2022.02.28 - Nyhetsbrev

Anonyme hacktivister og løsepengevirus-grupper blir involvert i Ukraina-Russland konflikten. TrickBot-banden legger ned, utviklerne går over til mer skjult skadevare. Iranske hackere tar i bruk nytt skadevare som misbruker et Telegram-API. Russland sperrer vesten ute fra russiske tjenester etter DDoS-angrep. Selskapet Nvidia truffet av ransomware som tok ned deler av deres datasystemer i to dager.

Anonyme hacktivister og løsepengevirus-grupper blir involvert i Ukraina-Russland konflikten

Ukraina har spurt om hjelp fra hackere til hjelp med å stoppe Russland. Blant de som har sagt at de kan hjelpe er Anonymous, som har sier de har utført DDooS-angrep mot flere statlige Russiske nettsider. De har også sagt at de kommer til å lekke informasjonen fra den Russiske forsvarsdepartementet sin nettside. Løsepengevirus gruppen Conti og CoomingProject har sagt at alle cyber angrep mot Russland vil bli møtt med hevn fra deres side. Et medlem av Conti-gruppen reagerte imidlertid sterkt på uttalelsen, og slapp store mengder logger fra gruppens interne logger som hevn. Det har blitt advart om at enkelt-grupper involverer seg i cyber-angrep, da dette kan skape forvirring rundt situasjonen og kan utløse artikkel 5 fra Nato, som sier at et hvert angrep på et Nato-medlem er som et angrep på alle.
Referanser
https://www.zdnet.com/article/anonymous-hackt[...] https://therecord.media/conti-ransomware-gang[...]

TrickBot-banden legger ned, utviklerne går over til mer skjult skadevare

Utviklerne legger ned operasjonen av malwaren TrickBot som har infisert Windows-klienter i store mengder siden 2016, og har blitt brukt av en rekke løsepengevirus-grupper. Utviklerne skal ha slått seg sammen med Conti etter at Trickbot-gjengen misslyktes i sin egen ransomware-operasjon. De skal sammen fokusere på malwaren BazarBackdoor, som skal være vanskeligere å detektere. Etter at malwaren har infisert klienten så laster de ned moduler som stjeler en rekke data, låser klienten og sprer seg i nettverket.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Iranske hackere tar i bruk nytt skadevare som misbruker et Telegram-API

En Iransk trusselaktør tar i bruk et nytt spionverktøy som misbruker Telegram sitt meldings-API. Sikkerhetsselskapet Mandiant har knyttet skadevaren til gruppen UNC3313 med moderat sannsynlighet, som er tilknyttet den statlig sponsede gruppen kjent som MuddyWater. Det er bakdøren "GRAMDOOR" som blir levert gjennom Telegram sitt maldings-API, som kommuniserer med servere kontrollert av angriperne for å unngå å bli detektert.
Referanser
https://thehackernews.com/2022/02/iranian-hac[...] https://www.mandiant.com/resources/telegram-m[...]

Russland sperrer vesten ute fra russiske tjenester etter DDoS-angrep

Konflikten mellom Russland og Ukraina gjenspeiles i cyberspace. Russlands myndigheter har nå begynt å sperre ute vestlige IP-adresser for å forsvare sine nettsidder. Torsdag gikk Russiske myndigheters nettsider ned som følge av DDOS-angrep. Russland har også delvis blokkert vestlige tjenester som Facebook og Twitter fra å bli brukt i Russland. Facebook og Twitter har også stengt ned flere kontoer de mener at driver med russisk propaganda. I dag tidlig gikk det myndighetsstyrte nyhetsnettstedet Tass ned. Det ble også lagt ut en melding på russisk om at "Putin får oss til å lyve".
Referanser
https://therecord.media/russia-appears-to-dep[...] https://www.thedailybeast.com/tass-site-hacke[...] https://www.dailymail.co.uk/news/article-1055[...]

Selskapet Nvidia truffet av ransomware som tok ned deler av deres datasystemer i to dager

Nvidia har blitt rammet av ransomware fra ransomware-grupperingen Lapsus. De påstår å ha stjålet over 1 TB med data fra Nvidia sitt nettverk og har lekket innloggingsinformasjon til alle Nvidia sine ansatte. Nvidia melder selv at business-prosessene og kommersielle aktiviteter ikke er berørt og at de ikke mistenker at aktiviteten er relatert til den spente situasjonen i Ukraina.
Referanser
http://securityaffairs.co/wordpress/128456/cy[...]

2022.02.25 - Nyhetsbrev

NSM/NCSC vurderer risikonivået for norske virksomheter som forhøyet. CISA med flere går ut med informasjon om spionasje fra iranske MuddyWater. Cisco ute med oppdatering til flere av sine produkter.

Cisco ute med oppdatering til flere av sine produkter

Cisco har nå gitt ut oppdatering til flere av sine produkter, blant annet Cisco Nexus 900, med flere. Noen av svakhetene som disse oppdateringene fikser kan gi angriper kontroll over sårbare systemet.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...] https://tools.cisco.com/security/center/publi[...]

NSM/NCSC vurderer risikonivået for norske virksomheter som forhøyet

I lys av hendelsene i Ukraina har NCSC gitt ut et oppdatert situasjonsbilde og tilhørende anbefalinger. Med bakgrunn i en svært uoversiktlig situasjon og ytterligere observasjoner av skadevare i Ukraina, vurder de risikonivået for norske virksomheter som forhøyet. NSM har også gitt ut en liste over prioriterte tiltak som virksomheter kan iverksette i en skjerpet sikkerhetssituasjon. NSM/NCSC kjenner så langt ikke til cyberhendelser i Norge som kan knyttes til den pågående konflikten.
Referanser
https://nsm.no/fagomrader/digital-sikkerhet/n[...]

CISA med flere går ut med informasjon om spionasje fra iranske MuddyWater

CISA, sammen med mange flere, har gitt ut et advisory som detaljerer cyber-operasjonene til den iransk-sponsede gruppen kalt MuddyWater. Gruppen har drevet med spionasje mot både private og offentlige mål i mange land. Se link under for mer informasjon.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...] https://www.cisa.gov/uscert/ncas/alerts/aa22-055a

2022.02.24 - Nyhetsbrev

Ny Sandworm-skadevare kalt Cyclops Blink erstatter VPNFilter-skadevaren. ESET og Symantec rapporterer om stort cyberangrep mot nettverk i Ukraina.

Ny Sandworm-skadevare kalt Cyclops Blink erstatter VPNFilter-skadevaren

En videreutviklet versjon av VPNFilter skadevaren, kalt Cyclops Blink, har blitt oppdaget. Denne attribueres også til gruppen Sandworm, som lenkes til Russlands militære etterretningstjeneste. Cyclops Blink infiserer routere og sikkerhets-produkter som eksponeres rett mot Internett. Den installeres typisk ved en firmware-oppdatering. Malwaren gjør at infiserte enheter kan brukes som et privat VPN for å skjule angrep.
Referanser
https://www.ncsc.gov.uk/news/joint-advisory-s[...]

ESET og Symantec rapporterer om stort cyberangrep mot nettverk i Ukraina

Symantec og ESET melder om at en ny Wiper-skadevare er blitt brukt i angrep mot nettverk over hele Ukraina. Angrepet ødelegger MBR på harddiskene til maskinene som blir påvirket. Rapport om bruk av skadevaren kom like før nattens invasjon av Ukraina.
Referanser
https://therecord.media/second-data-wiper-att[...] https://twitter.com/ESETresearch/status/14965[...] https://symantec-enterprise-blogs.security.co[...]

2022.02.23 - Nyhetsbrev

Kinesiske hackere knyttes til angrep mot Taiwansk finanssektor.

Kinesiske hackere knyttes til angrep mot Taiwansk finanssektor

En hackergruppe som er tilknyttet den kinesiske myndigheter (APT-10), antas å ha utført angrep mot Taiwans finanssektor. Angrepsbølgen har fått kodenavnet "Operation Cache Panda", startet i november 2021 og pågår enda. Innbruddene ble gjort gjennom en sårbarhet i en sikkerhetsprogramvareløsning som brukes av omtrent 80% av alle lokale finansorganisasjoner. Navnet på produktet som blir utnyttet i det pågående angrepet er ikke offentliggjort, på grunn av den pågående etterforskningen. Det jobbes med å få på plass en oppdatering og få denne installert hos flest mulig organisasjoner.
Referanser
https://therecord.media/chinese-hackers-linke[...] https://thehackernews.com/2022/02/chinese-hac[...]

2022.02.22 - Nyhetsbrev

Logistikkfirmaet Expeditors International utsatt for cyber-angrep

Logistikkfirmaet Expeditors International utsatt for cyber-angrep

Det amerikanske frakt og logistikkfirmaet Expeditors International rapporterer at de ble rammet av et cyber-angrep i løpet av helgen. Angrept skal være målrettet, og firmaet har stengt ned store deler av sin aktivitet mens de undersøker saken. Angrepet er mest sannsynlig et ransomware-angrep.
Referanser
http://securityaffairs.co/wordpress/128268/ha[...] https://investor.expeditors.com/press-release[...]

2022.02.18 - Nyhetsbrev

Tyske etterforskere knytter Snake/Turla til FSB og flere konkrete personer. Spesiallagede e-poster kan krasje Cisco ESA-enheter.

Tyske etterforskere knytter Snake/Turla til FSB og flere konkrete personer

Turla, som er en av de dyktigste hacker-gruppene som finnes, har tilknytning til den russiske hemmelige tjenesten FSB. Det er ansatte hos tyske BR og WDR som står bak etterforskningen. Det hele er lagt fram i en interaktiv artikkel.
Referanser
https://interaktiv.br.de/elite-hacker-fsb/en/[...]

Spesiallagede e-poster kan krasje Cisco ESA-enheter

En DoS-svakhet (CVE-2022-20653) gjør det mulig å krasje epost-sikkerhets produktet (ESA) til Cisco. Hvis det blir sendt en spesiallagd e-post til en bruker som blir beskyttet av enheten, vil den henge seg opp en stund. Hvis dette gjøres kontinuerlig med flere eposter, så vil enheten bli helt utilgjengelig. Denne svakheten gjelder bare ESA-enheter som kjører AsyncOS-programvaren og har DANE-funksjonalitet aktivert (dette er deaktivert som default).
Referanser
http://securityaffairs.co/wordpress/128131/ha[...] https://tools.cisco.com/security/center/conte[...]

2022.02.17 - Nyhetsbrev

VMWare patcher sårbarheter i ESXi, Workstation, Fusion, Cloud Foundation og VMware NSX Data Center for vSphere. Russiske statssponsede aktører har angrepet amerikanske forsvarsleverandører.

VMWare patcher sårbarheter i ESXi, Workstation, Fusion, Cloud Foundation og VMware NSX Data Center for vSphere

Etter at mange sårbarheter ble demonstrert ved Tianfu Cup i Kina, har VMWare nå levert en rekke oppdateringer. Noen av disse har en CVSSv3 score på over 8 og kan tillate en angriper å eksekvere kode på hypervisor-hosten fra en virtuell maskin. VMware har også gitt ut en oppdatering til VMware NSX Data Center for vSphere med CVSS-score på 8.8. Oppdateringen fikser en mulighet for upriviligerte brukere til å oppnå root-tilgang på sårbare systemer.
Referanser
https://www.zdnet.com/article/vmware-patches-[...] https://www.vmware.com/security/advisories/VM[...] https://digital.nhs.uk/cyber-alerts/2022/cc-4038

Russiske statssponsede aktører har angrepet amerikanske forsvarsleverandører

CISA, FBI og NSA har sluppet et rådgivende dokument etter at russiske aktører har angrepet og kompromittert flere amerikanske forsvarsleverandører. Angrepene har foregått over en periode på to år. Angriperne har kommet seg unn med store mengder sensitiv informasjon. Dokumentet gir detaljer om metodene som er brukt samt anbefalinger til risiko-reduserende tiltak.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...] https://arstechnica.com/information-technolog[...]

2022.02.16 - Nyhetsbrev

BlackCat (ALPHV) tar på seg ansvaret for ransomware-angrep mot Swissport. DDoS-angrep mot myndigheter og banker i Ukraina.

BlackCat (ALPHV) tar på seg ansvaret for ransomware-angrep mot Swissport

Swissport er et firma som tilbyr forskjellige tjenester innenfor luftfart på 310 flyplasser. De ble angrepet tidligere i februar, noe som førte til kansellerte og forsinkede fly, samt andre driftsforstyrrelser. Ransomware-gruppen BlackCat (ALPHV) har nå tatt på seg ansvaret for angrepet og har lagt ut en mindre mengde interne data. Aktøren påstår ha kopiert ut 1.6TB data som de truer med å offentliggjøre, dersom ikke løsepengene blir betalt.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

DDoS-angrep mot myndigheter og banker i Ukraina

I løpet av det siste døgnet har det vært flere bølger med DDoS-angrep mot nettsidene til myndigheter og banker i Ukraina. Blant annet ble forsvarsdepartementet og bankene PrivatBank and Oschadbank rammet. Det er ukjent hvem som står bak angrepene.
Referanser
https://www.hackread.com/ddos-attacks-cripple[...] https://arstechnica.com/information-technolog[...] https://netblocks.org/reports/ukraine-banking[...]

2022.02.15 - Nyhetsbrev

Google fikser aktivt utnyttet svakhet i Chrome.

Google fikser aktivt utnyttet svakhet i Chrome

Google har gitt ut Chrome versjon 98.0.4758.102 for Windows, Mac og Linux for å fikse en svakhet som allerede blir aktivt utnyttet av angripere. Svakheten spores som CVE-2022-0609 og er en "use after free"-svakhet i "Animation"-modulen. Google har ikke sluppet noen videre detaljer rundt svakheten eller hvem som utnytter den.
Anbefaling
Installer siste versjon av Chrome
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://chromereleases.googleblog.com/2022/02[...]

2022.02.14 - Nyhetsbrev

Nasjonale trusselvurderinger for 2022 framlagt av Etterretningstjenesten, Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM). Kritisk Magento 0-dagers sårbarhet under aktiv utnyttelse.

Nasjonale trusselvurderinger for 2022 framlagt

Etterretningstjenesten, Politiets sikkerhetstjeneste (PST) og Nasjonal sikkerhetsmyndighet (NSM) la fredag fram sine åpne trussel- og risikovurderinger. Statlig etterretningsvirksomhet, ikke minst fra russiske og kinesiske tjenester, vil utgjøre den største trusselen i Norge i 2022, ifølge PST.
Referanser
https://www.forsvaret.no/aktuelt-og-presse/pu[...] https://www.pst.no/alle-artikler/trusselvurde[...] https://nsm.no/getfile.php/137798-1644424185/[...]

Kritisk Magento 0-dagers sårbarhet under aktiv utnyttelse

Adobe lanserte søndag patcher for å fikse en kritisk sårbarhet som påvirker deres Commerce og Magento Open Source-produkter. Svakheten blir allerede utnyttet i aktive angrep. Sårbarheten er kjent som CVE-2022-24086 og har en CVSS-score på 9,8 av 10. Sårbarheten gjelder datavalidering som kan resultere i vilkårlig kodekjøring. Vi anbefaler å patche så fort som mulig, samt sjekke systemer som har vært sårbare for kompromittering.
Referanser
https://thehackernews.com/2022/02/critical-ma[...] https://helpx.adobe.com/security/products/mag[...]

2022.02.11 - Nyhetsbrev

Regsrvr32 (LOLBin) utnyttes til å spre trojanere og intern forflytning i nett. FritzFrog SSH-botnet har tatt over mer enn 1500 enheter. Apple oppdaterer zero-day svakhet som allerede utnyttes for å hacke iPhone, iPad og Mac.

Regsrvr32 (LOLBin) utnyttes til å spre trojanere og intern forflytning i nett

Regsrv32 er ett CLI-verktøy som brukes til å registrere og avregistrere biblioteker. Når man registrere en DLL-fil med regsrv32, legger man til informasjon i registeret slik at filen kan brukes av andre Windows-programmer. Angripere kand dermed bruke regsrvr32 til å laste COM-skript for å eksekvere DLLer. Dermed blir ikke COM-objektet registrert, men det blir eksekvert. En grundigere gjennomgang av teknikken er skrevet av Uptycs. Det har også vært en oppgang i registrering av .OCX filer ved hjelp av skadlige Microsoft Office dokumenter med makroer. Så langt har Uptycs sett mer enn 500 skadevare-eksemplarer som har brukt Regsrvr32.exe til å registrere .OCX-filer. Flere av disse tilhørte skadevarefamilien Qbot og Lokibot. For å oppdage om noen forsøker å utnytte Regsrvr32 kan man se på om foreldre-prosessen til Regsrvr32 er Microsoft Office, eller om den prøver å laste scrobj.ddl.
Referanser
https://threatpost.com/cybercriminals-windows[...] https://www.uptycs.com/blog/attackers-increas[...]

FritzFrog SSH-botnet har tatt over mer enn 1500 enheter

FritzFrog angriper tilnærmet alt som benytter seg av SSH. Det ble først oppdaget av Akamai labs i midten av 2020, da det hadde tatt over mer enn 500 enheter. Botnettet er desentralisert og benytter seg av peer to peer arkitektur, som gjør det vanskelig å oppdage og stenge ned. Den har også en del avanserte teknikker for å angripe målene sine. Angrepsteknikken til FritzFrog går ut på å scanne nettverk for SSH-tjenere, deretter brute-force angripe dem for å få initiell tilgang. Så blir skadevare installert og tjeneren begynner høre på port 1234. Så begynner scanning etter port 22 og 2222 mot andre IP-adresser. Oppnår den kontakt med andre noder i botnettet, vil de utveksle data og sørge for at de begge benytter seg av den nyeste versjonen av skadevaren og dens database. Den nyeste teknikken som blir brukt er å proxye SSH over Tor-nettverket for å maskere kilden til forbindelsen.
Referanser
https://arstechnica.com/information-technolog[...]

Apple oppdaterer zero-day svakhet som allerede utnyttes for å hacke iPhone, iPad og Mac

Apple har gitt ut sikkerhetsoppdateringer som fikser en ny nulldagssårbarhet i Safari som gjelder iPhone, iPad og Mac. Sårbarheten har blitt observert i aktiv utnyttelse av angripere. Svakheten er av typen "user after free" og har fått ID CVE-2022-22620.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://support.apple.com/en-us/HT213093 https://support.apple.com/en-us/HT213092

2022.02.10 - Nyhetsbrev

SAP gir ut kritiske oppdateringer. Dekrypteringsnøkkelen brukt av Maze, Egregor og Sekhmet publisert offentlig. Androids sikkerhetsoppdatering-pakke for februar fikser kritisk sårbarhet som kan gi utvidede rettigheter.

SAP gir ut kritiske oppdateringer

Tirsdag 8. februar ble den månedlige sikkerhetsoppdateringen fra SAP utgitt. Denne månedens slipp inneholder 14 nye sikkerhets fikser samt 5 oppdateringer av tidligere sikkerhetsoppdateringer. CISA nevner spesielt kritiske svakheter i SAP Internet Communication Manager (ICM), som i noen tilfeller kan være eksponert direkte mot Internett.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]

Dekrypteringsnøkkelen brukt av Maze, Egregor og Sekhmet publisert offentlig

I natt ble dekrypteringsnøkkelen for løsepengeprogrammene Maze, Egregor og Sekhmet publisert av den påståtte utvikleren Topleak. Topleak hevder at publiseringen av nøkkelen var planlagt og det ikke har noe sammenheng med de siste ransomware-relaterte arrestasjonene. Det blir også påpekt at medlemmene av gruppen skal ha ødelagt all kildekode og at de er ferdig med løsepenge-svindel. Emisoft utviklet og publisert et gratis program for dekryptering som lar løsepengesvindelens ofre gjenopprette filene som ble kryptert.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Androids sikkerhetsoppdatering-pakke for februar fikser kritisk sårbarhet som kan gi utvidede rettigheter

Android Security Bulletin går igjennom hvilke CVEer som har blitt patchet og hvilke komponenter CVEene tilhører. Det er en rekke sårbarheter som hadde høy risikovurdering, samt én merket kritisk, som har blitt fikset. Den mest alvorlige svakheten gjør det mulig for en angriper å oppnå utvidede rettigheter på systemet, uten at brukeren trenger å foreta seg noe. Denne svakheten ligger i System-komponenten.
Referanser
https://source.android.com/security/bulletin/[...]

2022.02.09 - Nyhetsbrev

Microsofts patchetirsdag fikser 51 sårbarheter, ingen rangert som kritiske. USA beslaglegger 3,6 milliarder dollar i Bitcoin stjålet i 2016. Russland arresterer enda en gruppe kriminelle hackere. Aktiviteten fra løsepengevirus er fortsatt høy. Mozilla har sluppet versjon 97 av Firefox som fikser kritiske sårbarheter.

Aktiviteten fra løsepengevirus er fortsatt høy

Politi og cybersikkerhetsmiljøet har vært fokusert på å stoppe farlige og dyre løsepengeangrep, og det ser ut til å fungere til en viss grad. Lockbit 2.0 og BlackCat-gjengene har dyrere og mer risikable løsepengevirusangrep ved at de har færre angrep, men med høyere krav om løsepenger. Firmaet Coveware har rapportert at i fjor steg en gjennomsnittlig utbetaling med 130 prosent til å nå 322 168 USD. Flere ransomware-grupper har også i det siste lagt ned eller skiftet navn for å unngå oppmerksomhet.
Referanser
https://threatpost.com/lockbit-blackcat-swiss[...] https://www.coveware.com/blog/2022/2/2/law-en[...]

Russland arresterer enda en gruppe kriminelle hackere

Russland har arrestert seks personer som skal være del av en hacker-gruppe som er involvert i tyveri og salg av stjålne kredittkort. Russisk politi har ikke spesifisert hvilken hackergrupper personene var tilkyttet. Myndighetene har også beslaglagt domenene til tre kreditt-kort relatert hacker-forum. Sidene viser nå en melding om at de er beslaglagt av innenriksdepartementet. I det siste har russland slått til mot og arrestert flere kriminelle bander innvolvert i cyber-kriminalitet.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

USA beslaglegger 3,6 milliarder dollar i Bitcoin stjålet i 2016

USA har beslaglagt rundt 3,6 milliarder dollar i Bitcoin som ble stjålet under et hack av kryptobørsen Bitfinex i 2016. Dette er det største økonomiske beslaget noen sinne og det ble også arrestert to personer som er siktet for hvitvasking av penger. De to personene hadde lagret de kryptografiske nøklene til alle verdiene på en skytjeneste. På tidspunket Bitcoinen ble stjålet var verdien rundt 71 millioner dollar. Bitfinex er børsen som står bak verdens største stablecoin, Tether. En stablecoin er en kryptovaluta som følger verdien til en ekte valuta, i dette tilfellet amerikanske dollar.
Referanser
https://www.bloomberg.com/news/articles/2022-[...] https://www.justice.gov/opa/press-release/fil[...]

Microsofts patchetirsdag fikser 51 sårbarheter, ingen rangert som kritiske

Ingen av sårbarhetene i månedens patchetirsdag hadde en kritisk risikovurdering. Ingen av svakhetene blir så langt kjent heller utnyttet i aktive angrep. Blant de mest alvorlige svakhetene var fjerneksekvering av kode i Windows DNS Server og SharePoint Server, samt fire feil som tillater eskalering av rettigheter ved hjelp av Windows Print Spooler. Det ble også fikset fjern-eksekvering av kode i Windows Hyper-V, en rettighetseskalering i Win32k og tjenestenekt-sårbarheter i flere forskjellige produkter.
Referanser
https://msrc.microsoft.com/update-guide/relea[...] https://www.darkreading.com/vulnerabilities-t[...]

Mozilla har sluppet versjon 97 av Firefox som fikser kritiske sårbarheter

Mozilla har fikset fire sårbarheter i FireFox som hadde høy risikovurdering. Noen av sårbarhetene ga angriper mulighet til å få skrive til vilkårlige mapper, som videre kunne blitt benyttet til å eskalere privilegier. En annen følges under CVE-2022-22754 og gjorde det mulig for nettleser-utvidelser (extensions) å auto oppdatere seg, og gi seg selv utvidede rettigheter. Det ble også fikset en rekke andre sårbarheter med lavere risikovurdering.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

2022.02.08 - Nyhetsbrev

Microsoft skal blokkere VBA-makroer som standard i en rekke Office-applikasjoner. Cyberangrep mot Vodafone Portugals mobil, tale og TV tjenester.

Microsoft skal blokkere VBA-makroer som standard i en rekke Office-applikasjoner

Microsoft skal nå blokkere Visual Basic for Applications (VBA) makroer som standard på en rekke Office produkter. Endringen vil gjelde Office-filer som er lastet ned fra Internett og som inneholder slike makroer. Dette vil føre til at brukere ikke kan kjøre slike makroer med et enkelt tastetrykk. Dette gjøres for å demme opp av bølgen av eposter som fører til nedlasting av malware til PCer ved hjelp av slike makroer.
Referanser
https://www.theverge.com/2022/2/7/22922032/mi[...] https://techcommunity.microsoft.com/t5/micros[...]

Cyberangrep mot Vodafone Portugals mobil, tale og TV tjenester

En stor del av kundetjenestene til Vodafone Portugal gikk offline over natten etter et bevisst og ondsinnet nettangrep. Selskapet har gjenopprettet mobil tale og data-tjenester over 3G nettet i nesten hele landet, men mangler fremdeles flere andre tjenester. Vodafone får hjelp både lokalt og internasjonalt i det som for øyeblikket er den største cybersikkerhetshendelsen selskapet noen gang har håndtert. Selskapet sammarbeider med myndighetene og basert på nåværende opplysninger ser det ikke ut til at kundedata er kompromittert.
Referanser
https://therecord.media/cyberattack-brings-do[...]

2022.02.07 - Nyhetsbrev

Kinesisk aktører har fått tilgang til ansattes kontoer på News Corp sitt nettverk.

Kinesisk aktører har fått tilgang til ansattes kontoer på News Corp sitt nettverk

Angripere har fått tilgang til eposter og dokumenter som tilhører ansatte hos News Corp. Dette gjorde de ved å angripe en tredjepartsleverandør som leverte skytjenester til News Corp. Angrepet ble oppdaget 20. januar og etterforskes fortsatt. News Corp er et mediekonsern som eier flere store media produsenter, blant annet The Wall Street Journal, New York Post, The Sun, Barrons, The Australian, The Times og Market Watch. De har også andre bedrifter som ikke produserer media, men disse er tilsynelatende ikke blitt utsatt for angrep.
Referanser
https://therecord.media/news-corp-breached-by[...] https://www.theguardian.com/media/2022/feb/04[...]

2022.02.04 - Nyhetsbrev

To løsepengevirus-angrep mot olje- og kjemikalie-sektoren i Europa er trolig ikke relaterte. Aktiv utnyttelse av zero-day XSS-svakhet i Zimbra.

To løsepengevirus-angrep mot olje- og kjemikalie-sektoren i Europa er trolig ikke relaterte

I de siste dagene har det vært data-angrep mot flere havner som driver med olje-eksport i Belgia, Nederland og Tyskland. Litt før dette var det også angrep rettet mot en olje-distributør mot et tysk selskap. Så langt har sikkerhetsmyndigheter i landene sagt at angrepene er individuelle og ikke har noensammenheng eller felles aktør. Foreløpig mistenkes det at aktørene som står bak angrepene er BlackCat Group og Conti, som ikke er identifisert som statlig støttede aktører.
Referanser
https://therecord.media/string-of-cyberattack[...]

Aktiv utnyttelse av zero-day XSS-svakhet i Zimbra

Firmaet Volexity oppdaget i Desember 2021 en rekke spear-phishing kampanjer som utnyttet en zero-day XSS-svakhet i e-post-platformen Zimbra. Et vellykket angrep kan gi mulighet for å kjøre vilkårlig javascript kode i offeret sin Zimbra-sesjon. Angrepet ble utført mot Europeiske regjeringer og diverse media. Volexity regner med at det er en kinseisk aktør som står bak angrepsbølgen.
Referanser
https://www.volexity.com/blog/2022/02/03/oper[...]

2022.02.03 - Nyhetsbrev

Svakhet i krypto-plattformen Wormhole brukt til å stjele 326 millioner USD. Cisco fikser 15 svakheter i flere SMB RV-rutere. Ny utgave av Google Chrome i stabil-kanalen.

Svakhet i krypto-plattformen Wormhole brukt til å stjele 326 millioner USD

I går kveld benyttet angripere seg av en svakhet i krypto-plattformen Wormhole, som er en krypto-bro for å overføre krypto-valuta mellom forskjellige blokkjeder. En svakhet gjorde at verdier som egentlig skulle være låst i broen, kunne hentes ut. Det var broen mellom blokkjedene Ethereum og Solana som ble utnyttet. Eierne av Wormhole og Solana har lovet at ingen vanlige brukere skal bli skadelidende av tyveriet.
Referanser
https://www.bleepingcomputer.com/news/cryptoc[...] https://www.coindesk.com/tech/2022/02/02/bloc[...]

Cisco fikser 15 svakheter i flere SMB RV-rutere

Cisco har fikset en rekke kritiske CVEer i Small Business RV-ruterne. Bekreftede serier med svakheter er RV160, RV260, RV340 og RV345. Svakhetene kan brukes til å få fjerntilgang til systemene, oppnå utvidede rettigheter, kjøre tilfeldig kode osv.
Referanser
https://tools.cisco.com/security/center/conte[...]

Ny utgave av Google Chrome i stabil-kanalen

Google chrome har kommet ut med Chrome 98 til stabil-kanaler for Windows, Mac og Linux. Den nye versjonen utbedrer blant annet 27 sikkerhetssvakheter.
Referanser
https://chromereleases.googleblog.com/2022/02[...]

2022.02.02 - Nyhetsbrev

1 av 7 løsepenge-utpressingsangrep lekker kritisk informasjon om interne prosesstyringsystemer. Wired med artikkel om Trickbot. Kritisk sårbarhet i Samba: CVE-2021-44142.

1 av 7 løsepenge-utpressingsangrep lekker kritisk informasjon om prosesstyringsystemer

I 2021 fortsatte Mandiant Threat Intelligence å observere løsepengevirusoperatører som forsøkte å presse tusenvis av ofre ved å analysere flere terabyte med stjålet informasjon. Operatørene legger ofte ut denne typen informasjon på egne "lekkasje-nettsider". Dette påvirker over 1300 organisasjoner fra kritisk infrastruktur og industriell produksjonssektor på bare ett år. I mange av lekkasjene av interne data som blir lagt ut, befinner det seg informasjon om kritiske prosesstyringsystemer. Dette er informasjon som avanserte aktører kan bruke til spesielt skadelig angrep senere.
Referanser
https://www.mandiant.com/resources/ransomware[...]

Wired med artikkel om Trickbot

Wired har skrevet en artikkel om Trickbot, en notorisk løsepengevirusgruppe med bindinger til Russland. I artikkelen beskrives strukturen til gruppen, hvordan de angrep mer enn 400 amerikanske sykehus, planla å åpne seks kontorer i St. Petersburg, med mer. Les artikkelen i lenken for mer informasjon.
Referanser
https://www.wired.com/story/trickbot-malware-[...]

Kritisk sårbarhet i Samba: CVE-2021-44142.

Alle versjoner av Samba før 4.13.17 er sårbare for en lese/skrive sårbarhet. Denne lar eksterne angripere kjøre vilkårlig kode som root på berørt Samba installasjoner, dersom de bruker VFS-modulen "vfs_fruit". Feilen eksisterer i behandlingen av metadata når man åpner filer i smdb. En trenger tilgang til en bruker som har skrive-tilgang til en fils utvidede attributter for å utnytte sårbarheten. Dette kan være en gjest eller uautentisert bruker, dersom slike brukere får skrivetilgang til denne typen attributter.
Anbefaling
Oppgradere til Samba versjon 4.13.17, 4.14.12 eller 4.15.5
Referanser
https://www.samba.org/samba/security/CVE-2021[...]

2022.02.01 - Nyhetsbrev

Symantec skriver om avanserte cyber-angrep mot Ukraina. Crowdstrike har detaljer om en angreps-kampanje kalt StellarParticle.

Symantec skriver om avanserte cyber-angrep mot Ukraina

Symantec har skrevet en lengre blogg-post om cyber-angrep gjennomført av grupperingen Shuckworm/Gamaredon/Armageddon som har Ukraina som mål. Gruppen, som knyttes til Russland, benytter seg i størst mulig grad av verktøy som allerede finnes installert på maskiner de får tilgang til (living-off-the-land). Bakdøren Pterodo blir installert på rammede maskiner. Angrepet som ble observert startet via et malware-infisert dokument i en epost. Shuckworm har vært aktive siden 2013 og retter seg ofte mot mål i Ukraina.
Referanser
https://symantec-enterprise-blogs.security.co[...]

Crowdstrike har detaljer om en angreps-kampanje kalt StellarParticle

Crowdstrike har detaljer om en ny angrepskampanje fra den russiske aktøren Cozy Bear (APT-29) kalt StellarParticle. Kampanjen var aktiv i hele 2021 og benyttet seg av mange teknikker i forbindelse med angrep mot forsyningskjeder. Kompromitterte maskiner fikk installert malware av typen GoldMax og TrailBlazer. Rapporten inneholder en grundig oversikt over aktørens taktikk, teknikker og prosedyrer koblet opp mot Mitres Att&ck-rammeverk.
Referanser
https://www.crowdstrike.com/blog/observations[...]