2022.09.30 - Nyhetsbrev

To nye nulldagssårbarhet i Microsoft Exchange Server utnyttes aktivt. Mandiant har undersøkt ny type skadevare som angriper VMware Hypervisor.

Mandiant har undersøkt ny type skadevare som angriper VMware Hypervisor

Forskere ved Mandiant har gjennomført analyse av en ny type skadevare som angriper VMware ESXi Hypervisor. Skadevaren krever at angriperen allerede har fått tilgang til serveren for å installeres. ESXi-servere har ofte ikke installert EDR (Endpoint Detection and Response) og det kan derfor ofte være vanskelig å avsløre skadevare på denne typen enheter. Den nye skadevaren har flere metoder for å beholde administrator-tilgang, kan sende kommandoer som blir eksekvert på gjeste VMer, filoverføring mellom hypervisor og VMer, manipulering av logger og kjøre vilkårlige kommandoer mellom VMer på samme hypervisor. Mandiant har utgitt en komplett analyse av skadevaren hvor de hvor de også har delt noen IOCer relatert til Novel. VMware har også gitt ut en veiledning med råd om hvordan en kan beskytte seg mot denne nye trusselen.
Referanser
https://www.mandiant.com/resources/blog/esxi-[...] https://core.vmware.com/vsphere-esxi-mandiant[...]

To nye nulldagssårbarhet i Microsoft Exchange Server utnyttes aktivt

Cyber sikkerhetsfirmaet GTSC fra Vietnam har nylig avdekket to nye sårbarheter i Microsoft Exchange Server, som de opplyser at har blitt utnyttet siden august. Sårbarhetene minner om ProxyShell-svakheten fra 2021, men krever en autentisert bruker for å bli utnyttet. Det holder med tilgang som en vanlig epost-bruker for utnyttelse. Microsoft har sluppet en bloggpost med råd for hvordan en skal forholde seg til svakhetene og opplyser at de fungerer mot Exchange Server 2013, 2016 og 2019. Microsoft Exchange Online er ikke rammet. Microsoft jobber med en patch. Vi anbefaler alle som har on-prem Exchange-server om å sjekke denne grundig for infeksjon og unormale pålogginger.
Referanser
https://msrc-blog.microsoft.com/2022/09/29/cu[...] https://www.gteltsc.vn/blog/warning-new-attac[...]

2022.09.29 - Nyhetsbrev

Skadevaren Chaos påvirker både Windows, Linux og flere andre enheter. VLAN-stacking åpner muligheter for Man in the middle og DOS-angrep. Cisco har sluppet en rekke sikkerhetsoppdateringer.

Skadevaren Chaos påvirker både Windows, Linux og flere andre enheter

Cybersikkerhets spesialister har oppdaget skadevaren Chaos, som er utviklet av personer i Kina for å utnytte Windows- og Linux-maskiner, samt en rekke andre bedrifts- og forbruker-enheter. Skadevaren har mulighet for å oppdage klienter, gjennomføre DDoS-angrep, opprette reverse-shell og stjele SSH-nøkler. Etterforskere ved Lumen har utforsket kommando og kontroll-serverne relatert til Chaos skadevaren. Gjennom dette har de funnet at gruppen bak i det siste har gjennomført en rekke DDoS angrep mot bedrifter innen spill, finans, teknologi og media. En foreløpig vurdering er at hensikten med Chaos er å bygge opp et nettverk som framover kan benyttes for DDoS-angrep og utvinning av kryptovaluta.
Referanser
https://blog.lumen.com/chaos-is-a-go-based-sw[...]

VLAN-stacking åpner muligheter for Man in the middle og DOS-angrep

Grunnet fire sårbarheter funnet i Stacked VLAN ethernet funksjonen, er det mulig for angripere å benytte seg av spesielt utformede pakker for å utnytte switcher, rutere og operativsystem som benytter seg av L2-sikkerhet for å filtrere trafikk. Det er usikkert hvor stort skadeomfanget er, da kun Cisco og Juniper har konkludert sin etterforskning og meddelt at noen av deres produkter faktisk er sårbare. De fire sårbarhetene har fått CVE: (CVE-2021-27853, CVE-2021-27854, CVE-2021-27861, CVE-2021-27862).
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://kb.cert.org/vuls/id/855201 https://blog.champtar.fr/VLAN0_LLC_SNAP/

Cisco har sluppet en rekke sikkerhetsoppdateringer

Cisco har publisert 21 oppdateringer for sårbarheter i diverse produkter. 8 av sårbarhetene er rangert med høy kritikalitet. Norske EkomCERT fremhever i et varsel spesielt en sårbarhet knyttet til håndtering av IPv4 ved egress i MPLS tuneller i flere serier av Catalyst switcher. I denne sårbarheten kan en spesielt utformet pakke få berørte enheter til å restarte. Det er også sårbarheter knyttet til forhåndsprogrammerte statiske brukernavn/passord i SD-WAN-løsninger. Telenor eller EkomCERT er ikke kjent med aktiv ondsinnet utnyttelse av sårbarhetene.
Anbefaling
Installer patcher fra Cisco.
Referanser
https://tools.cisco.com/security/center/publi[...] https://tools.cisco.com/security/center/viewE[...]

2022.09.28 - Nyhetsbrev

Google slipper Chrome-oppdatering som utbedrer 20 sikkerhetssvakheter.

Google slipper Chrome-oppdatering

Google slipper ny Chrome stable-oppdatering for Windows, Mac og Linux. Chrome 106.0.5249.61/62 og 106.0.5249.61 inneholder 20 sikkerhetsoppdateringer hvorav flere kommer fra eksterne bidragsytere.
Referanser
https://chromereleases.googleblog.com/2022/09[...]

2022.09.27 - Nyhetsbrev

Ukraina: Russland planlegger angrep mot kritiske infrastruktur. Kritisk sårbarhet i Sophos brannmur under aktiv utnyttelse i angrep.

Ukraina: Russland planlegger angrep mot kritiske infrastruktur

Myndighetene i Ukraina har varslet at Kremlin kommer til å gjennomføre flere store data-angrep mot kritisk infrastruktur i Ukraina og deres nærliggende allierte, som Polen og baltiske stater. Angrepene kommer trolig å være mest fokusert på å ta ned eller begrense strømnettet. Rapporten viser også til flere tidligere angrep Russland har gjennomført mot Ukrainas strømnett. Blant disse sørget angrepet i 2015 for at flere innbyggere ikke hadde strøm i opp til seks timer. Forskere fra Mandiant har nevnt at gruppen "Sandworm", som har stått bak tidligere angrep, er blant de mest avanserte aktørene i verden og kontrolleres direkte fra Kremlin. Gruppen har benyttet seg av både velkjent skadevare og skadevare som er spesielt utformet for å angripe styringssystemene til strømnettet.
Referanser
https://arstechnica.com/information-technolog[...]

Kritisk sårbarhet i Sophos brannmur under aktiv utnyttelse i angrep

En kode injeksjon svakhet gjør det mulig med ekstern kode-eksekvering i brukerportalen og webadmin på Sophos brannmurer. Sophos opplyser at svakheten har blitt brukt mot bedrifter primært i den sørlige delen av Asia. Organisasjonene som har blitt utsatt for angrep har blitt informert av Sophos. Svakhten er per i dag fikset, og en hver kunde som har på automatisk oppdatering i innstillingene til brannmuren skal være trygg. Dette er slått på som standard. Sophos hadde også en lignende svakhet i brannmurene sine tidligere i år.
Anbefaling
Oppdater Sophos brannmur om den ikke allerede har på automatisk oppdatering.
Referanser
https://www.sophos.com/en-us/security-advisor[...] https://www.digi.no/artikler/sophos-brannmur-[...]

2022.09.26 - Nyhetsbrev

Tenåring arrestert i UK i forbindelse med hack av Uber og Rockstar Games. BGP-hijack kostet kryptovaluta-kunder dyrt.

Tenåring arrestert i UK i forbindelse med hack av Uber og Rockstar Games

Politi som jobber med cyberkriminalitet rapporter at de har assistert i forbindelse med en pågripelse relatert til datainnbruddene hos Rockstar Games og Uber. Den pågrepne er en tenåring på 17 år og har status som mistenkt. Den mistenkte skal angivelig også ha tilknytninger til LAPSUS$-gjengen, der flere medlemmer tidligere i år ble arrestert i UK. Innbruddene ble i stor grad gjennomført ved hjelp av sosial manipulering.
Referanser
https://gizmodo.com/hacker-arrest-rockstar-ga[...] https://www.digi.no/artikler/arrestert-britis[...]

BGP-hijack kostet kryptovaluta-kunder dyrt

Amazon mistet kontrollen 256 IP addresser brukt til å levere skytjenester. Dette skjedde etter at ondsinnede aktører benyttet seg av "BGP hijacking" (Border Gateway Protocol) til få kontroll over disse adressene. Aktørene fikk fritt spillerrom i mer enn 3 timer, noe som førte til at de fikk stjålet kryptovaluta med en verdi på $235,000. Dette ble gjort ved å sette opp en falsk nettside for én av Amazons kunder som ble berørt av angrepet, "Celer Bridge".
Referanser
https://arstechnica.com/information-technolog[...]

2022.09.23 - Nyhetsbrev

Noberus Ransomware: Etterfølger av Darkside og BlackMatter fortsetter å utvikle taktikkene sine. SentinelLabs melder om en ny avansert trusselaktør kalt Metador.

Noberus Ransomware: Etterfølger av Darkside og BlackMatter fortsetter å utvikle taktikkene sine

Angripere som distribuerer Noberus (også kjent som BlackCat, ALPHV) løsepengevirus har brukt nye taktikker, verktøy og prosedyrer (TTP) de siste månedene, noe som gjør trusselen farligere enn noen gang. Blant noen av de mer bemerkelsesverdige utviklingene har vært bruken av en ny versjon av dataeksfiltreringsverktøyet Exmatter, samt bruken av Eamfo, skadelig programvare som stjeler informasjon som er designet for å stjele innloggingsdetaljer lagret av Veeam backup-programvare.
Referanser
https://symantec-enterprise-blogs.security.co[...]

SentinelLabs melder om en ny avansert trusselaktør kalt Metador

Forskere hos SentinelLabs melder om en ny ukjent trusselaktør, navngitt som Metador. Gruppen bruker avanserte teknikker og fokuserer seg primært mot internettleverandører, telekom-industrien samt universiteter i Midtøsten og Afrika. Det har ikke blitt funnet noen sikre beviser på hvilke spesifikke land Metador kan knyttes til, men det har blitt funnet spor av utviklere og operatører som snakker både engelsk og spansk. De to forskjellige skadevareplattformene brukt av Metador er navngitt som metaMain og Mafalda. Disse Windows-baserte plattformene er laget for kun å operere i minnet og aldri berøre disk på en ukryptert måte. Det er også indikasjoner på at de kan ha en Linux-basert plattform.
Referanser
https://www.sentinelone.com/labs/the-mystery-[...]

2022.09.22 - Nyhetsbrev

Byggeverktøy for LockBit 3.0 offentliggjort av misfornøyd utvikler. 15 år gammel oversett Python-sårbarhet i rampelyset igjen. Mozilla har sluppet sikkerhetsoppdateringer for Firefox, Firefox ESR og Thunderbird.

Mozilla har sluppet sikkerhetsoppdateringer for Firefox, Firefox ESR og Thunderbird

Mozilla har sluppet sikkerhetsoppdateringer for Firefox, Firefox ESR og Thunderbird. En angriper har før oppdateringen kunnet bruke disse til å ta kontroll over sårbare systemer. CISA anbefaler brukere og administratorer om å gjennomgå sikkerhetsoppdateringene for Firefox 105, ESR 102.3 og Thunderbird 91.13.1 og gjøre de nødvendige oppdateringene.
Referanser
https://www.cisa.gov/uscert/ncas/current-acti[...]

Byggeverktøy for LockBit 3.0 offentliggjort av misfornøyd utvikler

En misfornøyd utvikler er antatt å være kilden til at Lockbit 3.0 har blitt gjort offentlig tilgjengelig. LockBit 3.0 ble først utgitt i juni, men ikke offentlig. Byggeverktøyet for å lage unike varianter av verktøyet klart for angrep har nå blitt offentliggjort. Dette skjedde via Twitter av brukeren @ali_qushji, hvor det ble sagt at de hadde brutt seg inn på LockBit sine servere og funnet LockBit 3.0 byggeren. Det kan imidlertid virke som om det er en misfornøyd utvikler som står bak lekkasjen. Løspengevarebyggeren gjør det mulig for hvem som helst med litt grunnkunnskap å starte med sine egne angrep, noe som igjen vil kunne føre en til økning i antall løsepenge-angrep i tiden fremover.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://securityaffairs.co/wordpress/136056/d[...]

15 år gammel oversett Python-sårbarhet i rampelyset igjen

Den 15 år gamle Python sårbarheten CVE-2007-4559 er i rampelyset igjen etter at Trellix-forskere estimerer at sårbarheten påvirker 350 000 prosjekter med åpen kildekode. Sårbarheten er tilstede i "tarfile"-pakken til Python og gjør at filer kan pakkes ut og lagres til andre kataloger enn det de er tiltenkt. For mer teknisk info se referanse.
Anbefaling
Referanser
https://www.darkreading.com/application-secur[...] https://www.trellix.com/en-us/about/newsroom/[...]

2022.09.21 - Nyhetsbrev

Mobilbanktjenesten Revolut utsatt for datalekkasje.

Mobilbanktjenesten Revolut utsatt for datalekkasje

Revolut, et britisk mobilbankselskap stiftet av russiske Nikolay Storonsky og ukrainske Vlad Yatsenko, har blitt utsatt for en datalekkasje. Omfanget på lekkasjen er estimert til å være rundt 50 000 brukere globalt, hvorav ca. 20 000 kunder i Europa. Selve angrepet inntraff 11. september og skal ha blitt utført av en ukjent tredjepart. Informasjon som PIN-nummer, passord eller direkte penge-verdier skal ikke ha kommet på avveie i følge Revolut. Noen brukere har opplevd å ha mottatt SMS-phishing (smishing) meldinger fra en ukjent aktør som utgir seg for å være Revolut etter angrepet.
Referanser
https://therecord.media/revolut-mobile-bankin[...]

2022.09.20 - Nyhetsbrev

Uber slipper detaljer rundt data-angrepet de nettopp var utsatt for og samme aktør kan også ha angrepet Rockstar Games. Bosnia-Hercegovina undersøker mulig ransomware-angrep mot parlamentet.

Uber slipper detaljer rundt data-angrepet de nettopp var utsatt for

Uber har skrevet en bloggpost om data-angrepet som rammet mange av deres interne systemer for noen dager siden. Den initielle tilgangen ble antageligvis kjøpt på det mørke nettet, etter at en innleid hadde fått malware på sitt personlige datautstyr. Ved hjelp av sosial manipulering ble vedkommende til slutt lurt til å godta innloggingen. Uber mener at angriperen, eller angriperne, har knytninger mot grupperingen Lapsus$, som tidliger har brutt seg inn hos Microsoft, Cisco, Samsung, Nvidia og Okta. I løpet av helgen skal også den samme aktøren ha brutt seg inn hos selskapet Rockstar Games. Der ble det stjålet både kildekoder og store mengder video av det kommende storspillet GTA 6.
Referanser
https://www.uber.com/newsroom/security-update/ https://www.theregister.com/2022/09/19/uber_a[...] https://www.bloomberg.com/news/articles/2022-[...]

Bosnia-Hercegovina undersøker mulig ransomware-angrep mot parlamentet

Påtalemyndigheten i Bosnia-Hercegovina undersøker et større cyber-angrep som har stoppet opp mye av arbeidet for landets parlament. Nettsidene har vært nede i 14 dager og parlamentsmedlemmer kan ikke få tak i epost eller dokumenter.
Referanser
https://therecord.media/bosnia-and-herzegovin[...]

2022.09.19 - Nyhetsbrev

Nettleseren kan lekke passordene dine ved bruk av utvidet stavekontroll.

Nettleseren kan lekke passordene dine

Utvidede rettskrivnings-verktøy i Google Crome og Microsoft Edge nettleserne kan overføre data inkludert passord til nettleser-leverandøren. Dette skjer først dersom en tar i bruk de utvide rettskrivnings verktøyene som "Chrome Enhanced Spellcheck" eller "Microsoft Editor", som er slått av som standard. Det er uvisst hvor godt sikret disse dataene er når de ender opp hos leverandørene.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2022.09.16 - Nyhetsbrev

Uber melder at deres interne systemer har blitt kompromittert. Modifisert Putty misbrukes av Nord-Korea. Symantec: Webworm benytter seg av modifiserte eldre verktøy for fjerntilgang.

Uber melder at deres interne systemer har blitt kompromittert

Uber har natt til torsdag meldt at deres interne systemer har blitt kompromittert. Skjermbilder delte av hackeren viser tilganger til kritiske interne systemer som Windows-domene, AWS-konsoll, Google Workplace email admin dashbord og Slack Server. Uber har meldt at de er i kontakt med myndighetene og vil dele mer informasjon så fort det blir tilgjengelig. Hackeren som stod bak innbruddet fikk tilgang ved hjelp av sosial manipulering av en ansatt. Ved hjelp av dette fikk han tilgang via VPN. Deretter fant han passordet til det interne systemet for å håndtere passord i et Powershell-script og fikk dermed tilgang til en mengde passord og tilganger. Innbruddet viser nok en gang viktigheten av sterk to-faktor autentisering.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://twitter.com/Uber_Comms/status/1570584[...]

Modifisert Putty misbrukes av Nord-Korea

Nord-Koreanske hackere bruker modifiserte Putty SSH-klienter for å utplassere bakdører. Dette gjøres ved bruk av trojaner typen AIRDRY.V2. Trussel-aktøren tar kontakt med profilerte mål via epost med et lukrativt jobb-tilbud hos Amazon, og deretter fortsetter kontakten på Whatsapp. Under samtalen deler trussel aktøren en ISO-fil kalt "amazon_assessment.iso", der den modifiserte Putty-klienten ligger. Verktøyet utnytter en svakhet i Windows color management tool, slik at brukeren ikke ser aktiviteten. Deretter brukes DAVESHELL til å utplassere AIRDRY.V2 bakdøren, som dertter eksekveres direkte fra minnet. Angrepet er en del av den pågående "Operation Dream Job" som har pågått side juni 2020. Mediekonsern er ofte mål for kampanjen.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Symantec: Webworm benytter seg av modifiserte eldre verktøy for fjerntilgang

Trusselaktøren Webworm har modifisert flere eldre RATs (Remote Access Trojan). Typene det er snakk om er Trochilus RAT, 9002 RAT og Gh0st RAT. Endringene som er gjort er hovedsakelig for å unngå å bli oppdaget gjennom kjente signaturer. Rapporten inneholder IOCer for å oppdage de modifiserte verktøyene.
Referanser
https://symantec-enterprise-blogs.security.co[...]

2022.09.15 - Nyhetsbrev

Iransk aktør benytter seg av flere identiteter i phishing-angrep. Microsoft Teams lagrer autentiserings-nøkler i klartekst på flere platformer. USAs myndigheter offentliggjør sanksjoner, siktelser og dusører mot navngitte iranske løsepengevirus-aktører.

Iransk aktør benytter seg av flere identiteter i phishing-angrep

Den Iranske aktøren TA453 sender eposter til offeret med flere av aktørens egne kontoer på CC. Deretter gjennomfører de en falsk samtale mellom de falske epost-kontoene for å bygge troverdighet. I løpet av samtalene har de også sendt lenker til OneDrive-kontoer hvor offeret blir forsøkt lurt til å laste ned en ondsinnet fil. Den ondsinnede filen eksekverer 3 makroer Module1.bas, Module2.bas og ThisDocument.cls som eksfiltrerer brukernavn, offentlig IP-adresse og en liste over kjørende prosesser via chatte-tjensten Telegram. Angrepsmetoden har fått navnet "Multi-persona impersonation" (MPI) av etterforskere hos Proofpoint, som først oppdaget teknikken.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Microsoft Teams lagrer autentiserings-nøkler i klartekst på flere platformer

Sårbarheten påvirker Teams på Windows, Linux og MacOS og gjør det mulig å enkelt finne autentiserings-tokens på maskinen. Dette kan utgjøre en trussel dersom en klient blir infisert med informasjons-stjelende skadevare. Ettersom dette krever initiell tilgang til klienten, har Microsoft har meddelt at har valgt å ikke patche feilen med det første, ettersom de ikke er enige i at dette er en alvorlig svakhet. Generelt er det vanskelig å lagre data fullstendig kryptert for brukeren selv, når brukerens applikasjoner trenger tilgang til dataene. Svakheten gjør det mulig å hente autentiserings tokens rett fra cookies eller en -ldb-fil. For de som ikke kan benytte seg av andre løsninger anbefales det å overvåke tilganger til følgende filer: Windows: %AppData%MicrosoftTeamsCookies Windows: %AppData%MicrosoftTeamsLocal Storageleveldb MacOS: ~/Library/Application Support/Microsoft/Teams/Cookies MacOS: ~/Library/Application Support/Microsoft/Teams/Local Storage/leveldb Linux: ~/.config/Microsoft/Microsoft Teams/Cookies Linux: ~/.config/Microsoft/Microsoft Teams/Local Storage/leveldb
Referanser
https://www.bleepingcomputer.com/news/securit[...]

USAs myndigheter offentliggjør sanksjoner, siktelser og dusører mot iranske løsepengevirus-aktører

Amerikanske myndigheter har offentliggjort en liste med sanksjoner, siktelser og dusører knyttet til en gruppe iranske statsborgere. Disse er anklaget for å samarbeide med Irans forsvarstjeneste for å starte løsepenge-angrep mot hundrevis av amerikanske sykehus, statlige organisasjoner, ideelle organisasjoner og bedrifter. Amerikanerne sier de har vært aktive siden 2020. Det blir utlovet dusør på opp til $10 millioner for informasjon om tre navngitte personer, som også identifiseres med bilder. Gruppen har scannet Fortinet FortiOS og Microsoft Exchange Servere for sårbarheter siden tidlig 2021 for å oppnå tilgang til systemer. Hovedsakelig er det organisasjoner fra USA, Storbritania og Australia som er målene deres. Etter at de oppnår tilgang til systemer forsøker de gjerne å hente ut data og kryptere systemene. Dataene blir ofte brukt til å utpresse organisasjonene. Begge metodene blir brukt i håp om betaling av løsepenger.
Referanser
https://therecord.media/u-s-govt-unveils-sanc[...] https://www.cisa.gov/uscert/ncas/alerts/aa22-257a

2022.09.14 - Nyhetsbrev

Microsoft gir ut sikkerhetsoppdateringer for september som utbedrer flere svakheter relatert til IPv6. Forsyningskjedeangrep rammer over 200.000 servere.

Forsyningskjedeangrep rammer over 200.000 servere

Fishpig er et firma basert i Storbritannia som lager integrasjoner mellom Magento og WordPress. Firmaet leverer programvare til mange nettsteder som driver med salg av produkter. Firmaet har nettopp oppdaget at deres interne systemer og at det har blitt lagt til en bakdør i programvaren de leverer til deres kunder. Dette har ført til at tusenvis av servere har fått installert bakdøren Rekoobe. Bakdøren har vært godt skjult i koden og vanskelig å oppdage.
Referanser
https://arstechnica.com/information-technolog[...]

Microsoft gir ut sikkerhetsoppdateringer for september

Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer med 79 bulletiner, hvorav fem svakheter er vurdert som kritiske og én allerede blir utnyttet i aktive angrep. Det trekkes frem to spesielt viktige sårbarheter. Den første er en Remote Code Execution (RCE)-svakhet som rammer Windows Internet Key Exchange (IKE) (CVE-2022-34721), der en ikke-autentisert bruker kan sende en spesielt utformet IP-pakke over IPv6 til et mål som kjører Windows og har IPSec aktivert. Pakken kan inneholde tilfeldig kode som maskinen så vil kjøre. Denne svakheten berører IKEv1, men alle Windows Server versjoner er også berørt. Svakheten kan i teorien brukes til å lage en orm som kan spre seg automatisk mellom sårbare systemer. Den skal være lett å utnytte, men foreløpig er detaljer rundt hvordan svakheten kan utnyttes heldigvis ikke kjent. Det er også en RCE-sårbarhet som berører Windows TCP/IP (CVE-2022-34718). Her kan en også angriper sende spesifikk IPv6 pakke til et mål som kjører Windows og har IPSec aktivert, som kan muliggjøre RCE. Det er altså spesielt viktig å patche Windows-maskiner som har IPv6 slått på så fort som mulig! Microsoft melder også at én av svakhetene som blir patchet allerede blir brukt i aktive angrep til å oppnå utvidede rettigheter på et system. Svakheten ligger i "Common Log File System"-driveren og har fått benevnelsen CVE-2022-37969.
Referanser
https://isc.sans.edu/diary/Microsoft+Septembe[...] https://krebsonsecurity.com/2022/09/wormable-[...] https://msrc.microsoft.com/update-guide

2022.09.13 - Nyhetsbrev

Apple har sluppet en rekke sikkerhetsoppdateringer, én utnyttes allerede til angrep. Lorenz Ransomware gruppen har hatt tilgang til flere bedriftsnettverk.

Apple har sluppet en rekke sikkerhetsoppdateringer

Apple har i dag sluppet helt nye versjoner av flere av sine operativsystemer: watchOS9, tvOS 16 og iOS 16. Apple har også sluppet oppdateringer for eldre varianter som iOS 15.7, iPadOS 15.7 og macOS 12.6. Brukerne kan altså vente en stund med å oppdatere til iOS 16, men fortsatt være beskyttet mot de siste svakhetene. En av svakhetene med benevnelsen CVE-2022-32917, som finnes både i iOS og macOS, utnyttes allerede i aktive angrep til å oppnå utvidede rettigheter på sårbare systemer. Vi anbefaler å patche så fort som mulig.
Referanser
https://support.apple.com/en-us/HT201222 https://arstechnica.com/gadgets/2022/09/apple[...] https://thehackernews.com/2022/09/apple-relea[...]

Lorenz Ransomware gruppen har hatt tilgang til flere bedriftsnettverk

Gruppen bak Lorenz Ransomware (løsepengevirus) skal ha fått tilgang til flere bedriftsnettverk via VOIP-telefonsystemer. Dette kommer frem etter at etterforskere fra Artic Wolf Labs har sett en tidligere rapportert svakhet benyttet i en rekke nye angrep. Svakheten ligger Mitel MiVoice VOIP og har blitt benyttet til initiell tilgang til bedriftsnettverk for å installere løsepengevirus. Denne typen VOIP-utstyr eksponeres ofte direkte ut mot Internett. Det er derfor ekstra viktig å patche så fort nye svakheter blir oppdaget. Svakheten ble patchet allerede i juni.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2022.09.09 - Nyhetsbrev

Lazarus Group angriper energileverandører på verdensbasis. Microsoft etterforsket iranske angrep mot albanske myndigheter. FBI beslaglegger kryptovaluta for 30 millioner fra Nord Korea etter angrep.

Lazarus Group angriper energileverandører på verdensbasis

Den Nord Koreanske hackergruppen Lazarus group har mellom februar og juli i år angrepet energiselskaper rundt om i verden. Lazarus forsøker å få langvarig tilgang til systemene, slik at de kontinuerlig kan eksfiltrere data som kan være til nytte for Nord Koreanske myndigheter. Angrepene benytter seg vanligvis av velkjente sårbarheter for å få initiell tilgang. De installerer deretter flere typer skadevare, for eksempel Preft (Dtrack), NukeSped (Manuscrypt), Vsingle og YamaBot. I de nyeste angrepene har det blitt observert bruk av MagicRAT.
Referanser
https://thehackernews.com/2022/09/north-korea[...]

Microsoft etterforsket iranske angrep mot albanske myndigheter

Microsofts Detection and Response Team (DART) har gjennomført en etterforskning etter angrepene mot Albania i midten av juli. Angrepene forstyrret myndighetenes nettsider og offentlige tjenester og ble gjennomført av en iransk gruppe. Samtidig som angrepene skjedde, var det en annen iransk gruppe som lekket data som hadde blitt eksfiltrert i et angrep gjennomført tidligere i år. Etter angrepene har Albania kuttet alle diplomatiske forbindelser med Iran og har bedt alt ambasadepersonell om å forlate landet. I rapporten gjennomgår Microsoft funnene sine fra angrepet og angrepsmetodene som ble benyttet. De viser også hvilke tegn som tyder på at aktøren var statlig sponset av Iran. Til slutt kommer de med tips for hva man kan gjøre for å beskytte seg og indikasjoner på at systemer er blitt kompromittert.
Referanser
https://www.microsoft.com/security/blog/2022/[...] https://www.reuters.com/world/albania-cuts-ir[...]

FBI beslaglegger kryptovaluta for 30 millioner fra Nord Korea etter angrep

Tidligere i år stjal Nord Koreanske hackere kryptovaluta for rundt $600 millioner fra kryptoplattformen Ronin Network, som brukes av spillet Axie Infinity. Analyse-firmaet Chainalysis har nå hjulpet amerikanske myndigheter med å få tilbake $30 millioner av verdiene. Så langt er det ukjent hvordan dette har skjedd i praksis.
Referanser
https://edition.cnn.com/2022/09/08/politics/f[...] https://www.coindesk.com/policy/2022/09/08/us[...]

2022.09.08 - Nyhetsbrev

Cisco har sluppet tre sikkerhetsoppdateringer. Mandiant assosierer den nye trusselaktøren APT42 med Irans revolusjonsgarde. Conti bygger om verktøy for målrettede angrep mot Ukraina.

Cisco har sluppet tre sikkerhetsoppdateringer

Cisco slapp på onsdag patcher for tre sikkerhetssvakheter. Svahetene befinner seg i Cisco SD-WAN vManage Software, NVIDIA Data Plane Development Kit og Cisco Webex Meetings App.
Referanser
https://thehackernews.com/2022/09/cisco-relea[...] https://tools.cisco.com/security/center/publi[...]

Mandiant assosierer den nye trusselaktøren APT42 med Irans revolusjonsgarde

Mandiant har navngitt en ny trusselaktør, APT42. Mandiant slår fast at dette er en cyberspionasje-gren i Irans revolusjonsgarde, som blant annet har truet med å drepe amerikanske statsborgere. Gruppen benytter seg av spear-phishing mot både privatpersoner og bedrifter. Operasjonene kan foregå over lang tid og benytter seg av sosial manipulasjon. Målet er å stjele innloggingsinformasjon og ofte installere Android spyware på ofrenes telefoner. APT42 retter seg mot minst 14 land, deriblandt USA, Australia, flere europeiske land og land i midtøsten. Gjennom APT42 prøver Iran å hente inn informasjon som er relevant for landet og holde kontroll over dissidenter i utlandet.
Referanser
https://www.theregister.com/2022/09/07/mandia[...] https://www.darkreading.com/vulnerabilities-t[...] https://www.mandiant.com/sites/default/files/[...]

Conti bygger om verktøy for målrettede angrep mot Ukraina

Tidligere medlemmer av ransomware-gruppen Conti har bygget om mange av verktøyene sine for å utføre målrettede angrep mot Ukrainske organisasjoner. Trusselaktøren UAC-0098 har historisk gjennomført ransomware-angrep med trojaneren IceID. Aktøren har nå gått over til hovedsaklig å angripe mål i Ukraina og også noen andre europeiske mål relatert til krigen. Google mener at aktøren retter seg mer mot Ukraina for å understøtte Russlands krigføring mot landet. UAC-0098 har gjennomført en rekke phishing-kampanjer mot statlige og private organisasjoner i Ukraina. Blant annet sendte de ut en epost som tilsynelatende så ut som at den kom fra representanter for Elon Musk. Den inneholdt imidlertid ondsinnede lenker som skulle se ut som en software-oppdatering for StarLink-satellitter. Google har detaljer om flere angrep i sin rapport.
Referanser
https://blog.google/threat-analysis-group/ini[...] https://therecord.media/google-conti-repurpos[...] https://arstechnica.com/information-technolog[...]

2022.09.07 - Nyhetsbrev

Den nye cyberspionasje-gruppen Worok angriper mål i Asia og Afrika.

Den nye cyberspionasje-gruppen Worok angriper mål i Asia og Afrika

Forskere fra ESET har identifisert målrettede angrep som tar i bruk nye verktøy i angrepene sine mot høyprofilerte bedrifter og offentlige tjenester, hovedsakelig i Asia men også Afrika. Angrepene stammer fra en tidligere ukjent spionasjegruppe som de har navngitt Worok, og som minst har vært aktive siden 2020.
Referanser
https://www.welivesecurity.com/2022/09/06/wor[...]

2022.09.06 - Nyhetsbrev

QNAP patcher nulldagssårbarhet som brukes i ransomware-angrep. Oppsummering av nyhetsbildet innen datasikkerhet for august 2022.

QNAP patcher nulldagssårbarhet som brukes i ransomware-angrep

QNAP advarer kundene sine om at en nulldagssårbarhet i Photo Station brukes til å kryptere innholdet på Internett-eksponerte QNAP-enheter. Det er ransomware-programvaren DeadBolt som installeres. Angrepene har pågått siden søndag. Photo Station har kommet i en ny utgave som utbedrer svakheten. Lagringsenheter som QNAP bør ikke eksponeres direkte mot Internet.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Oppsummering av nyhetsbildet innen datasikkerhet for august 2022

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for august 2022. Denne måneden er hovedsakene data-innbrudd hos Cisco, Twilio og Okta.
Referanser
https://telenorsoc.blogspot.com/2022/09/oppsu[...]

2022.09.05 - Nyhetsbrev

Google lanserer nødoppdatering for nulldagssårbarhet under aktiv utnyttelse i Google Chrome. Mozilla Foundation fikser sårbarheter i Thunderbird 102.2.1.

Mozilla Foundation fikser sårbarheter i Thunderbird 102.2.1

Mozilla slipper oppdatering for å fikse sårbarheter i Thunderbird versjon 102.2.2.1. Oppdateringen tar for seg sårbarheter som CVE-2022-3033, der sensitiv informasjon kan bli lekket dersom avsender benytter seg av META refresh tags. Oppdateringen fikser også sårbarhetene CVE-2022-3032, CVE-2022-3033, CVE-2022-3034 og CVE-2022-36059.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Google lanserer nødsoppdatering for nulldagssårbarhet under aktiv utnyttelse i Google Chrome

Google lanserer nødoppdatering for Chrome med versjon 105.0.5195.102 (Windows, Mac og Linux). Oppdateringen fikser sårbarheten CVE-2022-3075 som omhandler utilstrekkelig verifisering av data ved bruk av Mojo, en samling av biblioteker brukt i Chromium. Per dags dato er det publisert lite tekniske detaljer om sårbarheten. Google slapp også nettopp versjon 105 av Chrome som fikset 24 kjente sikkerhetshull, der én er klassifisert som kritisk og åtte som høy. Det gjenstår likevel én sårbarhet som ikke har blitt fikset i oppdateringen. Denne sårbarheten kan gi besøkte nettsider muligheten til å sende hva som helst til brukerens OS-utklippstavle uten noe behov for bruker-interaksjon. Vi anbefaler å oppdatere Chrome til nyeste versjon så fort som mulig.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.darkreading.com/vulnerabilities-t[...]

2022.09.02 - Nyhetsbrev

BrianLian, en nykommer innen løsepengevirus. Ragnar Locker sikter seg inn mot energibransjen.

BrianLian, en nykommer innen løsepengevirus

BrianLian er en relativt ny trusselaktør innen løsepengevirus. Programvaren er skrevet i språket Go, og ble først oppdaget i midten av juli. De har på kort tid påtatt seg ansvaret for hele 15 angrep. Gruppen har hovedsaklig utnyttet ProxyShell-svakheten innen Microsoft Exchange Server, for så å sette opp web shell eller ngrok for videre tilgang. Når gruppen først har fått tilgang inn i nettverket sprer de seg videre ved hjelp av "LOL"-teknikker, altså ved å bruke mest mulig legitime adminstrasjonsverktøy for ikke å bli oppdaget av anti-malware systemer.
Referanser
https://redacted.com/blog/bianlian-ransomware[...]

Ragnar Locker sikter seg inn mot energibransjen

Ragnar Locker er navnet både på programvaren samt trusselaktøren som står bak den. Programvaren Ragnar Locker har vært i bruk siden 2019, og hovedmålene har vært firmaer i engelsk-talende land. Analyser som er utført av Cybereason Global Security Operations Center (GSOC), tyder på at gruppen nå går etter energisektoren. Et av deres siste offer har vært DESFA, som er en gresk energioperatør. Rapporten fra Cybereason ser nærmere på dette angrepet.
Referanser
https://www.cybereason.com/blog/threat-analys[...]

2022.09.01 - Nyhetsbrev

Den amerikanske ambassaden i Montenegro utgir sikkerhetsvarsel rundt løsepengevirus mot landet. Ukrainske politimyndigheter tar ned cyber-svindelgruppe.

Den amerikanske ambassaden i Montenegro utgir sikkerhetsvarsel rundt løsepengevirus

Et pågående løsepengevirus-angrep i Montenegro kan medføre at myndighets-tjenester og viktige offentlige tjenester blir utilgjengelige. Angrepet ble først gjort kjent av Montenegros byrå for nasjonal sikkerhet (ANB) forrige uke. ANB har også hevdet at det er Russland som står bak angrepet mot flere av landets kritiske tjenester. Både vann- og kraftforsyning skal være berørt. VX-Underground har analysert angrepet og konkludert med at det er løsepengevirus-gruppen Cuba som står bak. Denne gruppen har eksistert siden 2019 og har tidligere blitt koblet til russisk-talende aktører, men er i følge Profero trolig ikke en statlig sponset aktør.
Referanser
https://techcrunch.com/2022/08/31/montenegro-[...]

Ukrainske politimyndigheter tar ned cyber-svindelgruppe

Politimyndigheter i Ukraina har gått til aksjon mot en rekke falske kundesentre. Disse har vært del av et større nettverk som har hatt som mål å svindle ofre som allerede har vært ofre for blant annet kryptovalutasvindel. Svindlerne har blant annet utgitt seg for å representere statelige bank-organer for så å forsøke å få tidligere ofre for kryptosvindel til å gi fra seg konfidensiell bank-informasjon med lovnad om få refundert tapte midler. Ofrene har så mistet også disse midlene, i tillegg til de opprinnelige tapene.
Referanser
https://www.bleepingcomputer.com/news/securit[...]