2022.06.30 - Nyhetsbrev

Server brukt til dataangrep, svindel og salg av ulovlige stoffer konfiskert i Sverige. Mozilla lanserer sikkerhetsoppdateringer for Firefox, Firefox ESR og Thunderbird. Nord-koreanske hackere mistenkes for tyveri av $100M USD i kryptovaluta.

Server brukt til dataangrep, svindel og salg av ulovlige stoffer konfiskert i Sverige

En server brukt av den russiske trusselaktøren TA505 er konfiskert i Sverige som følge av et anonymt tips til politiet. Serveren inneholdt rundt 100 forskjellige virtuelle maskiner der flere av dem ble brukt til å begå datainnbrudd, utsending av phishing eposter, samt salg av ulovlige stoffer og seksuelle tjenester. Serveren er anslått til å ha en verdi på rundt 124.000 norske kroner.
Referanser
https://www.digi.no/artikler/server-brukt-av-[...]

Mozilla lanserer sikkerhetsoppdateringer for Firefox, Firefox ESR og Thunderbird

Mozilla lanserer sikkerhetsoppdateringer for Firefox, Firefox ESR og Thunderbird. Dette inkluderer fiks av sårbarheter som CVE-2022-34479, der popup-vinduer kunne legge seg over adresselinjen for å potensielt lure sluttbrukeren til å trykke på ondsinnet materiale. Denne fiksen er rullet ut til alle produktene (FF, FF ESR og TB). For mer informasjon om alle sårbarhetene se vedlagt lenke.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]

Nord-koreanske hackere mistenkes for tyveri av $100M USD i kryptovaluta

Den 23. juni ble blokkjede-selskapet Harmony One rammet av et data-angrep. Uvedkommende hadde fått tak i kryptonøkler for å hente ut kryptovaluta som var låst i en bro mellom to blokkjeder, Ethereum og Harmony. Dette ble gjort ved å få tak i de private nøklene til broen, slik at verdiene kunne tas ut. Det er mistanke om den Nord-koreanske stats-støttede grupperingen Lazarus Group står bak tyveriet. De har de siste årene stått bak flere høyprofilerte datainnbrudd der store verdier blir stjålet. De benytter seg både av hacking og sosial manipulering for å nå sine mål.
Referanser
https://thehackernews.com/2022/06/north-korea[...] https://medium.com/harmony-one/harmonys-horiz[...]

2022.06.29 - Nyhetsbrev

Hacktivist-gruppen Killnet med DDoS-angrep mot norske offentlige nettsider. Lockbit 3.0 introduserer løsepengevirus "bug bounty"-program. Cisco Talos avslører hvordan de identifiserer domener brukt av løsepengevirus-grupper. Iranske stålverk utsatt for mulig cyberangrep.

Iranske stålverk utsatt for mulig cyberangrep

Hacktivist-gruppen Gonjeshke Darande, som tidligere har gjennomført angrep mot Iranske togsystemer med wiper-skadevare, hevder at de står bak destruktive angrep mot tre iranske stålverk. Gruppen har lagt ut video og bilder fra insiden av fabrikkene der det ser ut til at utstyr blir skadet og flere branner oppstår. Iranske medier har siden bekreftet at fabrikkene har vært under angrep. Hacktivist gruppen hevder at angrepene blir gjennomført med omhu for å beskytte uskyldige personer og at angrepene er et svar på aggresjonen og brudd på sanksjoner fra den Islamske republikken.
Referanser
https://www.cyberscoop.com/iran-cyberattack-i[...]

Cisco Talos avslører hvordan de identifiserer domener brukt av løsepengevirus-grupper

Talos har sluppet en rapport om hvordan de finner de egentlige IP-adresser som blir brukt av ransomware-aktører. Dette bidrar til at vertsleverandører kan stoppe bruken av deres tjenester for ulovlig aktivitet. Normalt blir de egentlige IP-adressene til nettsidene gjemt bak anonymiserings-tjenesten TOR. Metodene som ble brukt var blant annet å sammenligne serienummerene på TLS-sertifikatene brukt på ondsinnede aktørers TOR-domener og sammenligne med sertifikater som ble brukt på domener som ikke tilhører TOR-nettverket. En annen metode var "favicon"-sammenligning, altså ikonet som nettleseren viser når siden blir besøkt. Den tredje metoden de brukte var å utytte sikkerhetsfeilene i nettverket til løsepengevirus aktørene. Cisco Talos har utgitt en grundig gjennomgang av fremgangsmetoden de brukte for å avsløre aktørene og ta ned deler av deres nettverk.
Referanser
https://blog.talosintelligence.com/2022/06/de[...]

Lockbit 3.0 introduserer løsepengevirus "bug bounty"-program

Lockbit ransomware kampanjen startet i 2019 og har stått for store deler av løsepengevirus angrep de siste årene. Nå har gruppen kommet med sitt eget "bug bounty"-program hvor de utlover dusører fra 1000 til 1 million dollar for opplysninger om svakheter i løsepengeviruset deres. De har også dusører for gode ideer som kan bedre deres løsepengevirus-operasjon. Dusøren på 1 million dollar er utlovet til personer som klarer å identifisere personen som står bak gruppen. Det har også blitt blitt offentliggjort at gruppen skal ta kryptovalutaen Zcash som betalingsmetode for løsepenger, og at de muligens skal begynne å selge offrenes data til høystbydende.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Hacktivist-gruppen Killnet med DDoS-angrep mot norske offentlige nettsider

Grupperingen Killnet har siden Russlands invasjon av Ukraina stått bak DDoS-angrep mot en rekke vestlige land som har støttet Ukraina i krigen. I det siste har blant annet Litauen og Italia vært mål. Gruppen legger ut målene for angrepene i en egen Telegram-kanal og ber følgerne sine om å angripe lister med mål. I dag tidlig la gruppen ut en liste med en rekke norske mål, som siden har vært under angrep. Typiske DDoS-angrep blir gjennomført ved å sende store mengder "søppeltrafikk" mot nettsteder, mens disse angrepene gjerne blir gjennomført på lag 7 (applikasjonslaget) med full oppkobling av forbindelse mot nettstedet som blir angrepet. Dette gjør at angrepene kan være vanskelig å skille fra vanlig nyttetrafikk. Ifølge NTB skriver hackergruppen på nettsidene sine at de skal angripe politiet, UDI, BankID, ID-porten hos Difi, Nav og flere andre norske nettsider og nettjenester. Flere av de utpekte målene har hatt ustabile nettsider i dag. Digi.no har sett på budskapet som er lagt ut av Killnet og har funnet ut at norsk nei til transport av russiske varer over Storskog kan være motiv for angrepet.
Referanser
https://www.nrk.no/norge/russisk-hackergruppe[...] https://www.digi.no/artikler/norsk-nei-til-tr[...]

2022.06.28 - Nyhetsbrev

Stortingsdirektøren går på dagen.

Stortingsdirektøren går på dagen

Marianne Andreassen går av som stortingsdirektør med umiddelbar virkning. Det skjer som et resultat av dataangrepet mot Stortinget i august 2020. Beslutningen kommer som følge av et overtredelsesgebyr på 2 millioner kroner som Datatilsynet har ilagt Stortinget. Et varsel om dette ble gitt i januar, men nå har tilsynet fattet et endelig vedtak.
Referanser
https://www.nrk.no/norge/stortingsdirektoren-[...]

2022.06.27 - Nyhetsbrev

Flere Python PyPi-moduler benyttet til å stjele AWS-nøkler. Phising-metode unngår flerfaktor-autentisering. "Mer enn 5" land i EU har benyttet seg av Pegasus spionprogramvare, hevder NSO. Oracle-sårbarhet eksponerte flere store selskaper for sårbarhet i seks månder før patching.

Flere Python PyPi-moduler benyttet til å stjele AWS-nøkler

Flere PyPi-moduler har stjålet sensitiv informasjon og sendt de til usikre nettsider. To av modulene er laget for å etterligne de legitime modulene. Pygrata-modulen hadde ikke i seg selv kode for å stjele AWS-nøkler, men benyttet seg av pygrata-utils for å sende stjålne data til et usikkert endepunkt på pygrata[.]com-domenet. Det er nå ryddet opp i modulene, men hendelsen kan ha gjort at sensitiv informasjon har blitt eksponert. Pakkene som var infisert er: loglib-modules pyg-modules pygrata pygrata-utils hkg-sol-utils
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Phising-metode unngår flerfaktor-autentisering

En ny phising metode, som går ut på å stjele autentiserings-cookies fra målene, gjør det mulig å forbigå MFA (Multi Faktor Autentisering). Metoden benytter seg av Microsoft Edge WebView2-applikasjoner. Angrepet gjennomføres ved å eksekvere WebView2-kode som åpner en nettleser i applikasjonen, som ser ut som om brukeren selv har åpnet Microsoft Edge-nettleseren. WebView2 har full støtte for HTML, CSS og JavaScript som dermed gjør det mulig for angriperen å legge inn JavaScript kode for å logge tastetrykkene eller stjele cookies. For å utnytte svakheten kreves det imidlertid at en lurer offeret til å laste ned og kjøre en .exe-fil.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

"Mer enn 5" land i EU har benyttet seg av Pegasus spionprogramvare, hevder NSO

Den israelske teknologigruppen NSO hevder at Pegasus, spionprogramvare brukt for å spionere på mobiltelefoner, har vært brukt av flere europeiske land. Chaim Gelfand, skaperen av programvaren, nekter å svare på spesifikke spørsmål angående kundebasen, men bekrefter at de har "...terminert kontrakter med europeiske land" etter at programvaren ikke har blitt brukt i henhold til retningslinjene.
Referanser
https://www.theregister.com/2022/06/24/nso_cu[...] https://www.politico.eu/article/pegasus-use-5[...]

Oracle-sårbarhet eksponerte flere store selskaper for sårbarhet i seks månder før patching

En kritisk Oracle Fusion middelvare-sårbarhet ble ikke patchet på seks måneder. Denne sårbarheten rammet Oracles eget SSO-system, som er brukt av flere store aktører, som for eksempel Starbucks, Dell og BestBuy. Sårbarheten kunne medføre uautorisert tilgang til Oracle sine tjenester og servere.
Referanser
https://thestack.technology/oracle-middleware[...] https://nvd.nist.gov/vuln/detail/CVE-2022-21445

2022.06.24 - Nyhetsbrev

Google: Italiensk-produsert spionvare brukt mot Android- og Apple-telefoner. Kinesiske APTer bruker ransomware for å skjule informasjons-tyveri. Litauen under cyber-angrep etter å ha bannlyst russisk godstransport.

Google: Italiensk-produsert spionvare brukt mot Android- og Apple-telefoner

Google har gitt ut en ny rapport der de går igjennom bruk av spionvare mot mobiltelefon-brukere i Italia og Kasakhstan. Programvaren som er brukt er produsert av Milan-baserte RCS Lab. RCS har kommentert at deres produkter og tjenester overholder europeisk lovgivning og hjelper myndighetene med å oppklare saker. Google mener at noen av infeksjonene ble gjennomført i samarbeid med mobiloperatørene som målene brukte. Mobiloperatøren slo med vilje av dataforbindelsen til målet og det ble sendt ut en tekst-melding med en app som måtte lastes ned for å få tilbake forbindelsen. Appen som ble lastet ned var forkledd som en offisiell app fra mobiloperatøren, men var i virkeligheten spionvare. Appene for iOS var gyldige og signerte, men ikke tilgjengelig fra de offisielle app-butikkene.
Referanser
https://edition.cnn.com/2022/06/23/tech/apple[...] https://therecord.media/google-seven-zero-day[...] https://blog.google/threat-analysis-group/ita[...]

Kinesiske APTer bruker ransomware for å skjule informasjons-tyveri

Secureworks har publisert informasjon om de to statlig tilknyttede APTene (Advanced Persistent Threat) Bronze Riverside og Bronze Starlight. Begge har vært involvert i en koordinert kampanje for å stjele intern informasjon fra bedrifter og stater. Etter å ha kopiert ut informasjonen, har aktørene gjennomført angrep med ransomware mot de samme ofrene for å skjule sporene og den egentlige grunnen til datainnbruddene.
Referanser
https://www.secureworks.com/research/bronze-s[...]

Litauen under cyber-angrep etter å ha bannlyst russisk godstransport

Hacktivist-gruppen Cyber Spetsnaz har angrepet litauiske regjeringssider og annen kritisk infrastruktur ved hjelp av DDoS-angrep. Bakgrunnen er at Litauen har begynt å nekte russiske godstog adgang til landet. Normalt er det stor transport av russiske varer gjennom Litauen mellom Russland og den russiske enklaven Kaliningrad.
Referanser
http://securityaffairs.co/wordpress/132518/ha[...]

2022.06.23 - Nyhetsbrev

Microsoft med ny rapport om Ukraina-krigen i relasjon til cybersikkerhet.

Microsoft med ny rapport om Ukraina-krigen i relasjon til cybersikkerhet

Microsoft har sluppet en lengre rapport om hendelser i cyber-domenet i forbindelse med krigen i Ukraina og kommer med flere råd til hvordan land bør forberede seg på konflikter i dette nye domenet. Selskapet sier også at Russiske cyberoperasjoner har vært målrettet mot Baltiske stater. De siste to månedene har også Norge, Danmark, Finland, Sverige og Tyrkia sett en økning i lignende aktivitet mot sine datanettverk. Microsoft melder at totalt 42 Ukraina-vennlige land har opplevd strategisk spionasje fra Russiske hackere.
Referanser
https://blogs.microsoft.com/on-the-issues/202[...] https://www.digi.no/artikler/microsoft-sier-r[...]

2022.06.22 - Nyhetsbrev

Ukjent APT aktør angriper flere høy-profil enheter i Europa og Asia
56 Sårbarheter på OT enheter fra 10 forskjellige fabrikanter
Leveringsselskapet Yodel bekreftet at cyberangrepet påvirker leveranser
Økende bruk i LNK filer som skadevare
Google Chrome får en oppdatering som løser 14 sikkerhetsproblemer

Ukjent APT aktør angriper flere høy-profil enheter i Europa og Asia

ToddyCat er en relativt ny APT aktør som ikke har blitt koblet opp mot andre kjente aktører, men er ansvarlig for flere angrep siden Desember 2020. Blant annet flere Microsoft Exchange servere fram til Februar 2021. Etter dette skjedde en kjapp eskalering til som økte angrepene til flere selskaper over hele Europa og Asia.
Referanser
https://securelist.com/toddycat/106799/

56 Sårbarheter på OT enheter fra 10 forskjellige fabrikanter

Det er funnet 56 sårbarheter på produkter fra Bently Nevada, Emerson, Honeywell, JTEKT, Motorola, OMRON, Phoenix Contact, Siemens og Yokogawa. Disse sårbarhetene er fordelt på 26 forskjellige modeller fra disse fabrikantene og har blitt kalt OT:ICEFALL av Forescout. En av sårbarhetene som har blitt rapportert har blitt brukt i et angrep mot Omron NJ/NX kontrollere i form av lokal eksekvering av kode. (CVE-2022-31206)
Referanser
https://thehackernews.com/2022/06/researchers[...]

Leveringsselskapet Yodel bekreftet at cyberangrepet påvirker leveranser

Tjenestene til Yodel, et leveringsselskap basert i Storbritannia, har hatt et cyberangrep i helgen. Angrepet påvirker slik at kunder ikke får oversikt over sine leveranser og at pakkene blir forsinket under levering.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Økende bruk i LNK filer som skadevare

LNK er betegnelsen på snareveier på Windows. På flere forskjellige måter kan disse bli brukt til å implementere skadevare. LNK filer hvor Powershell, CMD MSHTA, etc, blir brukt kan gjøre alvorlig skade. Som oftest blir disse brukt med Powershell eller CMD til å koble til ondsinnede URLer og laste ned forskjellige skadevare.
Referanser
https://www.mcafee.com/blogs/other-blogs/mcaf[...]

Google Chrome får en oppdatering som løser 14 sikkerhetsproblemer

Oppdateringen løser 14 kjente sikkerhetshull og kommer ut til Windows, Mac og Linux i løpet av de neste dagene/ukene.
Referanser
https://chromereleases.googleblog.com/2022/06[...]

2022.06.21 - Nyhetsbrev

Citrix slipper oppdatering for kritisk svakhet i ADM.

Citrix slipper oppdatering for kritisk svakhet i ADM.

Citrix har sluppet oppdatering for en svakhet i Application Delivery Mangement (ADM) produktet deres som tillot en angriper å tilbakestille admin-passord. Gjennom svakheten, med benevnelsen CVE-2022-27511, kan en uatutentisert angriper krasje serveren og tilbakestille admin-passord ved neste reboot. Deretter kan angriperen få SSH-tilgangsrettigheter som administrator.
Referanser
https://support.citrix.com/article/CTX460016/[...] https://portswigger.net/daily-swig/critical-c[...]

2022.06.20 - Nyhetsbrev

Nulldag-angrep utført av kinesiske aktører mot Sophos brannmurer. Russisk botnet stanset i internasjonal kyber-operasjon. Cisco lanserer nye sikkerhetsoppdateringer for diverse produkter.

Cisco lanserer nye sikkerhetsoppdateringer for diverse produkter

Nye sikkerhetsoppdateringer for "Cisco Email Security Appliance" vil fikse sårbarheter som lar en angriper få ekstern tilgang på brukergrensesnittet til produktet, der dette skyldes svak LDAP autentisering på enheten. En angriper vil også kunne oppnå ekstern kode-eksekvering på "Small Business" produkter som følge av utilstrekkelig validering av inkommende HTTP trafikk.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]

Kinesiske aktører utnyttet nulldags sårbarhet på Sophos brannmurer

Kinesiske aktører utnyttet en nulldag-sårbarhet på Sophos brannmurer i flere uker før Sophos kom ut med en fiks. Sårbarheten, CVE-2022-1040 ble publisert av Sophos i mars og aktørene utnytte brukerportalen og grensesnittet for administrasjon av brannmuren til å fjern eksekvere kode.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Russisk botnet stanset i internasjonal kyber-operasjon

Det russiske botnettet "RSOCKS" som tilbydde kundene sine tilgang til et stort utvalg av ulovlige IP adresser blir stanset av et partnerskap mellom USA, Tyskland, Nederland og Stor Britannia. RSOCKS fungerte som en ulovlig proxy tjeneste som tilbydde kundene sine tilgang til IP adresser til kompromitterte klienter slik at ondsinnet trafikk kan passere gjennom anonymt.
Referanser
https://www.justice.gov/usao-sdca/pr/russian-[...]

2022.06.17 - Nyhetsbrev

Flere hundre arrestert i global Interpol-operasjon mot svindlere. SAP gir ut sikkerhetsoppdateringer for juni.

Flere hundre arrestert i global Interpol-operasjon mot svindlere

Interpol har gjennomført en verdensomspennende aksjon mot svindel og sosial manipulering via Internett. Operasjonen kalles First Light 2022 og innvolverte 76 land. 1,770 lokasjoner raidet internasjonalt 3,000 mistenkte identifisert 2,000 operatører, svindlere og hvitvaskere arrestert 4,000 bankkontoer fryst ca. USD 50 millioner i ulovlige midler avskjært
Referanser
https://www.interpol.int/News-and-Events/News[...]

SAP gir ut sikkerhetsoppdateringer for Juni

SAP har utgitt en oppdatering for å adressere flere sårbarheter som rammer produktene deres. En potensiell angriper kan utnytte noen av sårbarhetene til å ta kontroll over et sårbart system. Dermed anbefaler CISA at brukere installerer nødvendige oppdateringer på SAP produktene deres der det trengs.
Anbefaling
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...] https://dam.sap.com/mac/app/e/pdf/preview/emb[...]

2022.06.16 - Nyhetsbrev

MailBot en ny trojaner målrettet mot online banker og krypto lommebøker.

MailBot. En ny trojaner målrettet mot online banker og krypto lommebøker

En ny skadevare på Android som forsøker å stjele kredentialer, cookies, sniker seg forbi multifaktor-autentisering og misbruker Android sin tilgjengelighetsservice for å se på offerets skjerm. MailBot utgir seg for å være kryptovaluta apper som for eksempel Mining X eller CryptoApp distribuert via svindelnettsider. Og den sprer seg ved å sende linker til nedlastning via kontaktlisten til infiserte telefoner. Den kan også bli brukt til et bredere spekter, som for eksempel å stjele multifaktor-autentisering koder hos infiserte telefoner.
Referanser
https://thehackernews.com/2022/06/malibot-new[...]

2022.06.15 - Nyhetsbrev

Firefox ruller ut full informasjonkapsel sikkerhet som standard for alle brukere.
Har blitt lansert 46 dokumenterte CVE Adobe som påvirker både Windows og MacOS brukere.
Hertzbleed Attack, sidekanalangrep som aldri før!
Sikkerhetsoppdatering fra Microsoft MSRC er nå tilgjengelig.

Hertzbleed Attack, sidekanalangrep som aldri før!

Hertzbleed attack er ny type frekvens angrep som i verste fall henter ut kryptografiske nøkler i eksterne sensorer som tidligere var trodd til å være sikre.
Referanser
https://www.hertzbleed.com/

Sikkerhetsoppdatering fra Microsoft MSRC er nå tilgjengelig

Følg referanselinken for sikkerhetsoppdateringen
Referanser
https://msrc.microsoft.com/update-guide/

Firefox ruller ut full informasjonkapsel sikkerhet som standard for alle brukere

Firefox begynte i dag å rulle ut total informasjonskapsel sikkerhet som standard for alle brukere, dette gjør Firefox til den mest privat orienterte og sikre nettleseren blant de store nettleserne. Dette gjøres ved å begrense rettighetene til informasjonkapsler til å følge brukeren på tvers av nettsider.
Referanser
https://blog.mozilla.org/en/products/firefox/[...]

Har blitt lansert 46 dokumenterte CVE Adobe som påvirker både Windows og MacOS brukere

Adobe har lansert sikkerhetsoppdateringer for sårbarheter i en rekke av sine tjenester hvor feil utnyttet i nulldagsangrep
Anbefaling
Oppdater den påvirkede applikasjonen
Referanser
https://www.securityweek.com/adobe-plugs-46-s[...]

2022.06.15 - Nyhetsbrev

Kinesiske hackere har distribuert krypto-lommebøker med bakdører.
Unit 42 har identifisert en ny, vanskelig å oppdage, bakdør-trojaner.
PyPI-pakker inkluderte en passord-stjeler.

Hertzbleed Attack, sidekanalangrep som aldri før!

Hertzbleed attack er ny type frekvens angrep som i verste fall henter ut kryptografiske nøkler i eksterne sensorer som tidligere var trodd til å være sikre.
Referanser
https://www.hertzbleed.com/

Sikkerhetsoppdatering fra Microsoft MSRC er nå tilgjengelig

Følg referanselinken for sikkerhetsoppdateringen
Referanser
https://msrc.microsoft.com/update-guide/

Firefox ruller ut full informasjonkapsel sikkerhet som standard for alle brukere

Firefox begynte i dag å rulle ut total informasjonskapsel sikkerhet som standard for alle brukere, dette gjør Firefox til den mest privat orienterte og sikre nettleseren blant de store nettleserne. Dette gjøres ved å begrense rettighetene til informasjonkapsler til å følge brukeren på tvers av nettsider.
Referanser
https://blog.mozilla.org/en/products/firefox/[...]

Microsoft gir ut tekniske detaljer rundt SynLapse sårbarhet i Microsoft Azure

Microsoft har innarbeidet mitigerende løsninger for SynLapse sårbarheten funnet i Microsoft Azure Data Factory og -Synapse Pipelines. Disse mitigerende løsningene forhindrer angriper som får eksvekvert kode fra at dette blir delt mellom tjenester slik at sensitiv data ikke blir lekket
Anbefaling
Ta i bruk de mitigerende løsningene utgitt av Microsoft hvis du har potensielle sårbare tjenester
Referanser
https://thehackernews.com/2022/06/technical-d[...]

Har blitt lansert 46 dokumenterte CVE Adobe som påvirker både Windows og MacOS brukere

Adobe har lansert sikkerhetsoppdateringer for sårbarheter i en rekke av sine tjenester hvor feil utnyttet i nulldagsangrep
Anbefaling
Oppdater den påvirkede applikasjonen
Referanser
https://www.securityweek.com/adobe-plugs-46-s[...]

2022.06.14 - Nyhetsbrev

Kinesiske hackere har distribuert krypto-lommebøker med bakdører. Unit 42 har identifisert en ny, vanskelig å oppdage, bakdør-trojaner. PyPI-pakker inkluderte en passord-stjeler.

Kinesiske hackere har distribuert krypto-lommebøker med bakdører

SeaFlower, en sofistikert aktør, har målrettet angrepet Android- og iOS-brukere gjennom en ondsinnet kampanje som utgir seg for å være hjemmesider for kryptovaluta-lommebøker. Disse hjemmesidene blir brukt for å distribuere lommebøker med bakdører, slik at aktøren senere kan stjele brukernes verdier. Aktøren bruker "provisioning profiles" for å få pakkene installert utenom App Store på iPhones.
Referanser
https://thehackernews.com/2022/06/chinese-hac[...]

Unit 42 har identifisert en ny, vanskelig å oppdage, bakdør-trojaner

GALLIUM, en avansert og sofistikert aktør med mulig kinesisk tilknytning, har tatt i bruk PingPull, som er en remote access trojaner, for å angripe telekommunikasjon-sektoren, myndigheter og finanssektoren. Bakdøren kan benytte seg både av ICMP, HTTPS og TCP for å kontakte sin kontrollserver (C2). Blogg-posten fra Unit 42 går igjennom den nye bakdøren og dens funksjonalitet i detalj.
Referanser
https://unit42.paloaltonetworks.com/pingpull-[...]

PyPI-pakker inkluderte en passord-stjeler

I Python PyPI-pakkene keep, pyanxdns, og api-res-py ble det funnet en ondsinnet "request"-dependency i visse versjoner. De fleste versjonene av "kepp" bruker den riktige pakken kalt "requests", mens keep versjon 1.2 bruker "request"-pakken (uten s), som er ondsinnet. Det er ukjent om stave-feilen i pakkene er gjort med overlegg eller ikke.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2022.06.13 - Nyhetsbrev

Google har sluppet ny stabil Chrome versjon.

Google har sluppet ny stabil Chrome versjon

Chrome versjon 102.0.5005.115 fikser 7 sårbarheter, hvor fire av sårbarhetene har høy sårbarhetsvurdering, De viktigste sårbarhetene går under CVE-2022-2007, CVE-2022-2008, CVE-2022-2010, CVE-2022-2011.
Anbefaling
Oppdater til siste versjon.
Referanser
https://chromereleases.googleblog.com/2022/06[...]

2022.06.10 - Nyhetsbrev

Nyoppdaget kinesisk-tilknyttet APT har i det stille spionert på organisasjoner i 10 år.

Nyoppdaget kinesisk-tilknyttet APT har i det stille spionert på organisasjoner i 10 år

Aoqin Dragon er en kinesisk APT som har vært aktive siden 2013. Hovedmålene til gruppen har vært myndigheter og bedrifter i Sørøst-Asia og Australia. I tidsperioden Sentinel Labs har etterforsket Aoqin Dragon har de kartlagt flere angrepsmetoder som gruppen benytter seg av. Hovedsaklig skaffer de seg initiell tilgang gjennom makroer i dokumenter og falske flyttbare enheter. Rapporten inneholder IOCer (Indicator of Compromise) for å se etter innbrudd fra grupperingen.
Referanser
https://www.sentinelone.com/labs/aoqin-dragon[...]

2022.06.09 - Nyhetsbrev

Microsoft utgir uoffisiell sikkerhetsoppdatering som fikser Follina lignende sårbarhet.
Kinesiske APT grupper utnytter nettverksleverandører og enheter.
Microsoft utgir ikke informasjon om de vil patche kritisk nulldagssårbarhet.
Oppsummering av nyhetsbildet innen datasikkerhet for mai 2022.

Microsoft utgir uoffisiell sikkerhetsoppdatering som fikser Follina lignende sårbarhet.

Både follina og den lite omtalte sårbarheten benytter seg av Microsoft Support Diagnostic Tool. Den ble først oppdaget i 2020, men ble da avvist av Microsoft ettersom alle filtypene som ble benyttet blir blokkert av outlook. Det var heller ikke noen privilegieskalering eller noen metode for å forbigå sikkerhetstiltak ved å utnytte buggen ettersom det var en "path traversal" sårbarhet. Sårbarheten utnyttes ved å lure en bruker til å laste ned og åpne en .diagcab fil. Dersom dette blir gjennomført kopierer .diagcab filen en annen ondsinnet fil inn i oppstartmappen til Windows
Referanser
https://www.digi.no/artikler/microsoft-kan-ha[...]

Kinesiske APT grupper utnytter nettverksleverandører og enheter

CISA har gitt ut en sikkerhetsanalyse av hvordan statlig sponsede grupper fra Kina utnytter velkjente sårbarheter for å kompromittere enheter. Rådgivningen beskriver teknikkene de kinesiske gruppene benytter for å unngå direkte kontakt med C2. Blant annet ved å benytte seg av velkjente sårbarheter for å infisere enheter som er eksponert på internett, deretter bruke disse enhetene som C2er. Rapporten dekker også hvilke sikkerhetstiltak man burde ta for å unngå at enheter blir kompromittert
Referanser
https://www.cisa.gov/uscert/ncas/alerts/aa22-158a

Microsoft utgir ikke informasjon om de vil patche kritisk nulldagssårbarhet

Etter nulldags sårbarheten Follina slapp forrige uke har Microsoft enda ikke sagt offentlig at de skal fikse sårbarheten. Så langt har de utgitt workarounds, som å skru av Microsoft Support Diagnostic Tool. Grunnen til at Microsoft er muligens fordi de behandler den som en hvilken som helst annen sårbarhet på tross av alvorlighetsnivået til sårbarheten. Flere land og grupper har samlet statistikk for å overvåke angrepsforsøkene. Så langt har man oppdaget at Follina brukes til å installere Qbot og annen malware.
Referanser
https://arstechnica.com/information-technolog[...]

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2022

Denne måneden er hovedsakene datainnbruddet hos Norkart samt fersk svakhet i Microsoft Office som utnyttes i målrettede angrep.
Referanser
https://telenorsoc.blogspot.com/2022/06/oppsu[...]

2022.06.08 - Nyhetsbrev

SVCReady skadevaren laster inn ondsinnet kode fra Word-dokumenter og Palermo i Italia utsatt for hackerangrep.

SVCReady skadevaren laster inn ondsinnet kode fra et Word-dokuments egenskaper

SVCReady er en familie av skadevare som kan laste inn ondsinnet kode ved å legge kodesnutten inn i et Word-dokuments egenskaper, og deretter laste inn og eksekvere koden på målets maskin via makroer. Fordi makroene ikke direkte inneholder den ondsinnede koden, slik man vanligvis ser når Word-dokumenter utnyttes, kan skadevaren unngå å bli oppdaget av antivirus-programmer. Den 6. juni publiserte HP Threat Research Blog en analyse av SVCReady.
Referanser
https://threatresearch.ext.hp.com/svcready-a-[...] https://www.bleepingcomputer.com/news/securit[...]

Den Italienske storbyen Palermo i Italia utsatt for hackerangrep

Den 2. juni ble minst ett av IT-systemene til kommuneadministrasjonen i Palermo, Italia utsatt for et cyberangrep. Dette førte til at hundrevis av overvåkningskameraer, samt et operasjonsrom som benyttes av det lokale trafikkpolitiet, ble satt ut av drift. Som følge av angrepet ble det besluttet å stenge ned det meste av IT-systemer i kommuneadministrasjonen for å forhindre ytterligere spredning. Dette førte til at de ansatte i kommunen har vært nødt til å kommunisere med blant annet faks og private e-postkontoer.
Referanser
https://www.digi.no/artikler/italiensk-storby[...]

2022.06.07 - Nyhetsbrev

Oppdatering rundt svakhet i Atlassian Confluence Server og Data Center. Google har gitt ut juni-oppdateringen for Android.

Oppdatering rundt svakhet i Atlassian Confluence Server og Data Center

I sammenheng med tidligere varsel om aktiv utnyttelse av kritisk nulldagssårbarhet i Atlassian Confluence Server og Data Center (CVE-2022-26134), opplyser NCSC at det nå er sikkerhetsoppdateringer tilgjengelige. NCSC anbefaler norske virksomheter å gjennomføre oppdatering av tjenesten før den eventuelt gjøres tilgjenglig via Internett igjen. De anbefaler videre, i den grad det er mulig på nåværende tidspunkt, å avkrefte kompromittering. Firmaet Greynoise følger saken og opplyser at mange trusselaktører nå forsøker å utnytte svakheten. Flere av forsøkene har også teknikker for å omgå brannmurer (WAF).
Referanser
https://nsm.no/fagomrader/digital-sikkerhet/n[...] https://www.greynoise.io/blog/observed-in-the[...]

Google har gitt ut juni-oppdateringen for Android

Google har gitt ut sin månedlige oppdatering for Android. Det er en mengde oppdateringer, og flere av dem har blitt karakterisert som kritiske. Den mest alvorlige svakheten ligger i System-komponenten og kan utnyttes til å kjøre kode fra eksternt ståsted.
Referanser
https://source.android.com/security/bulletin/[...]

2022.06.03 - Nyhetsbrev

Kritisk nulldags-sårbarhet i Atlassian Confluence Server og Confluence Data Center.

Kritisk nulldags-sårbarhet i Atlassian Confluence Server og Confluence Data Center

Sårbarheten gjør det mulig for angripere å fjern-eksekvere vilkårlig kode uten autentisering. De påvirkede versjonene er Confluence Server 7.18.0 og Confluence Data Center versjoner fra og med versjon 7.4.0. Atlassian opplyser at alle versjoner som er støttet er påvirket av svakheten. Det var firmaet Volexity som oppdaget svakheten, etter at den ble brukt i forbindelse med et angrep mot en av deres kunder. Etter etterforskning av hendelsen ble svakheten meldt til Atlassian 31. mai, som klassifiserte den som kritisk. Atlassian anbefaler alle å begrense Internett-tilgang til Confluence Data Center og Confluence Server tjenerne, fjerne instansene av Server og Data Center eller oppdatere WAF regler for å blokkere URLer som inneholder "${" inntil Atlassian utgir en sikkerhets oppdatering som fikser sårbarheten. Servere som ha vært eksponert mot nettet bør også isoleres fra interne systemer og kontrolleres nøye for kompromittering. Tjenester som eksponerer mye funksjonalitet før innlogging, som Confluence, bør ikke eksponeres direkte mot Internett, men legges bak en innloggingsportal, VPN e.l. Atlassian opplyser at "Atlassian Cloud"-tjenesten ikke er påvirket av svakheten og dermed er Confluence via atlassian.net-domener ikke sårbare. Sårbarheten går under benevnelsen CVE-2022-26134 og oppdatering som fikser sårbarheten er estimert av Atlassian til å komme EOD (End Of Day) i dag 3. juni.
Referanser
https://confluence.atlassian.com/doc/confluen[...] https://www.volexity.com/blog/2022/06/02/zero[...] https://www.bleepingcomputer.com/news/securit[...]

2022.06.02 - Nyhetsbrev

Ny feil oppdaget i Windows protokoll-behandler, denne gangen Windows Search. Mozilla har utgitt sikkerhetsoppdatering for Firefox, Firefox ESR og Thunderbird.

Mozilla har utgitt sikkerhetsoppdatering for Firefox, Firefox ESR og thunderbird

Mozilla har fikset flere sårbarheter og har gitt ut følgende nye versjoner: Firefox 101, Firefox ESR 91.10, og Thunderbird 91.10. Flere av svakhetene gjør det mulig for en angriper å ta kontroll over maskiner med de sårbare versjonene installert.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...] https://www.mozilla.org/en-US/security/adviso[...]

Ny feil oppdaget i Windows protokoll-behandler, denne gangen Windows Search

En ny Windows Search zero-day sårbarhet kan brukes til å automatisk åpne et søkevindu som viser kjørbare skadelige programvarer fra en ekstern server, kun ved å åpne et Word-dokument. Denne sårbarheten kan utnyttes fordi Windows støtter en URI-protokollbehandler kalt "search-ms" som lar programmer og HTML-lenker starte tilpassede søk på en enhet. Selv om denne svakheten ikke er like alvorlig som MS-MSDT-sårbarheten når det gjelder ekstern kjøring av kode, kan avanserte trusselaktører benytte den for å lage sofistikerte phishing-kampanjer. Trolig gjemmer det seg også enda flere lignende feil i forbindelse med protokoll-behandlere i Windows.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2022.06.01 - Nyhetsbrev

Nederlandsk politi har tatt ned infrastrukturen til Android-skadevaren Flubot. Kritiske sårbarheter i Open Automation Software Platform tillater RCE og DoS. Windows "MSDT" zero-day blir nå utnyttet av kinesiske APT-hackere.

Nederlandsk politi har tatt ned infrastrukturen til Flubot

I over ett år har kunder av Telenor og andre teleoperatører over store deler av verden vært plaget av Flubot, en type malware for Android som sprer seg via SMS og MMS-meldinger. Skadevaren stjal blant annet passord samt bank- og kredittkortinformasjon. Europol melder nå at nederlandsk politi har tatt ned infrastrukturen som ble brukt av operasjonen. Dette skjedde etter et samarbeid mellom politimyndigheter fra 11 land. Det pågår fortsatt etterforskning for å avsløre hvem som stod bak operasjonen. I Telenors nettverk har vi ikke sett spor av Flubot-aktivitet i løpet av de siste dagene.
Referanser
https://www.europol.europa.eu/media-press/new[...]

Kritiske sårbarheter i Open Automation Software Platform tillater RCE og DoS

Cisco Talos fant 2 kritiske og 6 andre feil i Open Automation Software (OAS). OAS er en populær plattform brukt av industrielle kontrollsystemer og påvirker dermed kritisk infrastruktur dersom sårbarhetene utnyttes. Den mest kritiske sårbarheten gjør det mulig for angripere å eksekvere vilkårlig kode. De andre sårbarhetene kan medføre Denial of Service (DoS) eller uautentisert adgang til enheten. Feilen påvirker OAS plattform versjon 16.00.0112. Sårbarhetene går under følgende CVEer: CVE-2022-26833 (9.4), CVE-2022-26082 (9.1), CVE-2022-27169, CVE-2022-26067, CVE-2022-26077, CVE-2022-26303, CVE-2022-26043.
Referanser
https://threatpost.com/critical-flaws-in-popu[...]

Windows "MSDT" zero-day blir nå utnyttet av kinesiske APT-hackere

Trusselaktører med kinesiske tilknyttinger (TA413) utnytter nå en Microsoft Office zero-day svakhet (kjent som "Follina") for å kjøre ondsinnet kode eksternt på Windows-systemer. Koden kjøres når ofrene åpner Word-dokumenter som oversendes i zip-arkiver. Microsoft har enda ikke kommet med noen patch for svakheten, men har kommet med forslag til mitigerende tiltak.
Referanser
https://www.bleepingcomputer.com/news/securit[...]