Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Wednesday 31 August 2022

2022.08.31 - Nyhetsbrev

Google med belønnings-program for sårbarheter i åpen kildekode. Flere Chrome-utvidelser stjeler informasjon. GitLab slipper kritisk sikkerhetsoppdatering. Microsoft med rapport om utpressingsvirus.

Google med belønnings-program for sårbarheter i åpen kildekode

Googles nye program går under navnet Open Source Software Vulnerability Rewards Program (OSS VRP) og utlover dusører på inntil 31 337 dollar for sårbarheter som kan medføre kompromittering av systemer eller andre feil. I oppstarten av programmet dekker de kun sårbarheter funnet i Bazel, Angular, Golang, Protocol buffers og Fuchsia, men har planer om å utvide til flere prosjekter etter hvert. De har også meddelt at de utgir belønninger for sårbarheter som kan medføre datalekkasje eller påvirke produktet på andre måter.

Grunnen til at Google starter programmet var den store innvirkningen sårbarhetene i Log4j og Codecov hadde på bedrifter. Åpen kildekode er ofte en viktig del også av mange komersielle produkter og tjenester.
Referanser
https://therecord.media/google-announces-open[...]
https://bughunters.google.com/about/rules/652[...]

Flere Chrome-utvidelser stjeler informasjon

Etterforskere hos MacAfee har avdekket fem Chrome utvidelser med til sammen 1,4 millioner nedlastninger som stjeler data. Utvidelsene stjeler informasjon om brukerens søkehistorie og endrer cookies slik at det ser ut som at brukeren besøker nettsider via aktørens henvisnings-lenker. Selv om utvidelsene gir funksjonaliteten de lover, er de fremdeles en sikkerhetsrisiko for personvernet.

De fem utvidelsene som MacAffee har funnet er: Netflix Party, Netflix Party 2, Full Page Screenshot Capture – Screenshotting, FlipShope – Price Tracker Extension og AutoBuy Flash Sales. Dersom man har last ned noen av utvidelsene, anbefales det å fjerne de fra nettleseren.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

GitLab slipper kritisk sikkerhetsoppdatering

GitLab slipper oppdateringer for GitLab Community Edition og Enterprise Edition. Disse fikser 15 sårbarheter, der én er merket som kritisk (CVE-2022-2992) og to er merket med høy. GitLab anbefaler patching så raskt som mulig.
Referanser
https://about.gitlab.com/releases/2022/08/30/[...]

Microsoft med rapport om utpressingsvirus

Microsoft har sluppet en rapport hvor de tar for seg trender i utpressingsvirus, og har funnet at 80 prosent av angrepene er som følge av konfigurasjonsfeil av programvare og operativsystem.
Referanser
https://www.digi.no/artikler/microsoft-dette-[...]

Tuesday 30 August 2022

2022.08.30 - Nyhetsbrev

Mengden løsepengevirus-angrep stiger igjen.

Mengden løsepengevirus-angrep stiger igjen

Ifølge NCC-group er antallet ransomware-angrep på vei opp igjen, etter å ha gått noe ned i starten av året. Lockbit er den klart mest aktive gruppen gjennom sommeren, fulgt av Hiveleaks og BlackBasta. De to sistnevnte skal ha forbindelse til den nå oppløste Conti-gruppen. Det er 198 kjente ofre for løsepengevirus i løpet av juli, opp 47 prosent fra juni.
Referanser
https://threatpost.com/ransomware-attacks-are[...]

Friday 26 August 2022

2022.08.26 - Nyhetsbrev

Lastpass informerer om nylig sikkerhetshendelse. Cisco med sikkerhetsoppdateringer for flere av deres produkter. Stort amerikansk firma utsatt for sofistikert phishing.

Lastpass informerer om nylig sikkerhetshendelse

Lastpass informerer om en sikkhethendelse de hadde for noen uker siden. En trusselaktør fikk tilgang til deler av LastPass sitt utviklingsmiljø og det ble hentet ut deler av firmaets kildekode, samt teknisk dokumentasjon. Ingen kundedata eller data knyttet til tjenesten skal være kompromittert, og alle produkter og tjenester har hele tiden vært operative. Det skal ikke være nødvendig for brukerne å bytte ut sitt "Master Password".
Referanser
https://blog.lastpass.com/2022/08/notice-of-r[...]

Cisco med sikkerhetsoppdateringer for flere av deres produkter

Cisco har sluppet oppdateringer til flere av deres produkter. Oppdateringene fikser flere svakheter som kunne gi angriper full kontroll over sårbare systemer. Såbarhetene befinner seg i ACI Multi-Site Orchestrator, FXOS og NX-OS-programvare.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]
https://tools.cisco.com/security/center/publi[...]

Okta utsatt for sofistikert phishing-angrep, brukt i videre angrep

En av verdens ledende leverandør av identitet- og autentiseringsplattform, Okta, bekrefter at de er ett av ofrene av det nylige Twilio angrepet. Angrepet mot Twilio, som er et amerikansk sky-kommunikasjonsfirma, er beskrevet i vårt nyhetsbrev 10. august.
Informasjon om brukere, telefonnummer og OTP (one-time password) koder er hentet ut fra Twilio og brukt mot Okta i en større phishing-kampanje.

Informasjonen som ble hentet ut er så brukt i datainnbrudd mot over 130 organisasjoner i hele verden. Så langt ser det ikke ut til at norske firmaer er rammet.
Referanser
https://sec.okta.com/scatterswine
https://telenorsoc-news.blogspot.com/2022/08/[...]
https://www.bleepingcomputer.com/news/securit[...]
https://www.group-ib.com/media/0ktapus-campaign/

Thursday 25 August 2022

2022.08.25 - Nyhetsbrev

Microsoft har avdekket angriper-verktøy for å logge inn som hvem som helst. Mozilla lanserer sikkerhetsoppdatering for Firefox og Thunderbird.

Microsoft har avdekket angriper-verktøy for å logge inn som hvem som helst

Microsoft sine sikkerhetsforskere har oppdaget en verktøy de kaller MagicWeb. MagicWeb gir aktøren tilgang til allerede kompromitterte miljøer med valgfri brukerkonto. Dette gjøres ved først å få administrator-tilgang til AD FS-serveren og bytte ut en .DLL med en manipulert utgave som bytter ut sertifikatene brukt for å autentisere brukeren i sanntid.

Trusselaktøren bak verktøyet, NOBELIUM fra Russland, er fortsatt aktiv og utfører angrep mot offentlige organisasjoner, ikke-statlige organisasjoner, mellomstatlige organisasjoner og tenketank-organisasjoner over hele USA, Europa og Sentral Asia.
Referanser
https://www.microsoft.com/security/blog/2022/[...]

Mozilla lanserer sikkerhetsoppdatering for Firefox og Thunderbird

Mozilla har lansert sikkerhetsoppdatering for å håndtere svakheter i Firefox, Firefox ESR og Thunderbird. I denne oppdateringen er det ingen sårbarheter som har blitt klassifisert som "kritiske".
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]

Wednesday 24 August 2022

2022.08.24 - Nyhetsbrev

Google publiserer informasjon om data mining-verktøy brukt av iransk APT. Tidligere sikkerhetssjef mener at Twitter skjuler alvorlige sikkerhetsmangler. GitLab gir ut kritisk sikkerhetsoppdatering.

Google publiserer informasjon om data mining-verktøy brukt av iransk APT

Google sin gruppe for trussel analyse (også kjent som TAG) undersøkte i desember 2021 den Iranske APTen Charming Kitten sitt data mining-vektøy, kjent som HYPERSCRAPE. HYPERSCRAPE kjøre på maskinen til offeret med tidligere ervervet innloggingsinformasjon og brukes til å stjele brukerdata fra Gmail, Yahoo! og Outlook-kontoene til brukeren. Mer teknisk informasjon og en detaljert analyse om hvordan HYPERSCRAPE fungerer kan finnes på Google sin blog.
Referanser
https://blog.google/threat-analysis-group/new[...]

Tidligere sikkerhetssjef mener at Twitter skjuler alvorlige sikkerhetsmangler

Twitters ledere lurte både føderale myndigheter og selskapets eget styre, angående alvorlige mangler i deres forsvar mot hackere og mangelfull håndtering av spam på plattformen. Det er deres tidligere sikkerhetssjef, Peiter "Mudge" Zatko, som kommer med disse påstandene i et varsel til myndighetene.
Referanser
https://www.washingtonpost.com/technology/int[...]

GitLab gir ut kritisk sikkerhetsoppdatering

En sårbarhet i GitLab CE/EE som berører alle versjoner fra 11.3.4 og før 15.1.5, fra 15.2 og før 15.2.3, og 15.3 og før 15.3.1, tillater en uaotorisert bruker å eksekvere kode fra eksternt ståsted via import-funksjonen i GitHub API-endepunktet. Se CVE-2022-2884 for mer informasjon om sårbarheten.
Referanser
https://about.gitlab.com/releases/2022/08/22/[...]

Tuesday 23 August 2022

2022.08.23 - Nyhetsbrev

Den greske gas-leverandøren DESFA utsatt for løsepengevirus-angrep. FBI advarer om proxyer eid av privatpersoner brukt i passord-spray angrep. 241 npm- og PyPi-pakker inneholder Linux cryptominers.

Den greske gas-leverandøren DESFA utsatt for løsepengevirus-angrep

Den greske nasjonale gass-leverandøren DESFA nekter å forhandle med løsepengevirus Ragnar Locker, som kompromitterte deler av IT systemene deres. Så langt har DEFSA sagt at tilgjengelighet til noen interne systemer er begrenset og at flere filer har blitt eksfiltrert. DESFA sier også at de har klart å holde oppe de kritiske delene av infrastrukturen og vil fortsatt levere tjenestene sine. Sikkerhetseksperter har nå blitt leid inn for å etterforske hendelsen.
Referanser
https://therecord.media/greek-gas-operator-re[...]

FBI advarer om proxyer eid av privatpersoner brukt i passord-spray angrep

Angrepsmetoden blir omtalt som "credential stuffing", der aktørene tar innloggingsinformasjon fra tidligere datalekkasjer og benytter de samme passordene på andre plattformer.

Ettersom flere bedrifter benytter seg av svartelister blir slike angrep ofte oppdaget og blokkert basert på disse. Derfor benytter mange aktører seg av proxyer for å skjule sin egentlige adresse. Proxyene er ofte resultat av kompromitterte IoT enheter og routere hos vanlige privatpersoner. Ved bruk av store mengder proxyer kan det være vanskelig å avsløre angrep.

For å mitigere trusslene har FBI utgitt en liste med råd eiere av tjeneste burde gjennomføre. De anbefaler å tilby fler-faktor autentisering, sammenligne innloggingsinformasjon med informasjon i offentlig lekkede databaser, overvåke user-agents brukt av angripere. De anbefaler også å gi gale resultater til angripere som blir avslørt, i stedet for å sperre dem helt ute (shadow ban).
Referanser
https://www.bleepingcomputer.com/news/securit[...]

241 npm- og PyPi-pakker inneholder Linux cryptominers

Pakkene, som infiserer klienter med programvare for å utvinne kryptovaluta, har for det meste nesten like navn (typo-squatting) som populære pakker. Pakkene installerer en versjon av XMrig og kontakter server for kommando og kontroll. Kort tid etter at 33 av pakkene ble meldt inn til PyPi ble de tatt ned, men aktøren bak har siden lastet opp minst 22 til.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Monday 22 August 2022

2022.08.22 - Nyhetsbrev

Zoom utgir ny oppdatering for auto-aupdate sårbarheten. LockBit hevder at de stod bak angrepet på Entrust. Wordpress sider komprimert ved bruk av Cloudflare DDoS varsler.

Zoom utgir ny oppdatering for auto-aupdate sårbarheten

Forrige uke ga Zoom ut sikkerhetsoppdateringer som fikset sårbarheter i Zoom auto-update utility på MacOS. Etter at det ble oppdaget at oppdateringen var ufullstendig og at sårbarheten fortsatt kunne utnyttes, kommer Zoom nå med en ny oppdatering i versjon 5.11.6 (9890). Denne skal fikse sårbarheten og alle oppfordres til å oppdatere til nyeste versjon. Sårbarheten kan brukes til å oppnå utvidede rettigheter på systemet.
Referanser
https://arstechnica.com/information-technolog[...]

LockBit hevder at de stod bak angrepet på Entrust

Den 18. juni 2022 ble Entrust utsatt for løsepengevirus-angrep. I etterkant av angrepet meddelte de at flere filer trolig hadde blitt stjålet og at de etterforsket hendelsen. Angriperne fikk trolig tilgang ved å kjøpe nettverkstilgang fra andre ondsinnede aktører.

Frem til nå har det ikke vært kjent hvem som stod bak angrepet, men Lockbit har nå tatt på seg ansvaret. De har blant annet opprettet et innlegg på bloggen sin hvor de sier de skal lekke Entrust sine data.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Wordpress sider komprimert ved bruk av Cloudflare DDoS varsler

En rekke Wordpress sider har blitt hakket, for å så vise frem falske DDoS-beskyttelse velkomst sider. Disse sidene blir brukt legitimt til forhindre DdoS angrep men kan også brukes av ondsinnede til forkle et ondsinnet forsøk på å installere programvare i dette tilfellene er "NetSupport RAT" og "the RaccoonStealer password-stealing Trojan".
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Friday 19 August 2022

2022.08.19 - Nyhetsbrev

Google utgir artikkel om hvordan de stoppet det største DDoS-angrepet noen gang rapportert.
APT29 er fremdeles rettet mot Microsoft 365.

Google utgir artikkel om hvordan de stoppet det største DDoS-angrepet noen gang rapportert

Google utgir nå informasjon om hvordan de analysert og deretter mitigerte det største applikasjonsnivå DDoS-angrepet rapportert frem til nå. Selve angrepet skjedde på 1. juni og hadde en trafikktopp på 46 millioner forespørsler i sekundet. Angrepet ble mitigert ved bruk av en anbefalt regel generert av Google sitt eget Cloud Armor Adaptive Protection tjeneste. Denne regelen ble også iverksatt før trafikktoppen på 46 million forespørsler i sekundet ble nådd som forårsaket at mesteparten av angrepet ble blokkert.
Referanser
https://cloud.google.com/blog/products/identi[...]

APT29 er fremdeles rettet mot Microsoft 365

APT29 er en russisk etterretnings-gruppe som Mandiant har sporet siden 2014. Gruppen er sannsynlig støttet av SVR (Utenriksetterretningstjenesten til Russland). Målene gruppen har tatt for seg har blitt identifisert til å være primært USA eller andre NATO-land.

APT29 har svært god operasjonell sikkerhet og avanserte taktikker rettet mot Microsoft 365. Taktikkene som blir brukt er blant annet deaktivering av lisenser for brukere. Dette er lisenser som styrer brukerens tilganger til 365 applikasjoner, men også sikkerhetsrutinene rundt. Med dette kan en funksjon som logger e-post-aktivitet bli deaktivert, slik at en bruker kan bli angrepet gjennom e-post uten at selskapet får logger om mistenkelig aktivitet.

Overtakelse av inaktive kontoer ved hjelp av MFA (Multi-Faktor-Autentisering) er også en taktikk som blir brukt. Når MFA blir rullet ut i bedrifter blir dette konfigurert første gang en bruker logger inn. Dersom en bruker er inaktiv kan en uønsket aktør konfigurere MFA selv, så lenge de er den første som logger seg inn til brukeren, og dermed ta over kontoen.
Referanser
https://www.mandiant.com/resources/apt29-cont[...]

Thursday 18 August 2022

2022.08.18 - Nyhetsbrev

Apple fikser to svakheter under aktiv utnyttelse. PoC utnyttelseskode utgitt for kritisk svakhet i Realtek RTL819x. Gjenbruk av kryptonøkler i Hyundai-biler.

Apple fikser to svakheter under aktiv utnyttelse

Apple har i dag sluppet haste-oppdatering for to kritiske svakheter som er under aktiv utnyttelse av angripere. Svakhetene kan brukes til å oppnå kontroll over både iPad, Mac og iPhone. Svakhetene er av typen "out of bonds" og befinner seg i henholdsvis kjernen og WebKit. De nye fiksede versjonene er macOS Monterey 12.5.1 og iOS 15.6.1/iPadOS 15.6.1.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://support.apple.com/en-us/HT201222

PoC utnyttelseskode utgitt for kritisk svakhet i Realtek RTL819x

Realtek RTL819x er en integrert brikke som brukes i mye nettverksutstyr. Programvaren som følger med brikken har en svakhet i håndteringen av SIP-pakker som kan brukes til å ta kontroll over sårbart utstyr, kun ved å sende en spesielt utformet pakke til enheten. Det har nå kommet PoC (Proof of Concept)-kode for Nexxt Nebula 300 Plus-routere. Det er ventet at utnyttelseskode vil bli laget for flere typer utstyr.
Referanser
https://securityaffairs.co/wordpress/134515/b[...]

Gjenbruk av kryptonøkler i Hyundai-biler

En utvikler klarte å kjøre egen programvare på infotainment-systemet i en Hyundai Ioniq. Programvare som skal installeres i systemet må først signeres med en RSA-nøkkel, men det viser seg at nøkkelen er offentlig tilgjengelig i kode-eksempler.
Referanser
https://www.theregister.com/2022/08/17/softwa[...]

Wednesday 17 August 2022

2022.08.17 - Nyhetsbrev

Gamle DOS-verktøy kommer tilbake til trussellandskapet. Google Chrome-oppdatering.

Google Chrome-oppdatering

Oppdateringen løser 11 kjente sikkerhetshull, der 1 av disse er kritisk og Google er kjent med at denne utnyttes av aktører. Vi anbefaler å oppdatere til siste versjon så fort som mulig.
Referanser
https://chromereleases.googleblog.com/2022/08[...]

Gamle DOS-verktøy kommer tilbake til trussellandskapet

Grunnet konfliktene i øst-Europa og en stor økning i "hacktivisme" på både russisk og ukrainsk side, ser man en stor økning i bruk av gamle verktøy for å gjennomføre tjenestenekt-angrep som HOIC, HULK, LOIC og Slowloris i Q1 og Q2 av 2022. Det er selskapet Radware som melder dette i en blogg-post. Statistikk viser også at bruken av disse gamle verktøyene er nedadgående i det vi beveger oss inn i andre halvdel av 2022. Dette skyldes sannsynligvis at teknikkene til hacktivistene blir mer avanserte og samtidig at lavnivå hacktivister muligens flytter oppmerksomheten til andre områder.
Referanser
https://blog.radware.com/security/2022/08/the[...]

Tuesday 16 August 2022

2022.08.16 - Nyhetsbrev

Microsoft har ødelagt for hacking-operasjonen til den russiske gruppen SEABORGIUM. Signal utgir mer informasjon om de 1900 telefon-numrene som ble stjålet fra Twilio. Oppdatering fikser sårbarhet i Zoom for MacOS.

Microsoft har ødelagt for hacking-operasjonen til den russiske gruppen SEABORGIUM

SEABORGIUM er en russisk trusselaktør som fokuserer på NATO-land. Gruppen lager falske identiteter på sosiale medier og eposter. Disse brukes i større målrettede kampanjer med sosial manipulering mot profilerte individer innenfor forsvars og etteretnings-tjenester i NATO-land.

Gruppen gjennomfører angrepene ved først å bli kjent med målet, deretter sende dem en epost med et skadelig PDF-dokument. Dersom målet åpner dokumentet, får de beskjed om at det ikke kunne åpnes og at om at brukeren kan prøve igjen. Deretter åpnes en phising-side som kjører EvilGinx som en proxy for å stjele brukerens innloggings-informasjon.

Etter å ha kompromittert epost-kontoen til målet, kopierer angriperne ut alle epostene i inboxen, setter opp videresending av fremtidige eposter og utgir seg for å være den opprinnelige eier av kontoen. Deretter benytter de seg av kontaktlisten til offeret for å spre phishing-dokumentet videre.

Microsoft har inkludert en IoC (Indicators of Compromise)-liste i sin rapport.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://www.microsoft.com/security/blog/2022/[...]

Signal utgir mer informasjon om de 1900 telefon-numrene som ble stjålet fra Twilio

Twilio, som tilbyr autentiserings-tjenester for telefon-nummer til Signal, har nylig vært utsatt for data-lekkasje. Angrepet medførte at en ondsinnet aktør fikk tilgang til over 1900 mobiltelefonnumre som var knyttet til Signal-kontoer. Herfra kunne aktøren forsøke å omregistrere nummeret til en annen mobiltelefon. Det var i hovedsak tre numre angriperen var interessert i og fikk omregistrert. Signal har mottatt rapporter fra disse tre numrene og ser nærmere på hendelsen. De har også meddelt at angriperen ikke fikk tilgang til annen sensitiv informasjon som meldinger, profil informasjon eller kontaktlister. Denne typen informasjon blir ikke kopiert over når en tar i bruk en ny enhet for Signal.

Dersom din konto har blitt påvirket av lekkasjen, vil du motta informasjon fra Signal om dette. De oppfordrer også alle deres brukere til å skru på registrerings-lås på deres Signal-bruker. Dette gjør at en angriper ikke uten videre kan ta over kontoen din, selv om de får tilgang til tekstmeldinger som blir sendt til telefonen.
Referanser
https://support.signal.org/hc/en-us/articles/[...]
https://arstechnica.com/information-technolog[...]

Oppdatering fikser sårbarhet i Zoom for MacOS

Sårbarheten gjør det mulig for skadevare å benytte seg av Zoom sin automatiske oppdaterings-funksjon for å oppnå utvidede rettigheter på en klient. Sårbarheten gikk ut på å utnytte verifiserings-sjekkeren til Zoom. for å nedgrade til en tidligere mer usikker versjon, eller gi angripere root-tilgang til klienten.

Zoom har utgitt versjon 5.11.5 (9788), som må manuelt lastes ned for å fikse sårbarheten. En angriper må allerede ha tilgang til maskinen for å utnytte sårbarheten.
Referanser
https://arstechnica.com/information-technolog[...]

Monday 15 August 2022

2022.08.15 - Nyhetsbrev

Maui løsepengevirus kobles til den Nord-koreanske APTen Andariel.

Maui løsepengevirus kobles til den Nord-koreanske APTen Andariel

Maui-løsepengeviruset, som nylig har blitt benyttet mot Amerikanske helsetjenester, ble først oppdaget i 2021. Den gangen angrep Andariel et japansk firma. Kun dager før utplasserte løsepengeviruset hadde angriperne installert DTrack skadevare og 3Proxy Tool for å nå interne ressurser.
Etter initiell tilgang til systemet benytter gruppen seg av legitime verktøy for tunnellering av forbindelser og proxyer. Powershell-scripts og Bitsadmin benyttes for å laste ned mer skadevare.

Andariel ser ut til å ha økonomiske motiver når det kommer til angrepene de gjennomfører, noe som ofte er tilfelle med Koreanske aktører.
Referanser
https://www.theregister.com/2022/08/10/maui_r[...]

Friday 12 August 2022

2022.08.12 - Nyhetsbrev

Amerikanske myndigheter utlover dusør for informasjon om medlemmer av løsepengevirusgruppen Conti. NHS samarbeider med britiske NCSC etter bedriften Advanced ble utsatt for løsepengevirus-angrep.

Amerikanske myndigheter utlover dusør for informasjon om medlemmer av løsepengevirusgruppen Conti

Myndighetene har utlovet en dusør på inntil 10 millioner dollar for informasjon som kan medføre arrestasjon av de fem lederne i Conti. Sammen med dusøren har myndighetene utgitt et bilde av "Target" som er en lederne. De er også interresert i informasjon om de fire andre personene kjent som "Tramp", "Dandis", "Professor" og "Reshaev" som nå deltar i flere andre løsepengevirus-grupper etter at Conti ble tatt ned tidligere i år.

Det statlige programmet The Rewards of Justice står bak dusøren og er kjent for å utgi belønninger for informasjon om trusselaktører som kan påvirke den nasjonale sikkerheten.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

NHS samarbeider med britiske NCSC etter bedriften Advanced ble utsatt for løsepengevirus-angrep

Bedriften Advanced ble utsatt for løsepengevirus 4. august. Advanced leverer flere IT-løsninger til NHS (Nathional Health Service). Da angrepet ble oppdaget, isolerte Advanced alle miljøene som tilhørte helsetjenester. I skrivende stund er det usikkert hvor stort skadeomfanget er, men NHS jobber sammen med NCSC for å finne ut hva som er påvirket.

NHS har ikke utgitt informasjon om pasientdata ble lekket under angrepet. I følge NHS kan alle kan benytte systemene som normalt igjen, men det vil trolig være lenger ventetid. Dette er ikke første gangen NHS har blitt rammet av løsepengevirus, ettersom de ble rammet av WannaCry i 2017.

Sammen med NHS ble også Adastra, Caresys, Odyssey, Carenotes, Crosscare, Staffplan og eFinancials påvirket av angrepet.
Referanser
https://therecord.media/nhs-working-with-u-k-[...]

Thursday 11 August 2022

2022.08.11 - Nyhetsbrev

Cisco Talos gir innsikt i nylig cyber-angrep mot Cisco. Cisco fikser bug som tillater tyveri av RSA privatnøkler. Svakhet i PAN-OS URL-filter kan medføre DDoS-forsterkning.

Cisco Talos gir innsikt i nylig cyber-angrep mot Cisco

Cisco ble 24. mai 2022 kjent med at de kanskje hadde blitt kompromittert. Siden har Cisco Security Incident Response (CSIRT) og Cisco Talos arbeidet med analyse og opprydding.

Det ble funnet ut at en ansatts innloggingsdetaljer ble kompromittert etter at en angriper fikk tilgang til Google-kontoen til vedkommende, og innloggingsdetaljer lagret i nettleseren ble hentet ut. Ved bruk av sofistikert phishing klarte angriperne å få den ansatte til å akseptere multifaktor autentisering iverksatt av angriper, som ga VPN-tilgang inn i Ciscos nettverk under den ansattes navn.

CSIRT og Talos har ikke funnet noe som kan tilsi at angriper har fått tilgang til kritiske interne systemer. Etter initiell tilgang gjorde angriper flere grep for å minimere synligheten sin og eskalere privilegier.

Angriperen ble etter hvert kastet ut av systemene, men gjorde i ukene etter gjentatte forsøk på å få tilbake tilgang uten hell.

CSIRT og Talos sier at det er høy sannsynlighet for at angriper kan ha tilknytning til en trusselaktør som tidligere har solgt tilganger til grupperingene UNC2447, Lapsus$ og Yanluowang.
Referanser
https://blog.talosintelligence.com/2022/08/re[...]

Cisco fikser bug som tillater tyveri av RSA privatnøkler

Cisco har addressert en svaket som kan la uautoriserte angripere hente en RSA privatnøkkel fra eksternt hold. Denne kan deretter brukes til til å dekryptere trafikk eller eller for å etterlikne Cisco sine ASA (Adaptive Security Appliance) og FTD (Firepower Threat Defense) enheter.

De oppgir at denne svakheten gjelder enheter som kjører Cisco ASA (9.16.1 og etter) eller Cisco FTD (7.0.0 og etter).
Anbefaling
Cisco melder at administratorer for Cisco ASA eller FTD enheter kan måtte fjerne ugyldige eller potensielle RSA nøkler som kan bli påvirket, og kanskje tilbakekalle assosierte sertifikater.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Svakhet i PAN-OS URL-filter kan medføre DDoS-forsterkning

Det er en svakhet i konfigurasjonen av URL-filtrering i PAN-OS (CVE-2022-0028). Denne svakheten gjør det mulig for en angriper å bruke en sårbar enhet til å forsterke et DDoS-angrep. Dette vil også medføre at angrepet ser ut til å komme fra den sårbare enheten, i stedet for den egentlige angriperen.
Anbefaling
Oppdateringene for å løse dette kommer senest 15. august. Vi anbefaler brukere av systemet om holde utkikk etter disse.
Referanser
https://security.paloaltonetworks.com/CVE-202[...]

Wednesday 10 August 2022

2022.08.10 - Nyhetsbrev

Microsoft og Adobe gir ut månedlige sikkerhetsoppdateringer. Kryptoplattform deBridge utsatt for angrep fra Lazarus-gruppen. Twilio og Cloudflare utsatt for sofistikert phishing-angrep mot ansatte. Ny svakhet i CPU-arkitektur: ÆPIC Leak.

Adobe gir ut månedlige sikkerhetsoppdateringer

Adobe har gitt ut sine månedlige oppdateringer i forbindelse med patche-tirsdag. Denne gangen er det ingen kritiske oppdateringer.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]

Kryptoplattform deBridge utsatt for angrep av Lazarus gruppen

Lazarus gruppen er en hackergruppe som er mistenkt å være fra Nord-Korea. Gruppen som har tidligere hatt stor suksess med tyveri av kryptovaluta og har nå utpekt deBridge som sitt nye mål.

deBridge er en kryptoplattform som gjør det mulig å overføre midler gjennom fra en blockchain til en annen gjennom et desentralisert miljø. Firmaet ble angrepet ved hjelp av phishing-mailer for å servere skadevare som samler informasjon om Windows systemer, noe som muliggjør leveransen av videre skadevare.

Mailen inneholdt to filer som tilsynelatende skulle informere brukeren om en lønnsforandring. Målet var at brukeren skulle åpne filene for så å bli infisert av skadevaren. Det er en .LNK-fil som brukes for å infisere systemet.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Microsoft gir ut sikkerhetsoppdateringer for juli

Microsoft har i går kveld offentliggjort sine månedlige sikkerhetsoppdateringer. Offentliggjøringen består av 141 bulletiner, der 17 vurderes som kritiske.

NCSC fremhever én sårbarhet, CVE-2022-34713, hvor Microsoft rapporterer om aktiv utnyttelse. Sårbarheten oppstår når MSDT (MS Diagnostic Tool) blir brukt av URL-protokollen fra en applikasjon som for eksempel Microsoft Word. Dette er en variant av en eldre svakhet som har fått navnet "DogWalk".

Det er også sluppet oppdateringer til Microsoft Exchange-server der det må gjøres manuelt konfigurasjons-arbeid i tillegg til selve patchingen. Vi anbefaler alle som har Exchange-servere å sette seg spesielt inn i disse svakhetene: CVE-2022-21980, CVE-2022-24516 og CVE-2022-24477.

Vi anbefaler å installere oppdateringene så fort som mulig.
Referanser
https://nsm.no/fagomrader/digital-sikkerhet/n[...]
https://msrc.microsoft.com/update-guide/en-us

Twilio og Cloudflare utsatt for sofistikert phishing-angrep mot ansatte

Twilio, et amerikansk sky-kommunikasjonsfirma, bekrefter at kundedata kan være på avveie etter et SMS-phishing angrep. Angriperene utga seg for å være Twilio sin IT-avdeling via SMS og ba de ansatte om å tilbakestille passordet sitt. Nettsiden de lenket til skal ha sett identisk ut som den ekte siden. Selskapet opplyser at inntrengerne har fått tilgang til kundedata.

CloudFlare ble også utsatt for sammen type angrep fra den samme aktøren. Tre av de ansatte ble lurt, men angriperne fikk ikke tilgang til interne systemer da CloudFlare benytter seg av hardware-nøkler for innlogging. Denne typen nøkler gjør at innlogging er umulig å gjøre fra andre maskiner enn der nøkkelen er fysisk satt inn.
Referanser
https://www.bleepingcomputer.com/news/securit[...]
https://arstechnica.com/information-technolog[...]

Ny svakhet i CPU-arkitektur: ÆPIC Leak

Sikkerhetsforskere har oppdaget en feil i arkitekturen til nyere CPUer fra Intel som gjør det mulig for priviligerte prosesser å lese ut beskyttet informasjon fra SGX. SGX er en spesielt beskyttet del av en CPU som er designet for å beskytte krypteringsnøkler og annen sensitiv informasjon. Dette er den åttende svakheten relatert til SGX som er oppdaget siden 2018.
Referanser
https://arstechnica.com/information-technolog[...]

Tuesday 9 August 2022

2022.08.09 - Nyhetsbrev

USA sanksjonerer mot Tornado Cash kryptovaluta-mikser. Alle 7-Eleven kiosker stengt i Danmark grunnet mistanke om hacking. Oppsummering av nyhetsbildet innen datasikkerhet for juli 2022.

USA sanksjonerer mot Tornado Cash kryptovaluta-mikser

Tornado Cash er en kryptovaluta-mikser tjeneste som blir brukt for å opprettholde anonymitet under kryptovaluta-transaksjoner. Tjenesten har legitime bruksområder for anonymitet, men blir ofte brukt til ulovlig aktivitet som hvitvasking av penger.

Finansdepartementet i USA anslår at Tornado Cash har blitt brukt til hvitvasking av over 6 milliarder USD i kryptovaluta siden 2019. Tornado Cash har feilet med å innføre rutiner som skal kontrollere og hindre ulovlig bruk, noe som har ført til at mikseren nå er svartelistet av USA. GitHub-kontoen som ble brukt til å vedlikeholde kildekoden til tjenesten er også slettet.
Referanser
https://therecord.media/u-s-sanctions-tornado[...]
https://home.treasury.gov/news/press-releases/

Alle 7-Eleven kiosker stengt i Danmark grunnet mistanke om hacking

Samtlige 7-Eleven kiosker i Danmark ble rammet av data-angrep mandag 8. august. Kasseapparatene fungerer ikke lengre, noe som har ført til at de ansatte ikke kan ta i mot betaling fra kunder. I dag meldes det at fem av butikkene har klart å åpne igjen.

7-Eleven drives i Danmark av "Reitan Convenience Denmark" som også driver Rema 1000.
Referanser
https://www.digi.no/artikler/mistenker-hackin[...]

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2022

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for juli 2022. Denne måneden skriver vi blant annet om den andre bølgen med DDoS-angrep mot norske nettsteder denne sommeren.
Referanser
https://telenorsoc.blogspot.com/2022/08/oppsu[...]

Monday 8 August 2022

2022.08.08 - Nyhetsbrev

Twitter bekrefter informasjons-lekkasje. Bufferoverskridelse funnet i Exim mailtjeneste, oppgrader til versjon 4.96.

Twitter bekrefter informasjons-lekkasje

Twitter bekrefter at informasjon knyttet til 5.4 millioner brukere ble stjålet i januar. Dette ble oppdaget etter at telefonnumre og epost-adresser tilhørende diverse Twitter-kontoer ble tilbudt på "Breach Forums".

Informasjonen ble stjålet ved hjelp av et sikkerhetshull som gjorde det mulig å finne ut hvilken Twitter-konto et telefonnummer eller mailadresse tilhører ved å skrive det inn under innlogging.

Twitter har nå fikset sikkerhetshullet, men anbefaler folk som bruker pseudonyme-kontoer på Twitter om å fjerne mailadresser og telefonnummere fra kontoen.
Referanser
https://therecord.media/twitter-confirms-janu[...]

Bufferoverskridelse funnet i Exim mailtjeneste

Exim er en epost-tjeneste basert på åpen kildekode som brukes av over en halv million epost-tjenere på nettet.

Den nye sårbarheten er klassifisert som kritisk, og gjør det mulig å skape bufferoverskridelse for alias-listen i forbindelse med navneoppslag for DNS-adresser. Sårbarheten ble introdusert i forbindelse med utgivelsen av versjon 4.93 og har fått benevnelsen CVE-2022-37452.

Svakheten er allerede patchet og vi anbefaler å oppgradere til versjon 4.96.
Referanser
https://securityonline.info/cve-2022-37452-ex[...]
https://github.com/ivd38/exim_overflow

Friday 5 August 2022

2022.08.05 - Nyhetsbrev

Cisco Routere har kritisk sårbarhet mot hacking
TLP 2.0 har ankommet

Cisco Routere har kritisk sårbarhet mot hacking

Cisco har lagt ut oppdateringer mot åtte sårbarheter, hvor tre av dem kunne bli brukt for å kjøre ekstern kodeeksekvering.
Dette påvirket små bedriftsroutere, RV160, RV260, RV340 og RV345 produkter.

CVE-2022-20842
Referanser
https://thehackernews.com/2022/08/cisco-busin[...]

TLP 2.0 har ankommet

TLP (Traffic Light Protocol) er en standardisert måte for å henvise til begrensinger og håndtering av informasjon.
TLP 2.0 er den nye oppdateringen til dette og i tillegg til TLP:Clear, TLP: Green, TLP:Amber og TLP:Red, har det kommet TLP:Amber+Strict.

Denne nye formen indikerer at informasjon kan kun deles til de som har et behov for informasjonen innenfor organisasjonen.
Referanser
https://isc.sans.edu/diary/TLP+2.0+is+here/28914

Thursday 4 August 2022

2022.08.04 - Nyhetsbrev

Android kunngjør sikkerhetsoppdatering

Utnyttelse av flere sårbarheter på Android enheter blir vanskeligere å utnytte på grunn av forbedringer i Android operativ systemet.
Referanser
https://source.android.com/security/bulletin/[...]

Wednesday 3 August 2022

2022.08.03 - Nyhetsbrev

VMware slipper sikkerhetsoppdateringer relatert til ny svakhet CVE-2022-31656. Energiselskaper i Luxemburg sliter etter et løsepengevirusangrep.

VMware slipper sikkerhetsoppdateringer relatert til ny svakhet CVE-2022-31656.

VMware har sluppet en oppdatering relatert til programvaren Workspace ONE access hvor det nylig ble oppdaget en "Authentication Bypass" svakhet. Hvor en angriper med tilgang til brukergrensesnittet til applikasjonen kunne få administrator rettigheter uten å måtte autentisere seg.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Energiselskaper i Luxemburg sliter etter et løsepengevirusangrep.

To energiselskaper i Luxemburg har blitt angrepet med løsepengevirusangrep i forrige uke. Angrepet tok ned brukerportalene til begge selskapene men skal ikke ha påvirket operative systemer. Etter angrepet jobbes det fortsatt med å få opp de påvirkede systemene. Angriperne skal også ha stjålet 150 GB med data som de truer med å publisere. Dette inkluderer kontrakter og personlig informasjon.
Referanser
https://therecord.media/luxembourg-energy-com[...]

Monday 1 August 2022

2022.08.01 - Nyhetsbrev

Lockbit løsepengevirus benytter seg av Windows Defender for å sette opp Cobalt strike beacons. Stort nettverk med falske investeringssider retter seg mot Europa.

Lockbit løsepengevirus benytter seg av Windows Defender for å sette opp Cobalt strike beacons

En trusselaktør som benytter seg av LockBit 3.0 bruker Windows Defender for å unngå at Cobalt Strike beacons skal bli oppdaget. Aktøren brukte Log4j sårbarheter for å få initiell tilgang til systemet. Deretter benyttet de seg av PowerShell for å laste ned tre filer, logfil, Windows kommandolinjeverktøy og en ondsinnet versjon av mpclient.dll. Når MpRunCmd eksekveres laster den inn den ondsinnede versjonen av mpclient.dll. Denne DLLen dekrypteres og installerer Cobalt Strike beacon fra log filen som ble installert med PowerShell.

Tidligere har aktører benyttet seg av VMware kommandolinjeverktøy for å gjennomføre samme teknikker, men de har trolig byttet for å unngå deteksjon.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Stort nettverk med falske investeringssider retter seg mot Europa

Etterforskere fra Group-IB oppdaget og kartlagte over 11 000 domener som er falske investeringssider. Per dags dato er mer enn 5000 av domenene fremdeles aktive og har hovedfokuset sitt på Belgia, Polen, Portugal, Nederland, Norge, Storbritannia, Sverige, Tsjekkia og Tyskland. Investeringssidene har produsert falske kjendisreklamer og falske suksesshistorier for å lure målene sine. Dersom en bruker går inn på ett av domenene vil de bli spurt om å investere en minimumssum på 255 dollar for å få tilgang til de falske tjenestene.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

 
>