Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 31 March 2022

2022.03.31 - Nyhetsbrev

Spring4Shell svakhet bekreftet - patch tilgjengelig. Lapsus$ er tilbake fra ferie og har slått til mot Globant. Apple og Meta ga brukerinformasjon til hackere som forfalsket juridiske henvendelser.

Spring4Shell svakhet bekreftet - patch tilgjengelig

I gårsdagens nyhetsbrev omtalte vi rykter om en ny sårbarhet i Spring Core, eksempelkode (PoC - Proof of Concept) ble sluppet i går kveld, og Spring har nå bekreftet svakheten og sluppet en patch for problemet. Svakheten er fikset i versjon 5.3.18 og 5.2.20 som akkurat har kommet ut.

Eksempel-koden fører til vilkårlig filskriving, og angriper kan da laste opp et webshell som senere kan brukes til å ta kontroll over en sårbar server. Mer sofistikerte metoder er antatt å komme de nærmeste dagene.

Det er foreløpig uklart i hvor mange tilfeller svakheten faktisk kan utnyttes i virkeligheten. Svakheten har foreløpig ikke fått tildelt et CVE-nummer.
Referanser
https://spring.io/blog/2022/03/31/spring-fram[...]
https://www.rapid7.com/blog/post/2022/03/30/s[...]
https://www.lunasec.io/docs/blog/spring-rce-v[...]
https://www.praetorian.com/blog/spring-core-j[...]
https://isc.sans.edu/forums/diary/Java+Spring[...]

Lapsus$ er tilbake fra ferie og har slått til mot Globant

Lapsus$ gruppen har lekket 70GB med data som tilhører selskapet Globant, etter at de selv skriver at de er tilbake igjen fra ferie. Globant er et internasjonalt programvareutviklingsselskap.

Dataene inneholder blant annet admin-brukernavn og passord til en rekke av selskapets DevOps-tjenester som GitHub, Jira, Confluence og Crucible. Det mistenkes også at dataene inneholder kildekode som tilhører Globant og flere av deres kunder.
Referanser
https://threatpost.com/lapsus-back-from-vacat[...]

Apple og Meta ga brukerinformasjon til hackere som forfalsket juridiske henvendelser

Apple og Meta ga ut brukerinformasjon til hackere som ga seg ut for å være politietterforskere fra forskjellige land, forteller tre personer som har kunnskap om saken. Brukerinformasjonen som ble gitt ut var informasjon som adresse, telefonnummer og IP-addresse. Dette skjedde rundt midten av fjoråret.

Hackerne hadde først kompromittert epost-kontoene til politietterforskerne, før de sendte henvendelsene. Det var derfor vanskelig for mottagerne å avsløre svindelen.
Referanser
https://www.bloomberg.com/news/articles/2022-[...]

Wednesday, 30 March 2022

2022.03.30 - Nyhetsbrev

Rykter om ny svakhet som kan ligne på Log4Shell-svakheten: Spring4Shell. Nytt tyveri av kryptovaluta verdt over fem milliarder kroner. Kritisk svakhet i brannmurer fra SonicWall.

Rykter om ny svakhet som kan ligne på Log4Shell-svakheten: Spring4Shell

Det ryktes om en svakhet i Java-rammeverket Spring som kan brukes til å eksekvere kode på sårbare systemer. Spring har så langt ikke bekreftet at det finnes noen svakhet.
Referanser
https://www.cyberkendra.com/2022/03/springshe[...]

Nytt tyveri av kryptovaluta verdt over fem milliarder kroner

Ukjente tyver har kommet seg unna med store mengder Ethereum og USDC fra blokkjedeplattformen Ronin Network. Tyveriet skjedde 23. mars, men ble ikke oppdaget før i går. Angrepet rettet seg mer spesifikt mot Ronin Bridge, som er en bro for å overføre verdier mellom ETH- og Ronin-blokkjeden. Ronin-nettverket brukes primært av det populære blokkjede-baserte spillet Axie Infinity.
Referanser
https://www.digi.no/artikler/storste-noensinn[...]
https://roninblockchain.substack.com/p/commun[...]

Kritisk svakhet i brannmurer fra SonicWall

SonicWall melder om en kritisk sårbarhet i administrasjons-interfacet til brannmurene deres. Det dreier seg om en stack-overflytsfeil som kan utnytes uten at brukeren er autentisert. Svakheten kan utnyttes til å utføre tjenestenekt mot brannmuren eller å kjøre vilkårlig kode på den. Vi anbefaler å installere oppdatering så fort som mulig og generelt begrense tilgang til administrasjons-interfacer.
Anbefaling
Les advisory og installer patch eller begrens tilgang til admin-grensesnitt.
Referanser
https://www.securityweek.com/sonicwall-patche[...]
https://psirt.global.sonicwall.com/vuln-detai[...]

Tuesday, 29 March 2022

2022.03.29 - Nyhetsbrev

0-dags svakhet i Chrome gjelder også andre Chromium-baserte nettlesere. Russisk cyberangrep har tok ned nettverket til Ukrtelecom. Sikkerhetsforsker poster detaljer om Lapsus$ sitt innbrudd hos Okta.

0-dags svakhet i Chrome gjelder også andre Chromium-baserte nettlesere

I går hadde vi en sak om en kritisk 0-dags sårbarhet i Googles Chrome-nettleser som blir utnyttet i angrep. Denne svakheten gjelder også andre nettlesere basert på Chromium, som Microsoft Edge, Brave og Vivaldi.
Referanser
https://www.digi.no/artikler/advarer-om-nulld[...]
https://msrc.microsoft.com/update-guide/vulne[...]

Russisk cyberangrep har tok ned nettverket til Ukrtelecom

Ukrtelecom er en Internet, mobil og telefonileverandør lokalisert i Ukraina. Selskapet er det største av sin type i landet og ble i går utsatt for dataangrep fra Russland. Så langt er det ikke blitt avslørt hva slags type angrep det er snakk om, men det kan være snakk om et DDoS-angrep eller et mer sofistikert angrep.

Ukrainske myndigheter har siden opplyst at angrepet har blitt håndtert og at Ukrtelecom har begynt å få opp igjen tjenestene sine, men at de vil prioritere å levere tjenestene sine til militære grupper i Ukraina.
Referanser
https://www.forbes.com/sites/thomasbrewster/2[...]

Sikkerhetsforsker poster detaljer om Lapsus$ sitt innbrudd hos Okta

En uavhengig sikkerhetsforsker har postet en tidslinje over angrepet mot Okta fra Mandiant. Hackergruppen fikk tilgang til en laptop tilhørende firmaet Sitel/SYKES, som igjen leverte tjenester til Okta.
Referanser
https://venturebeat.com/2022/03/28/this-is-ma[...]

Monday, 28 March 2022

2022.03.28 - Nyhetsbrev

Google patcher aktivt utnyttet svakhet i Chrome. Kritisk sårbarhet i brannmurer fra Sophos.

Google patcher aktivt utnyttet svakhet i Chrome

Google har startet ny utrulling for Chrome Desktop for Windows, Mac og Linux. Oppdateringen inkluderer én sikkerhetsfiks for CVE-2022-1096, en "type confusion"-sårbarhet i javascript-motoren. Google opplyser at det finnes utnyttelseskode tilgjengelig for svakheten som allerede utnyttes aktivt. Vi anbefaler å patche ASAP.
Referanser
https://chromereleases.googleblog.com/2022/03[...]
https://www.androidpolice.com/google-emergenc[...]

Kritisk sårbarhet i brannmurer fra Sophos

Denne fredagen opplyste Sophos at de har blitt informert om en ny sårbarhet i Sophos sine brannmurer som tillater remote code execution (RCE). Sårbarheten gjør det mulig for en angriper som har tilgang til brannmurens web-interface å kjøre vilkårlig kode uten å autentisere seg. Sårbarheten finner man i versjonen 18.5 MR3 og tidligere. Sophos har siden sluppet en hotfix som gjør at produkter med automatisk oppdatering allerede er patchet for sårbarheten.
Anbefaling
Oppdater Sophos produkter om det ikke allerede har blitt gjort.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Friday, 25 March 2022

2022.03.25 - Nyhetsbrev

Nordkoreanske hackere utnytter zero day svakhet i Chrome. Britisk politi med arrestasjoner i Lapsus$-etterforskning. HP-skrivere rammet av kritiske sårbarheter.

Nord Koreanske hackere utnytter zero day svakhet i Chrome

Nordkoreanske hackere har utnyttet en zero day svakhet i Chrome i opptil en måned før sikkerhetsoppdatering ble tilgjengelig. Angrepene skal ha vært rettet mot nyhetsmedier, IT-selskaper, kryptobørser og selskaper som står for bankløsninger. Den skadelige koden ble levert både via eposter, falske nettsteder og kompromitterte legitime nettsider.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://blog.google/threat-analysis-group/cou[...]

Britisk politi med arrestasjoner i Lapsus$-etterforskning

Britisk politi opplyser at de nå har arrestert syv personer i forbindelse med etterforskning av Lapsus$-grupperingen. Personene er mellom 16 og 21 år. En 16-åring er mistenkt for å være hovedmannen og skal ha tjent over 10 millioner Pund på hacking-aktivitet.

Sikkerhetsforskeren Brian Krebs har også tatt en nærmere kikk på gruppens aktiviteter og historie.
Referanser
https://www.bbc.com/news/technology-60864283
https://krebsonsecurity.com/2022/03/a-closer-[...]

HP skrivere rammet av kritiske sårbarheter

HP har kommet med ny fastvare for å sikre en rekke skriver-modeller. De fleste har vært sårbare for fjernkjøring av kode, som skyldes en buffer-overflytfeil. Flere kritiske feil har vært mulighet for fjernkjøring av kode, tjenestenektangrep og avsløring av informasjon. Noen av sårbarhetene ser ut til å ha blitt utnyttet av hacktivist-gruppen Anonymous mot skrivere i Russland.
Referanser
https://www.digi.no/artikler/drossevis-av-skr[...]

Thursday, 24 March 2022

2022.03.24 - Nyhetsbrev

Sikkerhetsforskere mener at lederen av Lapsus$ er en 16-åring fra Oxford. Mandiant har gitt ut rapport om hacker-grupper fra Nord-Korea.

Sikkerhetsforskere mener at lederen av Lapsus$ er en 16-åring fra Oxford

I de siste ukene har hackergruppen Lapsus$ hacket kjente firmaer som Microsoft, Okta, Nvidia og Samsung. Forbes melder nå at fire sikkerhetsforskere som jobber med å undersøke angrepene har sporet dem tilbake til Oxford, England. Hovedersonen bak angrepene skal være en 16-åring som fortsatt bor hjemme hos sine foreldre. Grupperingen skal også ha minst seks andre medlemmer, blant annet fra Brasil. Medlemmene har gjerne brukt sosial manipulering til å få tilgang til bedriftenes nettverk.
Referanser
https://www.bloomberg.com/news/articles/2022-[...]

Mandiant har gitt ut rapport om hacker-grupper fra Nord-Korea

Mandiant har gått igjennom forskjellige hacker-grupper fra Nord-Korea og har knyttet dem opp mot statlige organisasjoner.
Referanser
https://www.mandiant.com/resources/mapping-dp[...]

Wednesday, 23 March 2022

2022.03.23 - Nyhetsbrev

Både Microsoft og Okta bekrefter innbrudd fra trusselaktøren LAPSUS$. Innbruddet hos Okta viser seg å være mer alvorlig enn først antatt, da aktøren kan ha hatt tilgang til 366 kunder (2.5%).

Okta bekrefter innbrudd fra trusselaktøren LAPSUS$

På tirsdag 22. mars la Lapsus$-gruppen ut skjermbilder fra det de påsto var et internt system hos Okta. Okta avfeide først innbrudddet med at det hadde skjedd i januar, og at alt var håndtert. I går la imidlertid Okta ut en oppdatert bloggpost som får hendelsen til å virke mer alvorlig. De opplyser at angripere hadde RDP-tilgang til en maskin eid av underleverandøren Sitel. Derfra fikk de tilgang til enkelte av Okta sine systemer.

Tilgangen var begrenset ut i fra den ansattes stilling i kundesupport (Customer Support Engineer), men kundedata for 366 kunder kan ha blitt aksessert. Det utgjør ca 2.5% av kundene til selskapet. Angriperne hadde tilgang til systemene fra 16. til 21. januar, før inntrengerne ble oppdaget etter at de forsøkte å endre MFA-instillingene til den hackede kontoen.
Referanser
https://www.okta.com/blog/2022/03/oktas-inves[...]
https://www.okta.com/blog/2022/03/updated-okt[...]

Microsoft har skrevet om trusselgruppen DEV-0537/LAPSUS$ og bekrefter innbrudd

Microsoft Threat Intelligence Center har lagt ut en analyse av den siste trusselkampanjen fra trusselgruppen LAPSUS$/DEV-0537. De skriver at gruppen fokuserer på sosial manipulering og utnyttelse av systembrukere. Taktikker, teknikker og prosedyrer for hvordan gruppen får tilgang, eskalerer rettigheter og eksfiltrere data er beskrevet i innlegget.

Microsoft bekrefter også at Lapsus$ fikk tilgang til én konto internt i Microsoft med begrensede rettigheter. Ingen kundedata skal ha blitt berørt.

Innlegget avsluttes med flere sikkerhetsanbefalinger, bl.a:
- Skru på multifaktorautentisering, og gå vekk fra SMS som MFA-faktorer.
- Bruk tjenester som hindrer brukere i å sette kjente lekkede passord.
- Øk brukernes kunnskap om sosial manipulering.
Referanser
https://www.microsoft.com/security/blog/2022/[...]

Tuesday, 22 March 2022

2022.03.22 - Nyhetsbrev

Lapsus$ påstår at de har brutt seg inn hos Okta. Det hvite hus advarer mot mulige cyberangrep fra Russland. Lapsus$ hevder de har stjålet kildekode fra Microsoft.

Lapsus$ påstår at de har brutt seg inn hos Okta

Lapsus-gruppen har offentliggjort skjermbilder fra interne systemer hos Okta, som driver med identitets- og tilgangshåndtering for tusenvis av firmaer.

Okta kommenterer at de er klar over et innbrudd som skjedde i januar, men at saken skal være håndtert. Skjermbildene skal stamme fra dette innbruddet.

Vi anbefaler kunder av Okta å følge ekstra med på situasjonen framover og verifisere at det ikke skjer uautoriserte pålogginger til systemer.
Referanser
https://edition.cnn.com/2022/03/22/tech/okta-[...]
https://twitter.com/toddmckinnon/status/15061[...]

Det hvite hus advarer mot mulige cyberangrep fra Russland

Det hvite hus advarte mandag om at de har etterretning som tyder på kommende cyberangrep fra Russland. Dette kan komme som en gjengjeldelse mot vesten etter alle de økonomiske sanksjonene som har rammet landet i det siste. Det hvite hus gir også en del generelle tips til hvordan en kan øke sikkerheten. Kreml har allerede tilbakevist påstanden.
Referanser
https://www.whitehouse.gov/briefing-room/stat[...]
https://www.digi.no/artikler/russland-avviser[...]

Lapsus$ hevder de har stjålet kildekode fra Microsoft

Hackergruppen Lapsus$ hevder de har stjålet store mengder kildekode fra Microsoft, blant annet fra prosjektene Bing og Cortana. Dataene skal være stjålet etter et innbrudd i Microsofts interne Azure DevOps-server. 37GB med data er så langt offentliggjort, og de ser ut til å være autentiske.

Microsoft sier at de undersøker påstandene.

I det siste har Lapsus$ brutt seg inn hos og stjålet data fra kjente firmaer som NVIDIA, Samsung, Vodafone og Ubisoft.
Referanser
https://www.bleepingcomputer.com/news/microso[...]
https://www.bleepingcomputer.com/news/securit[...]

Monday, 21 March 2022

2022.03.21 - Nyhetsbrev

Den norske bilforhandlerkjeden Mobile er rammet av cyberangrep.

Norsk bilforhandlerkjede rammet av cyberangrep

Natt til torsdag 17. mars ble IT-systemene til forhandler-kjeden Mobile utsatt for en angrep som resulterte i at minst 30 bilbutikker ikke har fungerende IT-system. Angrepet skal stamme fra Russland, og det kommer ikke frem om kundedata er lekket. Mobile håper å være oppe igjen i løpet av dagen, dersom de får lagt inn igjen siste backup.
Referanser
https://www.digi.no/artikler/norsk-bilforhand[...]

Friday, 18 March 2022

2022.03.18 - Nyhetsbrev

TrickBot utnytter MikroTik-rutere. Trend Micro om Cyclops Blink og angrep mot Asus-rutere. Google avdekker tilgangs-selgere som jobber med ransomware-banden Conti.

TrickBot utnytter MikroTik-rutere

TrickBot-botnettet har lenge gjort målrettede angrep mot MikroTik rutere. Det viser seg nå at TrickBot har benyttet seg av kompromiterte MikroTik-rutere som mellomledd (jump-host) i et forsøk på å skjule trafikken til kommando og kontroll (C2) servere. Grunnen til at MikroTik har vært et mål er fordi de benytter seg av et fleksibelt Linux-basert operativsystem som gjør det mulig å pipe til ssh fra eksternt hold. Trickbot-operatørene kan dermed enkelt kjøre kommandoer på en stor mengde enhter samtidig.
Referanser
https://arstechnica.com/information-technolog[...]

Trend Micro om Cyclops Blink og angrep mot Asus-rutere

Trend Micro skriver om de tekniske egenskapene til malwarevarianten av Cyclops Blink som retter seg mot ASUS-rutere og inkluderer bl.a. en liste over mer enn 150 nåværende og historiske kommando-og-kontroll-servere (C&C) tilhørende Cyclops Blink-botnettet. I forbindelse med angrepene anbefales det å oppdatere Asus-routere til siste firmware-versjon!
Referanser
https://www.trendmicro.com/en_us/research/22/[...]
https://www.asus.com/content/ASUS-Product-Sec[...]

Google avdekker tilgangs-selgere som jobber med ransomware-banden Conti

Google avdekker tilgangs-selgere (Initial Access Broker) som jobber med ransomware-banden Conti. Denne har fått navnet "Exotic Lily" og har blitt observert i å utnytte en nå rettet kritisk feil i Microsoft Windows MSHTML-plattformen som en del av en større phishing-kampanje mot mange organisasjoner for å få tilganger som de deretter kan selge.
Referanser
https://thehackernews.com/2022/03/google-unco[...]
https://blog.google/threat-analysis-group/exp[...]

Thursday, 17 March 2022

2022.03.17 - Nyhetsbrev

Mye brukt NPM-pakke sabotert av personen med ansvaret for den. Teknisk gjennomgang av den nye ransomware-varianten Pandora. Ny Google Chrome oppdatering.

Mye brukt NPM-pakke sabotert av personen med ansvaret for den

Utgiveren av den mye brukte NPM-pakken "node-ipc" har sabotert pakken med vilje i protest mot Ukraina-krigen. Nyere versjonen av pakken sletter innholdet i filer, dersom pakken brukes i Russland eller Hviterussland. Pakken har blitt lastet ned over én million ganger i uken, og brukes i mange andre prosjekter.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://nvd.nist.gov/vuln/detail/CVE-2022-23812

Teknisk gjennomgang av den nye ransomware-varianten Pandora

Bloggen Dissecting Malware har tatt en teknisk gjennomgang av den nye ransomware-varianten Pandora. Den nye gruppen står blant annet bak angrepet mot OEM Denso, som er en underleverandør til flere bil-produsenter.
Referanser
https://dissectingmalwa.re/blog/pandora/

Ny Google Chrome oppdatering

Google Chrome jobber med å gjøre en ny oppdateringen tilgjengelig for alle for sin stabile plattform på Windows, Mac og Linux Chrome enheter de kommende dagene/ukene. Oppdateringen tar for seg 11 sikkerhets sårbarheter, der én regnes som kritisk.
Referanser
https://chromereleases.googleblog.com/2022/03[...]

Wednesday, 16 March 2022

2022.03.16 - Nyhetsbrev

Apple slipper sikkerhetsoppdateringer for en mengde produkter. Ny svakhet i OpenSSL kan føre til DoS-angrep. Nye kritiske sårbarheter i Veeam produkter. CISA og FBI med rapport om russiske aktører som bruker feilkonfigurerte MFA-protokoller. Den nye "Dirty Pipe"-svakheten i Linux-kjernen brukt til å få root-tilgang på Pixel 6 Pro og Samsung S22.

Apple slipper sikkerhetsoppdateringer for en mengde produkter

Apple har sluppet oppdateringer for en rekke av sine produkter, blant annet Safari 15.4, macOS (diverse versjoner), Xcode 13.3, iOS, iTunes 12.12.3 for Windows osv.
Referanser
https://support.apple.com/en-us/HT201222

Ny svakhet i OpenSSL kan føre til DoS-angrep

En ny svakhet i OpenSSL med CVE-2022-0778 kan føre til DOS-angrep mot servere og klienter som serverer sertifikater. En svakhet i en funksjon gjør at en angriper kan lage spesiallagde sertifikater som kan skape en evig loop i programmet. Versjoner som er påvirket: 1.0.2, 1.1.1 og 3.0.
Referanser
https://www.openssl.org/news/secadv/20220315.txt

Nye kritiske sårbarheter i Veeam produkter

Den 12. mars ble det publisert informasjon om to nye kritiske sårbarheter til Veeam Backup and Replication og Veeam Agent. Sårbarheten gjør det mulig å få til Remote Code Execution på sårbare systemer. Svakhetene har blitt tildelt CVE-2022-26500 og CVE-2022-26501.
Referanser
https://nsm.no/fagomrader/digital-sikkerhet/n[...]

CISA og FBI med rapport om russiske aktører som bruker feilkonfigurerte MFA-protokoller

CISA og FBI har publisert en anbefaling som beskriver hvordan russiske trusselaktører utnytte feilkonfigurerte standard MFA-protokoller for å få tilgang til nettverk. Dette ble gjort ved å melde inn nye enheter i nettet, uten at disse egentlig skulle hatt tilgang. Deretter bruker de PrintNightmare svakheten til å spre seg i nettverket.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]
https://www.cisa.gov/uscert/ncas/alerts/aa22-074a

Den nye "Dirty Pipe"-svakheten i Linux-kjernen brukt til å få root-tilgang på Pixel 6 Pro og Samsung S22

En sikkerhetsforsker har klart å utnytte den nye Dirty Pipe exploiten i Linux for å få full root-tilgang til to android-telefoner. Disse nye telefonene er valgt fordi det kreves en spesifik nyere versjon av Linux-kjernen for at exploit-koden skal fungere. Dermed skal angrepsflaten av android telefoner være relativt smal. Svakheten krever også lokal tilgang til enheten, eller at brukeren laster ned og installerer en skadelig app, for at den skal kunne utnyttes.
Referanser
https://arstechnica.com/information-technolog[...]

Tuesday, 15 March 2022

2022.03.15 - Nyhetsbrev

Ny feil i nettfilter brannmur-modul for Linux lar angripere få root-tilgang.

Ny feil i nettfilter brannmur-modul for Linux lar angripere få root-tilgang

Den nyoppdagede sikkerhetsfeilen i Linux-kjernen kan bli brukt til å få høyere tilgang på sårbare systemer. Dette lar angriperen kjøre vilkårlig kode, komme ut av kontainere og få systemet til å krasje (kernel panic).

Svakheten har en CVSS-score på 7.8 og er kjent som CVE-2022-25636. Den påvirker Linux-kjernen fra versjon 5.4 til 5.6.10.
Referanser
https://thehackernews.com/2022/03/new-linux-b[...]

Monday, 14 March 2022

2022.03.14 - Nyhetsbrev

Den ukrainske internettleverandøren Triolan kompromittert to ganger. Hackergruppen Lapsus$ ønsker å ansette innsidere.

Den ukrainske internettleverandøren Triolan kompromittert to ganger

Triolan har meddelt at de i det siste har vært utsatt for to cyberangrep, det første i februar og det andre under starten av den russiske invasjonen. Dette har medført at noen deler av Ukraina har vært uten nett. Talspersonen til Triolan har sagt at de ikke har mange detaljer rundt hendelsen, men at de jobber aktivt med å fikse feilen. De forteller at deler av nettverket vil være vanskelig å fikse, da det krever fysisk tilgang til utstyret.
Referanser
https://www.forbes.com/sites/thomasbrewster/2[...]

Hackergruppen Lapsus$ ønsker å ansette innsidere

Torsdag 10. mars kunngjorde Lapsus$ ransomware-gjengen at de gjerne vil rekruttere innsidere ansatt i store teknologigiganter og ISPer, slike selskaper inkluderer Microsoft, Apple, EA Games og IBM.

Hackergruppen lapsus$, som er kjent for å ha utført dataangrep mot bla. Nvidia og Samsung, er spesielt ute etter å kjøpe ekstern VPN-tilgang og ber potensielle innsidere om å kontakte dem privat via Telegram mot betaling for hver tilgang som blir gitt.

Eksperter på nettsikkerhet er enige om at slik aktivitet skaper en større innsiderisiko og sannsynligvis vil bli utnyttet mer aktivt av ulike trusselaktører på The Dark Web.
Referanser
http://securityaffairs.co/wordpress/128912/cy[...]

Friday, 11 March 2022

2022.03.11 - Nyhetsbrev

Russisk sensurmyndighet trolig rammet av datalekkasje

Russisk sensurmyndighet trolig rammet av datalekkasje

Gruppen som kaller seg DDoSecrets (Distributed Denial of Secrets) publiserte torsdag torrentlenker til en stor samling med lekkede filer som skal stamme fra Roskomnadzor (den føderale russiske tjenesten for tilsyn av kommunikasjon) i Basjkortostan. Gruppen mener at informasjonen kan antyde at russiske myndigheter vil stenge russiske-innbyggeres tilgang til det globale internett.
Referanser
https://www.digi.no/artikler/russisk-sensurmy[...]

Thursday, 10 March 2022

2022.03.10 - Nyhetsbrev

Null-klikk sårbarhet funnet i APC Smart-UPS, kan gjøre skade på kritisk infrastruktur

Null-klikk sårbarhet funnet i APC Smart-UPS, kan gjøre skade på kritisk infrastruktur

Tre kritiske sikkerhetssårbarheter er funnet i APC Smart-UPS, som er i bruk av over 20 millioner verden over. Enhetene er kontrollert over skyen, og en angriper kan dermer eksternt ta kontroll over den fra internett uten bruker innput. Svakhetene, som er døpt TLStorm, gjør det også mulig for angriperen å kjøre ekstern kode som igjen kan gjøre det mulig å få endre operasjonene til UPSen og kan dermed gjøre fysisk skade på den og andre enheter koblet til.
Referanser
https://threatpost.com/zero-click-flaws-ups-c[...]

Wednesday, 9 March 2022

2022.03.09 - Nyhetsbrev

Microsoft har fikset 71 sårbarheter i Mars, Svakhet i Mitel MiCollab og MiVoice benyttet til DDoS angrep og Kinesiske APT41 har angrepet statlige systemer i USA ved hjelp av USAHERDS.

Microsoft har fikset 71 sårbarheter i Mars

Totalt ble det fikset 71 sårbarheter, hvor 41 av de tilhørte Windows. Det er ikke funnet tegn på at de fiksede sårbarhetene ble aktivt utnyttet. To av sårbarhetene som har blitt fikset er av høy kritikalitet og går under CVE-2022-22006 og CVE-2022-24501. Utnyttelse av disse sårbarhetene gjennomføres ved å få ett mål til å laste ned en skreddesydd fil som kræsjer og utnytter sårbarhetene når den åpnes.
Referanser
https://www.zdnet.com/article/microsoft-march[...]
https://nsm.no/fagomrader/digital-sikkerhet/n[...]

Svakhet i Mitel MiCollab og MiVoice benyttet til DDoS angrep

Rundt 2600 Mitel MiCollab og MiVoice Business Express enheter var feilaktig konfigurert i ett testmiljø som medførte at systemer ble eksponert til offentligheten. Mitel har siden sluppet oppdateringer som fikser feilen og bidratt til å hjelpe kunder fjerne feilen slik at enhetene ikke kan utnyttes til DDoS amplifikasjon.

Sårbarheten går under CVE-2022-26143 og har en amplifikasjonsstørrelse på 4,294,967,296:1. Selv om angrepene kan oppnå en enorm størrelse kan de mitigeres med vanlige mitigeringsmetoder mot port 10074.
Referanser
https://www.shadowserver.org/news/cve-2022-26[...]

Kinesiske APT41 har angrepet statlige systemer i USA ved hjelp av USAHERDS

USAHERDS er web basert programvare som brukes til å overvåke dyr og deres sykdom i Amerika.


APT41 brukte USAHERDS som en angrepsvektor for å ta seg inn i systemer som tilhørte myndighetene i seks Ameriksanske stater. Sårbarheten i USAHERDS gikk ut på at alle maskiner som benyttet seg av programvaren brukte hardkodede nøkler for kryptering og kommunikasjon med servere. Dette gjorde det mulig for APTen å angripe servere. Det har nå blitt rullet ut en oppdatering for USAHERDS sårbarheten.

Mandiant har også utgitt informasjon om at angrep fra APT41 har blitt observert mot flere andre land.
Referanser
https://www.wired.com/story/china-apt41-hacki[...]

Tuesday, 8 March 2022

2022.03.08 - Nyhetsbrev

Google skriver om nye cyber-angrep i forbindelse med invasjonen i Ukraina, AutoWarp: Kritisk sårbarhet i Microsoft Azure Automatiseringstjeneste (Automation Service) og Dirty Pipe Sårbarheten (Høy)

Google skriver om nye cyber-angrep i forbindelse med invasjonen i Ukraina

Google har tatt en gjennomgang av angrep fra forskjellige trusselaktører i forbindelse med invasjonen i Ukraina. De har blant annet sett målrettede angrep fra Fancy Bear/APT-28 mot ukrainske brukere og at kinesiske trusselaktører har brukt krigen som lokkemat i angrep.
Referanser
https://blog.google/threat-analysis-group/upd[...]

AutoWarp: Kritisk sårbarhet i Microsoft Azure Automatiseringstjeneste (Automation Service)

AutoWarp er en kritisk sårbarhet som gjøre det mulig å få uautorisert adgang til andre Azure kundekontoer som bruker tjenesten. Dette betyr at det gir angriperen full tilgang til ressursjer og data tilhørende den målrettede kontoen.
Anbefaling
Sårbarheten er fikset så det anbefales å oppdatere til siste systemoppdatering for Azure Automation Service.
Referanser
https://orca.security/resources/blog/autowarp[...]

Dirty Pipe Sårbarheten

Max Kellermann har avdekket en urovekkende kernelsårbarhet i Linux som gjør det mulig å overskrive data i vilkårlige skrivebeskyttede filer. Sårbarheten gjelder for alle Linux distribusjoner inkludert Android fra Linux kernel versjon 5.8 og nyere.
Anbefaling
Svakheten er fikset i den siste sikkerhetsoppdateringen til Linux kernel, så det anbefales å oppdatere alle Linux baserte enheter snarest.
Referanser
https://dirtypipe.cm4all.com/
https://www.bleepingcomputer.com/news/securit[...]
https://www.techradar.com/news/this-major-lin[...]

Monday, 7 March 2022

2022.03.07 - Nyhetsbrev

NCSC situasjonsbilde 4. Mars 2022. Mozilla har sluppet oppdatering som fikser to aktivt utnyttede nulldags sårbarheter i Firefox. Lapsus$ har utgitt 190GB med data som angivelig er Samsungs kildekode. Nvidia signeringssertifikater brukes til å signere skadevare.

NCSC situasjonsbilde 4. Mars 2022

NCSC oppfordrer virksomheter til å ha lav terskel for varsling til NCSC eller sine respektive responsmiljøer dersom det observeres aktivitet man mistenker kan være relatert til situasjonen i Ukraina. Dette er viktig for å kunne vedlikeholde et nasjonalt situasjonsbilde, ettersom ukrainske mål kan ha potensielle indirekte konsekvenser for norske virksomheter via, verdikjeder eller andre knytninger.
Referanser
https://nsm.no/fagomrader/digital-sikkerhet/n[...]

Mozilla har sluppet oppdatering som fikser to aktivt utnyttede nulldags sårbarheter i Firefox.

Nulldags sårbarhetene CVE-2022-26485 og CVE-2022-26486 er fikset i versjon Firefox 97.0.2, Firefox ESR 97.3.0 og Firefox focus 97.3.0.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Lapsus$ har utgitt 190 GB med data som angivelig er Samsungs kildekode.

Hackergruppen Lapsus$ har nå angivelig angrepet Samsung og sluppet 190GB med data som de hevder inneholder kildekoden til Samsung. Lekkasjen skal ifølge Lapsus$ innehold informasjon om algoritmene til den biometriske åpningsmetoden til Samsung enheter, bootloader kilde kode for de nyeste Samsung enhetene, kildekode fra Qualcomm og all kildekode for autentisering og verifisering av Samsung brukere.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Nvidia signeringssertifikater brukes til å signere skadevare.

Nylig ble Nvidia utsatt for ett datainnbrudd av Lapsus$ gruppen. Her ble det blant annet stjålet to kode-signeringssertifikater. Disse brukes vanligvis for å signere driverne til Nvidia slik at Windows kan verifisere filens eier og om filen har blitt endret på av en tredjepart.

Etter datalekkasjen fikk angripere tilgang til to sertifikater. Disse har trusselaktører nå benyttet til å signere ondsinnet programvare. Blant programvaren som har blitt scannet med VirusTotal har man oppdaget Mimikatz, RATs, Cobalt Strike beacons og bakdører.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Friday, 4 March 2022

2022.03.04 - Nyhetsbrev

TeaBot trojaner er tilbake i Google Play Store. Oppsummering av nyhetsbildet innen datasikkerhet for februar 2022. Cisco slipper sikkerhetsoppdateringer for flere av sine produkter. Datainnbruddet hos NVIDIA avslørte persondata til over 71 000 ansatte.

TeaBot trojaner er tilbake i Google Play Store

Trojanen TeaBot, som også går under navnet Anatsa, er kommet tilbake i Google Play Store etter at den ble oppdaget i fjor og fjernet som en skadevare.

TeaBot benytter seg ikke av e-post, tekstmelding, eller tredjepartstjenester for å infisere håndsett. I stedet kommer den vanligvis pakket i en dropper-applikasjon. Droppere er programmer som gir seg ut for å være legitime, men leverer en ondsinnet nyttelast i andre trinn etter installasjon.
Referanser
https://threatpost.com/teabot-trojan-haunts-g[...]

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2022

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for februar 2022. Denne måneden er hovedsaken hendelser i cyber-domenet i forbindelse med Russlands invasjon av Ukraina.
Referanser
https://telenorsoc.blogspot.com/2022/03/oppsu[...]

Cisco slipper sikkerhetsoppdateringer for flere av sine produkter

Cisco har sluppet en sikkerhetsoppdatering som adresserer en rekke svakheter i flere av sine produktene. Noen av disse svakhetene kan gi en angriper mulighet til å ta kontroll over systemet. Systemene som har fått patcher er følgende: Cisco Expressway Series og Cisco TelePresence Video Communication Server Vulnerabilities, Cisco Ultra Cloud Core - Subscriber Microservices Infrastructure Privilege Escalation Vulnerability og Cisco Identity Services Engine RADIUS Service Denial of Service Vulnerability.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]

Datainnbruddet hos NVIDIA avslørte persondata til over 71 000 ansatte

Persondata til mer enn 71.000 ansatte ble stjålet og lekket på nettet etter et datainnbrudd som rammet den amerikanske brikkeprodusenten Nvidia forrige måned.

Nvidia bekreftet innbruddet 1. mars og angriperne fikk tilgang til ansattes påloggingsdata og annen proprietær informasjon. Ransomware-gruppen Lapsus$, som står bak angrepet, fortsetter å true Nvidia med å slippe mer interne data.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Thursday, 3 March 2022

2022.03.03 - Nyhetsbrev

Angripere bruker nettverksenheter som inspiserer trafikk til DDoS-angrep. Ny sikkerhetsoppdatering for Google Chrome.

Angripere bruker nettverksenheter som inspiserer trafikk til DDoS-angrep

En ny type DDoS-angrep er for første gang sett utnyttet i virkeligheten, etter det ble presentert som en teoretisk mulighet for seks måneder siden. Med denne typen angrep er terskelen for store DDoS-angrep lav, da det trenger så lite som 1/75 del av båndbredden i forhold til trafikken som blir generert. Angrepet bruker sårbare brannmurer og innholdsfiltreringssystemer i trafikkstrømmen for å reflektere og forsterke angrepstrafikken mot offerets maskin.
Referanser
https://thehackernews.com/2022/03/hackers-beg[...]

Ny Google Chrome sikkerhets-oppdatering

Chrome har kommet ut med en ny oppdatering til desktop som innholder en rekke sikkerhets-oppdateringer. Blant annet er det ni sikkerhetsfikser som har blitt kategorisert med høy viktighet.
Referanser
https://chromereleases.googleblog.com/2022/03[...]

Wednesday, 2 March 2022

2022.03.02 - Nyhetsbrev

Ukraina sier at "IT-hæren" deres har tatt ned viktige russiske nettsteder. ESET utgir mer informasjon om wiper og ormer i forbindelse med Ukraina. Analyse av data lekket fra ransomware-gruppen Conti.

Ukraina sier at "IT-hæren" har tatt ned viktige russiske nettsteder

Det ukrainske cyberpolitiet, som nå engasjerer seg i cyberkrigføring, hevder at viktige russiske nettsteder og statlige nettportaler har blitt tatt ned av angrep.

Lørdag bestemte Ukrainas embetsmenn seg for å danne en spesiell "IT-hær" som består av nettoperatører og frivillige hackere fra hele verden. Spesialister fra styrken har siden invasjonen angrepet nettressursene til Russland og Hviterussland. I det siste skal flere nettsteder tilhørende myndigheter og banker ha blitt tatt ned. Gruppen oppdaterer en liste med mål som deles offentlig.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://arstechnica.com/information-technolog[...]

ESET utgir mer informasjon om wiper og ormer i forbindelse med Ukraina

ESET meldte om skadevaren HermeticWiper 23 februar. Nå utgir de mer informasjon om hvordan skadevaren blir spredt blant annet gjennom en orm de kaller HermeticWizard, samt en ny wiper-skadevare de kaller IsaacWiper.
Referanser
https://www.welivesecurity.com/2022/03/01/isa[...]

Analyse av data lekket fra ransomware-gruppen Conti

Brian Krebs har begynt å skrive en serie artikler i forbindelse med de interne dataene som har lekket fra ransomware-gruppen Conti. I den første artikkelen tar han for seg hvordan gruppen har beskyttet seg mot politi, myndigheter og sikkerhetsfirmaer.
Referanser
https://krebsonsecurity.com/2022/03/conti-ran[...]

Tuesday, 1 March 2022

2022.03.01 - Nyhetsbrev

Etterforsker mulig cyberangrep mot Viasat-tjeneste for satellitt-bredbånd. Toyota er nødt til å stoppe produksjon da underleverandør har blitt kompromittert. Russland skal stå bak dataangrep mot nordområde-forskere i Tromsø. Symantec skriver om Daxin, en sofistikert skadevare linket til Kina.

Etterforsker mulig cyberangrep mot Viasat-tjeneste for satellitt-bredbånd

Det amerikanske satellitt-firmaet Viasat Inc etterforsker et mulig cyberangrep etter delvis nedetid for bredbåndtjenester via KA-SAT-nettverk for Ukraina og andre europeiske land. Utfallet i tjenesten begynte samtidig med Russlands invasjon i Ukraina på torsdag forrige uke.

I følge vindturbinprodusenten Enercon gjør utfallet av tjenesten at 5800 vindturbiner ikke lengre kan fjernstyres via denne tjenesten, men at de fleste har alternative kommunikasjonsveier.
Referanser
https://www.dn.no/teknologi/ukraina/elon-musk[...]
https://www.reuters.com/business/aerospace-de[...]
https://www.digi.no/artikler/tusenvis-av-vind[...]

Toyota er nødt til å stoppe produksjon da underleverandør har blitt kompromittert

Verdens største bilprodusent Toyota er har i dag sett seg nødt til å stoppe en tredjedel av produksjonen av nye biler, og all produksjon i Japan. Dette skjer etter en av Toyotas leverandører ble kompromittert. Toyota har flere ganger blitt kompromittert av hackere de siste årene. I 2019 ble 3.1 millioner brukerdata kompromittert, samt at de ble rammet av en større svindel-sak som kostet Toyota $37 millioner.
Referanser
https://arstechnica.com/cars/2022/02/toyota-s[...]
https://www.nrk.no/nyheter/toyota-stenger-all[...]

Russland skal stå bak dataangrep mot nordområde-forskere i Tromsø

Etter en PST-etterforskning viser det seg at hackere tok seg målrettet inn i e-posten til en rekke nordområde-forskere i 2020. PST, Etterretningstjenesten, og Nasjonal sikkerhetsmyndighet har trukket fram Russland som en betydelig trusselaktør i sine siste trusselvurderinger. NRK har opplysninger som tyder på at det er Russland som står bak angrepet. Myndighetene har ikke klart å finne konkrete personer som står bak, og dermed henlegges saken.
Referanser
https://www.nrk.no/tromsogfinnmark/russland-s[...]

Symantec skriver om Daxin, en sofistikert skadevare linket til Kina

Symantec Threat Hunter team har sammen med CISA avdekket en sofistikert skadevare som er blitt brukt av aktører som er knyttet til Kina. Skadevaren er den mest komplekse og sofistikerte som er sett brukt av aktører fra Kina. Skadevaren har blitt brukt i spionasje-kampanjer mot forskjellige nasjonale regjeringer, og annen kritisk infrastruktur. Det er sterke bevis for at Daxin er brukt nylig, i November 2021. Bakdøren legger seg inn i systemet som et kjerne-komponent i Windows.
Referanser
https://symantec-enterprise-blogs.security.co[...]
https://www.cisa.gov/uscert/ncas/current-acti[...]
https://www.theregister.com/2022/03/01/china_[...]

 
>