Kuwait og Marokko

Ikea undersøker et cyberangrep som rammet butikker i Kuwait og Marokko, sammen med relevante myndigheter og dems cybersikkerhets partnere.

Det har blitt lekket filer, tilsynelatende av Vice Society ransomware gruppen, som tyder på at businessdata, kundedata og ansattdata har kommet på avveie.
Referanser
https://therecord.media/ikea-investigating-cy[...]

Tuesday 29 November 2022

2022.11.29 - Nyhetsbrev

Android App i Google Play Store fanger opp og videresender SMSer.

Android App i Google Play Store fanger opp og videresender SMSer

En sikkerhetsforsker har oppdaget en falsk SMS-applikasjon i Google sin Play Store som har over 100.000 nedlastinger. Appen brukes i forbindelse med generering av falske kontoer til tjenester som Microsoft, Google, Instagram og Facebook. Når en skal opprette nye kontoer på disse tjenestene, må de knyttes opp mot et telefonnummer. Den falske SMS-appen snapper opp verifiserings-meldingene som blir sendt ut ved opprettelse av nye kontoer. Bakmennene selger så de nye kontoene videre, typisk til bruk for spam, svindel osv.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Monday 28 November 2022

2022.11.28 - Nyhetsbrev

Google slipper sikkerhetsoppdateringer for kritisk nulldagssårbarhet i Google Chrome.

Google slipper sikkerhetsoppdateringer for kritisk nulldagssårbarhet i Google Chrome

Google slipper sikkerhetsoppdateringer for Google Chrome som fikser CVE-2022-4135, en kritisk nulldagssårbarhet som tillater en angriper å oppnå heap-overflow ved hjelp av grafikkprosessoren til maskinen. Dette kan resultere i at angriperen får skrevet data i avgrensede områder eller manipulere oppførselen til programmet.

Google anbefaler å oppgradere til følgende versjoner av Chrome: Windows: 107.0.5304.121/122. Mac/Linux: 107.0.5304.122.

Denne sårbarheten er den åttende nulldagssårbarheten som har blitt avduket i Google Chrome hittil i 2022.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Friday 25 November 2022

2022.11.25 - Nyhetsbrev

Nettsted brukt til etterligning av bedrifter (spoofing) beslaglagt av europeiske myndigheter. Interpol har beslaglagt $130 millioner fra cyber-kriminelle etter aksjon.

Nettsted brukt til etterligning av bedrifter (spoofing) beslaglagt av europeiske myndigheter

Nettstedet "ispoof", som har blitt brukt for å selge tjenester relatert til spoofing/forfalskning av bedrifters telefonnummer, har blitt tatt ned av politimyndigheter fra Europa, Australia og USA. Nettstedet skal ha tjent over 3,7 millioner euro i løpet av 16 måneder, samt forårsaket et estimert tap på 115 millioner euro globalt i forbindelse med svindel. 142 personer har blitt arrestert, inkludert administratoren av nettstedet.
Referanser
https://www.europol.europa.eu/media-press/new[...]

Interpol har beslaglagt $130 millioner fra cyber-kriminelle etter aksjon

Interpol kunngjorde på torsdag at de hadde beslaglagt $130 millioner i virtuell valuta etter en global aksjon mot finansiell kriminalitet og hvitvasking av midler. Aksjonen har fått navnet HAECHI-III, har pågått fra juni i år og har ført til arrestasjon av 975 personer. Sakene omfatter blant annet pyramidespill og call-center aktivitet relatert til svindel.
Referanser
https://thehackernews.com/2022/11/interpol-se[...]

Thursday 24 November 2022

2022.11.24 - Nyhetsbrev

Løsepengevirusgruppen Yanluowang har blir utsatt for en lekkasje av interne meldinger som avslører gruppens indre liv.

Løspengevaregruppen Yanluowang har blir utsatt for en lekkasje.

Meldingene i en intern diskusjonskanal som ble brukt av gruppen Yanluowang har blitt lastet opp til en side for lekkede data. Dette har gitt forskere og politi tilgang til å forstå hvordan gruppen er organisert. Gruppen ser ut til å ha russiske medlemer, til tross for det kinesisk-klingende navnet.
Referanser
https://therecord.media/the-yanluowang-ransom[...]

Wednesday 23 November 2022

2022.11.23 - Nyhetsbrev

Microsoft deler detaljer rundt sårbarhet i Boa web server som er brukt i en del IoT/OT-utstyr. Nighthawk er et nytt verktøy for pentesting som kan bli misbrukt i framtiden av trusselaktører.

Microsoft deler detaljer rundt sårbarhet i Boa web server

Microsoft deler detaljer om sårbarheter i Boa web-server. I 2005 ble utvikling av Boa web server avsluttet, men flere IoT/OT-produkter og utviklingsmmiljøer fortsetter å benytte seg av programvaren. Microsoft mener at svakhetene kan bli brukt for å ramme kritisk infrastruktur i framtiden.
Referanser
https://www.microsoft.com/en-us/security/blog[...]

Nighthawk er et nytt verktøy for pentesting som kan bli misbrukt

Proofpoint har skrevet en bloggpost om det nye pentesting-verktøyet Nighthawk. Verktøyet er nytt og har så langt bare blitt brukt til lovlig virksomhet, som red team-testing. Historien viser imidlertid at piratkopierte versjoner av denne typen verktøy fort kan komme i hendene på trusselaktører. Verktøyet benytter seg av avanserte teknikker for å unngå deteksjon.
Referanser
https://www.proofpoint.com/us/blog/threat-ins[...]

Tuesday 22 November 2022

2022.11.22 - Nyhetsbrev

Angripere omgår 2-faktor autentisering ved hjelp av fjerninnlogging. Sårbarhet funnet i en rekke porttelefoner i Norge. Politiet etterforsker fortsatt hackerangrepet mot Nortura.

Angripere omgår 2-faktor autentisering ved hjelp av fjerninnlogging

En ny phishing-kampanje som prøver å få tilgang til kunders kontoer hos diverse kryptobørser har blitt avslørt. Denne typen tjenester krever ofte 2-faktor innlogging for økt sikkerhet. Angriperne prøver først å stjele brukernavn, passord og 2FA-koden via en falsk nettside. Dersom dette ikke holder for innlogging, spør de om videre opplysninger via en falsk support-chat. Dersom innloggingen er begrenset til én spesiell maskin, blir offeret lurt til å laste ned et verktøy for fjernstyring av PCen. Mange blir dessverre lurt av denne målrettede fremgangsmåten og mister store verdier.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Sårbarhet funnet i en rekke porttelefoner i Norge

Det Norske sikkerhets selvskapet Promon rapporterer at de har funnet en sårbarhet som kan utnyttes for å brute-force pinkoder på enkelte porttelefoner brukt i Norge. En sikkerhetsforsker hos Promon oppdaget at porttelefonene av merket "Aiphone" ikke hadde lagt inn noen form for sperre på antall pinkode-spørringer via NFC og at pinkodene var begrenset til kun fire siffer. Feilen ble først oppdaget og fikset i 2021 av Aiphone, gamle enheter blir ikke automatisk oppgradert. Oppdagelsen av denne sårbarheten har ført til at leverandøren av porttelefonene nå tilbyr gratis oppgradering av rammede enheter.
Referanser
https://www.tek.no/nyheter/nyhet/i/9zp09l/kri[...]

Politiet etterforsker fortsatt hackerangrepet mot Nortura

Hackerangrepet som lammet Nortura 21. desember i fjor, er fortsatt under etterforskning, og utenlandsk politi bistår sine norske kolleger. Så langt er det ingen mistenkte, men angrepet har antageligvis sitt opphav utenfor Norge.
Referanser
https://www.digi.no/artikler/politiet-etterfo[...]

Monday 21 November 2022

2022.11.21 - Nyhetsbrev

Atlassian fikser kritiske sårbarheter i to av sine produkter.

Atlassian fikser kritiske sårbarheter i to av sine produkter

Atlassian har sluppet oppdateringer som adresserer to kritiske sårbarheter i tjenestene "Crowd Server and Data Center" og "Bitbucket Server and Data Center". Atlassian har gitt begge sårbarhetene en alvorlighets-gradering på 9 av 10.

Sårbarheten i "Crowd Server and Data Center" dukket opp i versjon 3.0.0, og påvirker versjonene 3.0.0 til 3.7.2, 4.0.0 til 4.4.3, og 5.0.0 til 5.0.2. Denne sårbarheten gjør det mulig for en angriper å legge til nye IP-addresser i listen over adresser som skal ha tilgang til tjenesten.

Sårbarheten i "Bitbucket Server and Data Center" dukket opp i versjon 7.0 og påvirker versjon 7.0 til 7.21 og 8.0 til 8.4. Denne sårbarheten gjør det mulig å oppnå ekstern kodeeksekvering på maskinen tjenesten kjører på, for brukere som har tilgang til å endre brukernavnet sitt.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Friday 18 November 2022

2022.11.18 - Nyhetsbrev

Nye sikkerhetsoppdateringer fra Samba som dekker CVE-2022-42898.
Trussel aktøren DEV-0569 finner nye måter å levere ransomware.

Samba slipper sikkerhetsoppdateringer for feil i Kerberos-håndtering

Samba har gitt ut nye sikkerhetsoppdateringer. Disse inkluderer blant annet CVE-2022-42898, der en angriper kan utnytte sårbarheter relatert til behandling av PAC på 32-bit systemer i Kerberos-biblioteker og AD DC, for å oppnå integer-overflow i applikasjonen.

Alle Samba-versjoner tidligere enn 4.15.12, 4.16.7 og 4.17.3 er berørt. Patch for disse sårbarhetene kan finnes i vedlagte lenker.
Referanser
https://www.samba.org/samba/history/security.html
https://www.samba.org/samba/security/CVE-2022[...]

Microsoft gir detaljer om aktøren DEV-0569 som sprer ransomware

Microsoft har skrevet en bloggpost om den nye aktøren de foreløpig har gitt navnet DEV-0569. Aktøren infiserer maskiner med forskjellige typer malware som igjen installerer ransomware-varianten Royal. DEV-0569 skifter stadig teknikker og unngår deteksjon på forskjellige måter. Spredning foregår først og fremst ved hjelp av annonser på nettsider som peker på malware, kamuflert som legitim software.
Referanser
https://www.microsoft.com/en-us/security/blog[...]

Thursday 17 November 2022

2022.11.17 - Nyhetsbrev

Flere svakheter i produkter fra 5G BIG-IP. Iransk-støttet hackere kompromiterte Amerikansk føderalt byrå. Nord-koreanske hackere angriper Europeiske organisasjoner med oppdatert malware. Symantec: Kinesisk gruppering hacket sertifikat-utsteder.

Flere svakheter i produkter fra 5G BIG-IP

Rapid7 har oppdaget flere svakheter i F5 BIG-IP og BIG-IQ. Den mest alvorlige svakheten kan gjøre at en angriper får root-tilgang til en enhet, dersom en administrator av enheten blir lurt til å besøke en spesielt utformet nettside (cross-site request forgery (CSRF)). F5 har sluppet en fiks som er tilgjengelig på forespørsel.
Referanser
https://www.rapid7.com/blog/post/2022/11/16/c[...]
https://support.f5.com/csp/article/K94221585
https://support.f5.com/csp/article/K13325942

Iransk-støttet hackere kompromiterte Amerikansk føderalt byrå

FBI og CISA sammen publiserte i går nyhetene om et unavngitt iransk-støttet gruppe som kompromittiert Federal Civilian Executive Branch (FCEB). Dette ved å målrette en utdatert VMware Horizon server fortsatt sårbar for Log4Shell. Dette lot den iranske trusselaktøren eksekvere ekstern kode til den føderale serveren.

Etter å ha tatt kontroll over serveren begynte den unavngitte gruppen å installere XMRig cryptomining skadevare. Samt og sette opp reverse proxier på kompromittierte servere for å opprettholde standhaftighet innenfor det føderale nettverket.

CISA advarte i juni at VMWare Horizon og Unified Access Gateway (UAG) servere blir stadig fortsatt målrettet av trusselaktører. Etter uhellet med FCEB anbefaler FBI og CISA alle organisasjoner å oppdatere VMWare systemer som forsatt er sårbare mot Log4Shell sårbarheten. Og at de som ikke allerede har gjort dette må være forberedt på at de allerede er kompromitterte av en form for trusselaktør.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Nord-koreanske hackere angriper Europeiske organisasjoner med oppdatert skadevare

Kaspersky har sluppet en rapport som tar for seg Nord-koreansk bruk av bakdøren DTrack mot europeiske mål. Bakdøren har vært i bruk av Lazarus Group siden 2019. Rapporten tar for seg historikk og oppdateringer i den siste versjonen av bakdøren.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://securelist.com/dtrack-targeting-europ[...]

Symantec: Kinesisk gruppering hacket sertifikat-utsteder

Symantec har sluppet en ny rapport om grupperingen Billbug, som har forbindelser til kinesiske myndigheter. Billbug har blant annet hacket en sertifikat-utsteder og flere myndighetsorganer i Asia. Dersom gruppen har hatt tilgang til å utstede sertifikater, kan de ha brukt dette til å signere skadevare for bruk i sine operasjoner.
Referanser
https://therecord.media/alleged-chinese-state[...]
https://symantec-enterprise-blogs.security.co[...]

Tuesday 15 November 2022

2022.11.15 - Nyhetsbrev

Ny svindel retter seg mot nettsider og adminstratorer. ESET research med ny APT aktivitets-rapport. Australia vurderer å forby betaling av løsepenger til cyber-kriminelle. Fant russisk kode i tusenvis av apper.

Ny svindel retter seg mot nettsider og adminstratorer

En aktiv svindel-kampanje med utpressing retter seg mot nettsteder og deres administratorer over hele verden. Angriperne hevder å ha hacket servere og krever 2500 dollar for ikke å lekke data. Angriperne (som kaller seg Team Montesano) sender e-poster med emner som “Your website, databases and emails has been hacked”. E-postene ser ikke ut til å være målrettede og har blitt sendt ut til personlige blogger, offentlige instanser og større selskaper.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

ESET research med ny APT aktivitets rapport

ESET har sluppet en rapport om deres analyser av APT aktiviteter fra mai til august 2022. Det har ikke vært noen nedgang i aktivitet fra russiske, kinesiske, iranske eller nord-koreanske trusselaktører. I følge rapporten er de russisk-tilknyttede gruppene hovedsaklig involvert i operasjoner mot Ukraina. APTer som er observert i denne sammenhengen er Sandworm, Gamaredon, InvisiMole, Callisto og Turl.

Fly- og forsvarsindustrien fortsetter å være av stor interesse for Nord-Koreanske grupper, sammen med finans og kryptovalutafirmaer. I Midtøsten var organisasjoner knyttet til diamantindustrien mål for Agrius i det Eset tror var et forsyningskjedeangrep som misbrukte en Israel-basert programvarepakke.

Eset observerte også flere kampanjer gjennomført av MirrorFace, som trolig er knyttet til Kina. Aktøren utførte trolig en målrettet kampanje mot valget i Japan.
Referanser
https://www.welivesecurity.com/wp-content/upl[...]

Australia vurderer å forby betaling av løsepenger til cyber-kriminelle

Australia har i de siste ukene vært utsatt for flere alvorlige cyber-angrep som også har involvert løsepenger. Medibank og Optus er blant firmaene som har blitt rammet, noe som resulterte i tap av store mengder personlig informasjon for kunder og ansatte.

Australske myndigheter vurderer nå å forby betaling av løsepenger, for å forsøke å få hackere til å holde seg unna landet. Det har også blitt opprettet en cyber-politi-enhet som skal kjempe tilbake mot angriperne. Enheten skal ha medlemmer både fra det føderale politiet (AFP) og utenlandsetteretningen (ASD). Gruppen skal ha tillatelse til å utføre cyber-angrep mot kriminelle.
Referanser
https://www.reuters.com/technology/australia-[...]

Fant russisk kode i tusenvis av apper

Nyhetsbyrået Reuters melder at en rekke apper i både Google og Apples butikker nå viser seg å ha russisk innhold. Innholdet ble presentert som amerikansk, gjennom at utviklerne i Pushwoosh har oppgitt amerikanske adresser for sine kontorer, og laget falske ansattprofiler på Linkedin. Selskapet er i realiteten fra Sibir.

følge Reuters driver Pushwoosh med brukerprofilering og pushvarsling basert på aktiviteten i appene den er del av. Dataene som samles skal være lignende de Google og Facebook samler, inkludert geolokasjon. Det er så langt ikke funnet tegn på misbruk av dataene.
Referanser
https://www.tek.no/nyheter/nyhet/i/JQO61R/fan[...]

Friday 11 November 2022

2022.11.11 - Nyhetsbrev

Den russiske hackergruppen Iridium trolig tilknyttet "Prestige" ransomware. Svakhet i Pixel-telefoner gjør at man kan omgå låseskjermen.

Den russiske hackergruppen Iridium trolig tilknyttet "Prestige" ransomware

Rapporter fra Microsoft knytter den russisk hackergruppen Iridium mot "Prestige", en type ransomware brukt til dataangrep mot Ukraina og Polen forrige måned. Dataangrepene var rettet mot transport og logistikksektoren. Angrepene settes i forbindelse med krigen i Ukraina.

Microsoft knytter fra før Iridium til gruppen Sandworm, som igjen knyttes til russiske myndigheter og flere destruktive angrep mot Ukraina i løpet av krigen.
Referanser
https://therecord.media/microsoft-attributes-[...]

Svakhet i Pixel-telefoner gjør at man kan omgå telefonens låseskjerm

Google har nylig sluppet sikkerhets-oppdateringer for november for Pixel-mobiler. Denne inkluderer sårbarheten CVE-2022-20465, som gjør at man kan omgå låseskjermen på grunn av en logisk feil i koden. For å komme forbi låseskjermen må en blant annet bytte SIM-kort i mobilen. Android versjonene dette gjelder er: Android-10 Android-11 Android-12 Android-12L Android-13Android ID: A-218500036. Det er så langt uvisst om svakheten også rammer andre Android-mobiler. Google utbedrer også diverse andre sikkerhetssvakheter i sin oppdatering.
Referanser
https://9to5google.com/2022/11/10/pixel-locks[...]
https://source.android.com/docs/security/bull[...]
https://nvd.nist.gov/vuln/detail/CVE-2022-20465

Thursday 10 November 2022

2022.11.10 - Nyhetsbrev

Apple har utgitt sikkerhetsoppdateringer for iOS og macOS som fikser RCE sårbarhet. Phising-kampanjer benytter seg av IPFS desentralisert lagring. Cloud9 Botnet bygges opp av nettleser-utvidelser til Chrome. Cisco har sluppet halvårlig sikkerhetsoppdateringer for Cisco ASA, FMC og FTD-programvare.

Apple har utgitt sikkerhetsoppdateringer for iOS og macOS som fikser RCE sårbarhet

Sårbarhetene ga mulighet for RCE og lå i libxml2. De går under CVE-2022-40303 og CVE-2022-40304. I skrivende stund er det ikke klart om sårbarhetene er aktivt utnyttet.
Referanser
https://support.apple.com/en-us/HT201222
https://twitter.com/sans_isc/status/159046738[...]

Phising-kampanjer benytter seg av IPFS desentralisert lagring

Flere nyere kampanjer har lagret skadevare, opprettet phising-infrastruktur og gjennomført andre angrep som har benyttet seg av lagring av data hos InterPlanetary Filesystem (IPFS) .

IPFS er ett peer-to-peer nettverk som replikerer data på tvers av flere noder. Nettverket er laget for høy oppetid og å være motstandsdyktig mot sensur. Dette gjør at nettverket dessverre er svært velegnet for kriminell virksomhet.
Referanser
https://thehackernews.com/2022/11/several-cyb[...]

Cloud9 Botnet bygges opp av nettleser-utvidelser til Chrome

Cloud9 Botnet er et nytt botnet som kommer i form av en nettleser-utvidelse. Skadevaren oppfører seg som en fjern-tilgang trojaner og har flere funksjoner, blant annet keylogging, cookie-stjeling og mulighet for å delta i DDoS-angrep. Frem til nå har skadevaren kun blitt spredd via falske eksekverbare filer og skadelige nettsider kamuflert som Flash Player-oppdateringer. Det er ikke funnet spor av at den spres via nettleseres innebygde nedlastings-tjenester for utvidelser.

Sikkerhetsforskere ved Zimperium Zlabs har gjennomført en analyse av hvordan botnettet fungerer og har lagt ved IOCer.
Referanser
https://www.zimperium.com/blog/the-case-of-cl[...]

Cisco har sluppet halvårlig sikkerhetsoppdateringer for Cisco ASA, FMC og FTD-programvare

NkomCSIRT melder i et varsel at Cisco den 9. november publiserte 19 sårbarhetsvarsler i et samlevarsel knyttet til Cisco ASA, FTD, and FMC Software, hvorav 8 var rangert med høy kritikalitet. Flere av sårbarhetene gir mulighet for en ikke-autentisert angriper å gjennomføre tjenestenektangrep mot SSH, SNMP, VPN og DAP, omgå secure boot og kjøring av ikke-autorisert kode eller benytte SNMP med standardpassord å hente ut informasjon. EkomCERT er ikke kjent med aktiv ondsinnet utnyttelse av sårbarhetene.
Anbefaling
Se gjennom utstyr, installere oppdateringer og vurdere mitigerende tiltak.
Referanser
https://tools.cisco.com/security/center/viewE[...]

Wednesday 9 November 2022

2022.11.09 - Nyhetsbrev

Microsoft fikser 68 sårbarheter, fire utnyttes aktivt. Det er også utbedret kritiske sårbarheter i Citrix ADC/Gateway, VMware Workspace ONE Assist og Veeam Backup for Google Cloud. Mandiant har gjort en gjennomgang av angreps-teknikker brukt av APT-29.

Citrix anbefaler alle å oppdatere Citrix ADC og Gateway

Citrix anbefaler sterkt at alle oppdaterer til nyeste versjon av ADC og Gateway som fikser sårbarhetene som går under CVE-2022-27510, CVE-2022-27513 og CVE-2022-27516. De påvirkede versjonene er versjonene før 13.1-33.47, 13.0-88.12, 12.1.65.21 for ADC og Gateway. For ADC er også Citrix ADC 12.1-FIPS før 12.1-55.289 og Citrix ADC 12.1-NDcPP før 12.1-55.289 påvirket. Svakhetene kan blant annet føre til omgåelse av autentisering for pålogging.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://support.citrix.com/article/CTX463706/[...]

Microsoft fikser 68 sårbarheter, fire utnyttes aktivt

Microsoft har sluppet sikkerhetsoppdateringer som fikser 68 sårbarheter, hvorav 10 av disse regnes som kritiske. Av sårbarhetene er én kjent fra tidligere fire er aktivt utnyttet.

En av sårbarhetene er en RCE (Remote Code Execution) i Windows Script Languages og krever at en bruker besøker en spesielt utformet nettside eller delt mappe for å kunne utnyttes. Sårbarheten har CVSS-vurdering 8.8 og har benevnelsen CVE-2022-41128. Svakheten utnyttes allerede i angrep!

Sårbarheten som tidligere hadde blitt omtalt og utnyttes aktivt var en sårbarhet i "Windows Mark of the Web" og gikk under CVE-2022-41091. Svakheten muliggjør omgåelse av en sikkerhetsmekanisme som skal beskytte spesielt mot filer lastet fra nettet.
Referanser
https://isc.sans.edu/diary/Microsoft+November[...]
https://portal.msrc.microsoft.com/en-us/secur[...]

Mandiant har gjort en gjennomgang av teknikker brukt av APT-29

Mandiant har lenge overvåket APT29 og deres angrepmetoder. De mener at gruppen er en russisk APT som også går under navnet Nobelium.

De har nå utgitt en teknisk analyse om hvordan APT29 utnytter Microsoft Active Directory Credential Roaming.
Referanser
https://www.mandiant.com/resources/blog/apt29[...]

VMware fikser kritisk omgåelse av tilgangskontroll i Workspace ONE Assist

Sårbarheten har fått risikovurderigen CVSS 9.8 og går under benevnelsen CVE-2022-31685. Den gjør det mulig for angripere med tilgang til nettverket å få administrator-rettigheter på en såbar enhet uten å autentisere seg. Dette kan være ekstra kritisk i dette tilfellet, siden Assist-enheter ofte har utvidede tilganger til PCer i bedriftsnettverk.
Referanser
https://www.vmware.com/security/advisories/VM[...]
https://www.theregister.com/2022/11/09/vmware[...]

Kritisk sårbarhet i Veeam Backup for Google Cloud

Under intern testing har Veeam oppdaget en kritisk sårbarhet som gjør det mulig å omgå autentisering i Backup for Google Cloud. En utbedret versjon har blitt gitt ut og systemer som er satt opp til automatisk oppdatering skal allerede være fikset.
Referanser
https://www.veeam.com/kb4374

Tuesday 8 November 2022

2022.11.08 - Nyhetsbrev

Myndighetene i USA beslaglegger stjålne Bitcoins fra enda en Silk Road-hacker. Cyber-angrep førte til stans i togtrafikken i Danmark. Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2022.

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2022

Denne måneden er hovedsakene at Albania vurderte å utløse NATOs artikkel 5 etter cyberangrep fra Iran og datalekkasje fra Microsoft.
Referanser
https://telenorsoc.blogspot.com/2022/11/oppsu[...]

Myndighetene i USA beslaglegger stjålne Bitcoins fra enda en Silk Road-hacker

Et lenge nedlagt undergrunnsmarked for narkotika på det mørke nettet kalt the Silk Road, har vist seg å være en gullgruve for amerikanske myndigheter. I går annonserte US Department of Justice at de har siktet en mann fra Georgia for å ha stjålet over 50.000 bitcoin fra Silk Road i 2012. James Zhong har allerede innrømmet saken. Nøklene til verdiene var lagret i en liten datamaskin, gjemt i en Popcorn-boks som igjen var gjemt under gulvplankene på badet.
Referanser
https://www.wired.com/story/silk-road-bitcoin[...]
https://www.justice.gov/usao-sdny/pr/us-attor[...]

Cyber-angrep førte til stans i togtrafikken i Danmark

Et angrep på en underleverandør av IT-systemer til DSB (Danske Statsbaner) førte til at nesten alle tog i Danmark måtte stanse i flere timer. Leverandøren Supeo hadde blitt rammet av et løsepengevirus og slo av serverne sine. Dette gjorde at en kritisk app for togførere ikke lengre fungerte og gjorde at togene måtte stoppes av sikkerhetshensyn. Appen gir vanligvis informasjon om fartsgrenser, arbeid på linjene osv.
Referanser
https://www.securityweek.com/cyberattack-caus[...]

Monday 7 November 2022

2022.11.07 - Nyhetsbrev

Microsoft Digital Defense Report 2022: Cyberangrep utført av nasjonalstater har blitt mer aggressive. Undersøkelse rundt firmaer som hacker mot betaling.

Microsoft Digital Defense Report 2022: Cyberangrep utført av nasjonalstater har blitt mer aggressive

Microsoft har sluppet ny "Digital Defense Report" for 2022 med fokus på krigen i Ukraina, hvor det kommer frem at det har vært en økning av aggressive angrep på nett fra land med autoritære ledere.

Det siste året har angrep mot kritisk infrastruktur fra nasjonalstater økt fra 20% av alle angrep til 40%, noe som i stor grad skyldes Russlands stadige angrep mot Ukraina.

Iran har også utført flere dristige angrep mot EU-stater og Israel etter overgangen til ny president. Nord-Korea, som inntok sin mest aggressive periode med missiltesting i første halvår av 2022, har stått bak tyveri av luftfarts og forsknings-miljøer over hele verden. Kina økte sin spionasje og datatyverier som et forsøk på å øke sin regionale innflytelse i Sørøst-Asia og motvirke økende interesse fra USA. Mange av angrepene fra Kina er utført med helt ferske og ukjente svakheter, såkalte 0-day angrep. Borgere i Kina som oppdager nye svakheter i programvare er nå pålagt å melde fra om disse til myndighetene først.
Referanser
https://blogs.microsoft.com/on-the-issues/202[...]
https://thehackernews.com/2022/11/microsoft-w[...]
https://therecord.media/microsoft-accuses-chi[...]

Undersøkelse rundt firmaer som hacker mot betaling

The Bureau of Investigative Journalism har gitt ut en lengre sak om "hack-for-hire"-industrien, altså firmaer som gjennomfører data-angrep mot personer eller bedrifter mot betaling. Det skal befinne seg spesielt mange av denne typen firmaer i India.
Referanser
https://www.thebureauinvestigates.com/stories[...]

Friday 4 November 2022

2022.11.04 - Nyhetsbrev

Cyber-hendelse hos datterselskap av Boeing forstyrrer flyvninger. Forsyningskjede-angrep rammer mer enn 250 nyhetsnettsteder.

Cyber-hendelse hos datterselskap av Boeing forstyrrer flyvninger

Jeppesen er et heleid datterselskap av Boeing. De leverer verktøy for navigasjon og planlegging av flyvninger for noen flyselskaper. Selskapet meldte på torsdag at de har hatt en hendelse som har forårsaket planlegging av flyvninger. Boeing melder at deres tjenester fortsatt har problemer og de jobber med å gjenoppretting. Det er fortsatt uklart hva slags type angrep Jeppesen har blitt utstatt for, men det spekuleres i at de er rammet av ransomware.
Referanser
https://therecord.media/cyber-incident-at-boe[...]

Forsyningskjede-angrep rammer mer enn 250 nyhetsnettsteder

Trusselaktøren kjent som TA569, eller SocGholish, har kompromittert JavaSkript-kode som brukes av en media-distributør. Den skadelige koden brukes til å spre malware til besøkende på nettstedene til regionale og nasjonale media-aktører i USA. Deteksjon kan være vanskelig, siden gruppen periodisk har tatt ut den skadelige koden, for så å legge den til igjen på et senere tidspunkt. Besøkende blir bedt om å laste ned falske oppdateringer, som så gjør at angriperne tar kontroll over PCen.
Referanser
https://www.darkreading.com/application-secur[...]

 
>