2022.11.30 - Nyhetsbrev

USB-enheter brukes til å angripe mål i Sørøst-Asia. Ny ransomware oppdaget med Ukraina som mål. Ikea undersøker cyberangrep mot butikker i Kuwait og Marokko.

USB-enheter brukes til å angripe mål i Sørøst-Asia

USB-enheter brukes for å få initiell tilgang til angrepsmål av grupperingen UNC4191 i Sørøst-Asia. Tidligere i år har FBI advart om at USB-enheter med malware ble sendt via posten til amerikanske firmaer. Det skal være Kina som står bak operasjonen. Også i Europa har det vært spredning av ormen "Raspberry Robin" i det siste via USB-enheter. Ofte er det fotobutikker brukt for fremkalling av bilder som fører til at enhetene blir infisert og tar med seg malware videre til bedrifter.
Referanser
https://therecord.media/espionage-group-using[...] https://www.mandiant.com/resources/blog/china[...]

Ny ransomware oppdaget med Ukraina som mål

Forskere ved ESET har oppdaget en ny bølge med ransomware-angrep som er målrettet mot Ukrainske organisasjoner. Den nye kampanjen bærer likhet med tidligere kampanjer utført av APT-gruppen Sandworm. ESET har kalt den nye programvaren RansomBoggs og den er skrevet i .NET-rammeverket.
Referanser
https://www.welivesecurity.com/2022/11/28/ran[...]

Ikea undersøker cyberangrep mot butikker i Kuwait og Marokko

Ikea undersøker et cyberangrep som rammet butikker i Kuwait og Marokko, sammen med relevante myndigheter og dems cybersikkerhets partnere. Det har blitt lekket filer, tilsynelatende av Vice Society ransomware gruppen, som tyder på at businessdata, kundedata og ansattdata har kommet på avveie.
Referanser
https://therecord.media/ikea-investigating-cy[...]

2022.11.29 - Nyhetsbrev

Android App i Google Play Store fanger opp og videresender SMSer.

Android App i Google Play Store fanger opp og videresender SMSer

En sikkerhetsforsker har oppdaget en falsk SMS-applikasjon i Google sin Play Store som har over 100.000 nedlastinger. Appen brukes i forbindelse med generering av falske kontoer til tjenester som Microsoft, Google, Instagram og Facebook. Når en skal opprette nye kontoer på disse tjenestene, må de knyttes opp mot et telefonnummer. Den falske SMS-appen snapper opp verifiserings-meldingene som blir sendt ut ved opprettelse av nye kontoer. Bakmennene selger så de nye kontoene videre, typisk til bruk for spam, svindel osv.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2022.11.28 - Nyhetsbrev

Google slipper sikkerhetsoppdateringer for kritisk nulldagssårbarhet i Google Chrome.

Google slipper sikkerhetsoppdateringer for kritisk nulldagssårbarhet i Google Chrome

Google slipper sikkerhetsoppdateringer for Google Chrome som fikser CVE-2022-4135, en kritisk nulldagssårbarhet som tillater en angriper å oppnå heap-overflow ved hjelp av grafikkprosessoren til maskinen. Dette kan resultere i at angriperen får skrevet data i avgrensede områder eller manipulere oppførselen til programmet. Google anbefaler å oppgradere til følgende versjoner av Chrome: Windows: 107.0.5304.121/122. Mac/Linux: 107.0.5304.122. Denne sårbarheten er den åttende nulldagssårbarheten som har blitt avduket i Google Chrome hittil i 2022.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2022.11.25 - Nyhetsbrev

Nettsted brukt til etterligning av bedrifter (spoofing) beslaglagt av europeiske myndigheter. Interpol har beslaglagt $130 millioner fra cyber-kriminelle etter aksjon.

Nettsted brukt til etterligning av bedrifter (spoofing) beslaglagt av europeiske myndigheter

Nettstedet "ispoof", som har blitt brukt for å selge tjenester relatert til spoofing/forfalskning av bedrifters telefonnummer, har blitt tatt ned av politimyndigheter fra Europa, Australia og USA. Nettstedet skal ha tjent over 3,7 millioner euro i løpet av 16 måneder, samt forårsaket et estimert tap på 115 millioner euro globalt i forbindelse med svindel. 142 personer har blitt arrestert, inkludert administratoren av nettstedet.
Referanser
https://www.europol.europa.eu/media-press/new[...]

Interpol har beslaglagt $130 millioner fra cyber-kriminelle etter aksjon

Interpol kunngjorde på torsdag at de hadde beslaglagt $130 millioner i virtuell valuta etter en global aksjon mot finansiell kriminalitet og hvitvasking av midler. Aksjonen har fått navnet HAECHI-III, har pågått fra juni i år og har ført til arrestasjon av 975 personer. Sakene omfatter blant annet pyramidespill og call-center aktivitet relatert til svindel.
Referanser
https://thehackernews.com/2022/11/interpol-se[...]

2022.11.24 - Nyhetsbrev

Løsepengevirusgruppen Yanluowang har blir utsatt for en lekkasje av interne meldinger som avslører gruppens indre liv.

Løspengevaregruppen Yanluowang har blir utsatt for en lekkasje.

Meldingene i en intern diskusjonskanal som ble brukt av gruppen Yanluowang har blitt lastet opp til en side for lekkede data. Dette har gitt forskere og politi tilgang til å forstå hvordan gruppen er organisert. Gruppen ser ut til å ha russiske medlemer, til tross for det kinesisk-klingende navnet.
Referanser
https://therecord.media/the-yanluowang-ransom[...]

2022.11.23 - Nyhetsbrev

Microsoft deler detaljer rundt sårbarhet i Boa web server som er brukt i en del IoT/OT-utstyr. Nighthawk er et nytt verktøy for pentesting som kan bli misbrukt i framtiden av trusselaktører.

Microsoft deler detaljer rundt sårbarhet i Boa web server

Microsoft deler detaljer om sårbarheter i Boa web-server. I 2005 ble utvikling av Boa web server avsluttet, men flere IoT/OT-produkter og utviklingsmmiljøer fortsetter å benytte seg av programvaren. Microsoft mener at svakhetene kan bli brukt for å ramme kritisk infrastruktur i framtiden.
Referanser
https://www.microsoft.com/en-us/security/blog[...]

Nighthawk er et nytt verktøy for pentesting som kan bli misbrukt

Proofpoint har skrevet en bloggpost om det nye pentesting-verktøyet Nighthawk. Verktøyet er nytt og har så langt bare blitt brukt til lovlig virksomhet, som red team-testing. Historien viser imidlertid at piratkopierte versjoner av denne typen verktøy fort kan komme i hendene på trusselaktører. Verktøyet benytter seg av avanserte teknikker for å unngå deteksjon.
Referanser
https://www.proofpoint.com/us/blog/threat-ins[...]

2022.11.22 - Nyhetsbrev

Angripere omgår 2-faktor autentisering ved hjelp av fjerninnlogging. Sårbarhet funnet i en rekke porttelefoner i Norge. Politiet etterforsker fortsatt hackerangrepet mot Nortura.

Angripere omgår 2-faktor autentisering ved hjelp av fjerninnlogging

En ny phishing-kampanje som prøver å få tilgang til kunders kontoer hos diverse kryptobørser har blitt avslørt. Denne typen tjenester krever ofte 2-faktor innlogging for økt sikkerhet. Angriperne prøver først å stjele brukernavn, passord og 2FA-koden via en falsk nettside. Dersom dette ikke holder for innlogging, spør de om videre opplysninger via en falsk support-chat. Dersom innloggingen er begrenset til én spesiell maskin, blir offeret lurt til å laste ned et verktøy for fjernstyring av PCen. Mange blir dessverre lurt av denne målrettede fremgangsmåten og mister store verdier.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Sårbarhet funnet i en rekke porttelefoner i Norge

Det Norske sikkerhets selvskapet Promon rapporterer at de har funnet en sårbarhet som kan utnyttes for å brute-force pinkoder på enkelte porttelefoner brukt i Norge. En sikkerhetsforsker hos Promon oppdaget at porttelefonene av merket "Aiphone" ikke hadde lagt inn noen form for sperre på antall pinkode-spørringer via NFC og at pinkodene var begrenset til kun fire siffer. Feilen ble først oppdaget og fikset i 2021 av Aiphone, gamle enheter blir ikke automatisk oppgradert. Oppdagelsen av denne sårbarheten har ført til at leverandøren av porttelefonene nå tilbyr gratis oppgradering av rammede enheter.
Referanser
https://www.tek.no/nyheter/nyhet/i/9zp09l/kri[...]

Politiet etterforsker fortsatt hackerangrepet mot Nortura

Hackerangrepet som lammet Nortura 21. desember i fjor, er fortsatt under etterforskning, og utenlandsk politi bistår sine norske kolleger. Så langt er det ingen mistenkte, men angrepet har antageligvis sitt opphav utenfor Norge.
Referanser
https://www.digi.no/artikler/politiet-etterfo[...]

2022.11.21 - Nyhetsbrev

Atlassian fikser kritiske sårbarheter i to av sine produkter.

Atlassian fikser kritiske sårbarheter i to av sine produkter

Atlassian har sluppet oppdateringer som adresserer to kritiske sårbarheter i tjenestene "Crowd Server and Data Center" og "Bitbucket Server and Data Center". Atlassian har gitt begge sårbarhetene en alvorlighets-gradering på 9 av 10. Sårbarheten i "Crowd Server and Data Center" dukket opp i versjon 3.0.0, og påvirker versjonene 3.0.0 til 3.7.2, 4.0.0 til 4.4.3, og 5.0.0 til 5.0.2. Denne sårbarheten gjør det mulig for en angriper å legge til nye IP-addresser i listen over adresser som skal ha tilgang til tjenesten. Sårbarheten i "Bitbucket Server and Data Center" dukket opp i versjon 7.0 og påvirker versjon 7.0 til 7.21 og 8.0 til 8.4. Denne sårbarheten gjør det mulig å oppnå ekstern kodeeksekvering på maskinen tjenesten kjører på, for brukere som har tilgang til å endre brukernavnet sitt.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2022.11.18 - Nyhetsbrev

Nye sikkerhetsoppdateringer fra Samba som dekker CVE-2022-42898.
Trussel aktøren DEV-0569 finner nye måter å levere ransomware.

Samba slipper sikkerhetsoppdateringer for feil i Kerberos-håndtering

Samba har gitt ut nye sikkerhetsoppdateringer. Disse inkluderer blant annet CVE-2022-42898, der en angriper kan utnytte sårbarheter relatert til behandling av PAC på 32-bit systemer i Kerberos-biblioteker og AD DC, for å oppnå integer-overflow i applikasjonen. Alle Samba-versjoner tidligere enn 4.15.12, 4.16.7 og 4.17.3 er berørt. Patch for disse sårbarhetene kan finnes i vedlagte lenker.
Referanser
https://www.samba.org/samba/history/security.html https://www.samba.org/samba/security/CVE-2022[...]

Microsoft gir detaljer om aktøren DEV-0569 som sprer ransomware

Microsoft har skrevet en bloggpost om den nye aktøren de foreløpig har gitt navnet DEV-0569. Aktøren infiserer maskiner med forskjellige typer malware som igjen installerer ransomware-varianten Royal. DEV-0569 skifter stadig teknikker og unngår deteksjon på forskjellige måter. Spredning foregår først og fremst ved hjelp av annonser på nettsider som peker på malware, kamuflert som legitim software.
Referanser
https://www.microsoft.com/en-us/security/blog[...]

2022.11.17 - Nyhetsbrev

Flere svakheter i produkter fra 5G BIG-IP. Iransk-støttet hackere kompromiterte Amerikansk føderalt byrå. Nord-koreanske hackere angriper Europeiske organisasjoner med oppdatert malware. Symantec: Kinesisk gruppering hacket sertifikat-utsteder.

Flere svakheter i produkter fra 5G BIG-IP

Rapid7 har oppdaget flere svakheter i F5 BIG-IP og BIG-IQ. Den mest alvorlige svakheten kan gjøre at en angriper får root-tilgang til en enhet, dersom en administrator av enheten blir lurt til å besøke en spesielt utformet nettside (cross-site request forgery (CSRF)). F5 har sluppet en fiks som er tilgjengelig på forespørsel.
Referanser
https://www.rapid7.com/blog/post/2022/11/16/c[...] https://support.f5.com/csp/article/K94221585 https://support.f5.com/csp/article/K13325942

Iransk-støttet hackere kompromiterte Amerikansk føderalt byrå

FBI og CISA sammen publiserte i går nyhetene om et unavngitt iransk-støttet gruppe som kompromittiert Federal Civilian Executive Branch (FCEB). Dette ved å målrette en utdatert VMware Horizon server fortsatt sårbar for Log4Shell. Dette lot den iranske trusselaktøren eksekvere ekstern kode til den føderale serveren. Etter å ha tatt kontroll over serveren begynte den unavngitte gruppen å installere XMRig cryptomining skadevare. Samt og sette opp reverse proxier på kompromittierte servere for å opprettholde standhaftighet innenfor det føderale nettverket. CISA advarte i juni at VMWare Horizon og Unified Access Gateway (UAG) servere blir stadig fortsatt målrettet av trusselaktører. Etter uhellet med FCEB anbefaler FBI og CISA alle organisasjoner å oppdatere VMWare systemer som forsatt er sårbare mot Log4Shell sårbarheten. Og at de som ikke allerede har gjort dette må være forberedt på at de allerede er kompromitterte av en form for trusselaktør.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Nord-koreanske hackere angriper Europeiske organisasjoner med oppdatert skadevare

Kaspersky har sluppet en rapport som tar for seg Nord-koreansk bruk av bakdøren DTrack mot europeiske mål. Bakdøren har vært i bruk av Lazarus Group siden 2019. Rapporten tar for seg historikk og oppdateringer i den siste versjonen av bakdøren.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://securelist.com/dtrack-targeting-europ[...]

Symantec: Kinesisk gruppering hacket sertifikat-utsteder

Symantec har sluppet en ny rapport om grupperingen Billbug, som har forbindelser til kinesiske myndigheter. Billbug har blant annet hacket en sertifikat-utsteder og flere myndighetsorganer i Asia. Dersom gruppen har hatt tilgang til å utstede sertifikater, kan de ha brukt dette til å signere skadevare for bruk i sine operasjoner.
Referanser
https://therecord.media/alleged-chinese-state[...] https://symantec-enterprise-blogs.security.co[...]

2022.11.15 - Nyhetsbrev

Ny svindel retter seg mot nettsider og adminstratorer. ESET research med ny APT aktivitets-rapport. Australia vurderer å forby betaling av løsepenger til cyber-kriminelle. Fant russisk kode i tusenvis av apper.

Ny svindel retter seg mot nettsider og adminstratorer

En aktiv svindel-kampanje med utpressing retter seg mot nettsteder og deres administratorer over hele verden. Angriperne hevder å ha hacket servere og krever 2500 dollar for ikke å lekke data. Angriperne (som kaller seg Team Montesano) sender e-poster med emner som “Your website, databases and emails has been hacked”. E-postene ser ikke ut til å være målrettede og har blitt sendt ut til personlige blogger, offentlige instanser og større selskaper.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

ESET research med ny APT aktivitets rapport

ESET har sluppet en rapport om deres analyser av APT aktiviteter fra mai til august 2022. Det har ikke vært noen nedgang i aktivitet fra russiske, kinesiske, iranske eller nord-koreanske trusselaktører. I følge rapporten er de russisk-tilknyttede gruppene hovedsaklig involvert i operasjoner mot Ukraina. APTer som er observert i denne sammenhengen er Sandworm, Gamaredon, InvisiMole, Callisto og Turl. Fly- og forsvarsindustrien fortsetter å være av stor interesse for Nord-Koreanske grupper, sammen med finans og kryptovalutafirmaer. I Midtøsten var organisasjoner knyttet til diamantindustrien mål for Agrius i det Eset tror var et forsyningskjedeangrep som misbrukte en Israel-basert programvarepakke. Eset observerte også flere kampanjer gjennomført av MirrorFace, som trolig er knyttet til Kina. Aktøren utførte trolig en målrettet kampanje mot valget i Japan.
Referanser
https://www.welivesecurity.com/wp-content/upl[...]

Australia vurderer å forby betaling av løsepenger til cyber-kriminelle

Australia har i de siste ukene vært utsatt for flere alvorlige cyber-angrep som også har involvert løsepenger. Medibank og Optus er blant firmaene som har blitt rammet, noe som resulterte i tap av store mengder personlig informasjon for kunder og ansatte. Australske myndigheter vurderer nå å forby betaling av løsepenger, for å forsøke å få hackere til å holde seg unna landet. Det har også blitt opprettet en cyber-politi-enhet som skal kjempe tilbake mot angriperne. Enheten skal ha medlemmer både fra det føderale politiet (AFP) og utenlandsetteretningen (ASD). Gruppen skal ha tillatelse til å utføre cyber-angrep mot kriminelle.
Referanser
https://www.reuters.com/technology/australia-[...]

Fant russisk kode i tusenvis av apper

Nyhetsbyrået Reuters melder at en rekke apper i både Google og Apples butikker nå viser seg å ha russisk innhold. Innholdet ble presentert som amerikansk, gjennom at utviklerne i Pushwoosh har oppgitt amerikanske adresser for sine kontorer, og laget falske ansattprofiler på Linkedin. Selskapet er i realiteten fra Sibir. følge Reuters driver Pushwoosh med brukerprofilering og pushvarsling basert på aktiviteten i appene den er del av. Dataene som samles skal være lignende de Google og Facebook samler, inkludert geolokasjon. Det er så langt ikke funnet tegn på misbruk av dataene.
Referanser
https://www.tek.no/nyheter/nyhet/i/JQO61R/fan[...]

2022.11.11 - Nyhetsbrev

Den russiske hackergruppen Iridium trolig tilknyttet "Prestige" ransomware. Svakhet i Pixel-telefoner gjør at man kan omgå låseskjermen.

Den russiske hackergruppen Iridium trolig tilknyttet "Prestige" ransomware

Rapporter fra Microsoft knytter den russisk hackergruppen Iridium mot "Prestige", en type ransomware brukt til dataangrep mot Ukraina og Polen forrige måned. Dataangrepene var rettet mot transport og logistikksektoren. Angrepene settes i forbindelse med krigen i Ukraina. Microsoft knytter fra før Iridium til gruppen Sandworm, som igjen knyttes til russiske myndigheter og flere destruktive angrep mot Ukraina i løpet av krigen.
Referanser
https://therecord.media/microsoft-attributes-[...]

Svakhet i Pixel-telefoner gjør at man kan omgå telefonens låseskjerm

Google har nylig sluppet sikkerhets-oppdateringer for november for Pixel-mobiler. Denne inkluderer sårbarheten CVE-2022-20465, som gjør at man kan omgå låseskjermen på grunn av en logisk feil i koden. For å komme forbi låseskjermen må en blant annet bytte SIM-kort i mobilen. Android versjonene dette gjelder er: Android-10 Android-11 Android-12 Android-12L Android-13Android ID: A-218500036. Det er så langt uvisst om svakheten også rammer andre Android-mobiler. Google utbedrer også diverse andre sikkerhetssvakheter i sin oppdatering.
Referanser
https://9to5google.com/2022/11/10/pixel-locks[...] https://source.android.com/docs/security/bull[...] https://nvd.nist.gov/vuln/detail/CVE-2022-20465

2022.11.10 - Nyhetsbrev

Apple har utgitt sikkerhetsoppdateringer for iOS og macOS som fikser RCE sårbarhet. Phising-kampanjer benytter seg av IPFS desentralisert lagring. Cloud9 Botnet bygges opp av nettleser-utvidelser til Chrome. Cisco har sluppet halvårlig sikkerhetsoppdateringer for Cisco ASA, FMC og FTD-programvare.

Apple har utgitt sikkerhetsoppdateringer for iOS og macOS som fikser RCE sårbarhet

Sårbarhetene ga mulighet for RCE og lå i libxml2. De går under CVE-2022-40303 og CVE-2022-40304. I skrivende stund er det ikke klart om sårbarhetene er aktivt utnyttet.
Referanser
https://support.apple.com/en-us/HT201222 https://twitter.com/sans_isc/status/159046738[...]

Phising-kampanjer benytter seg av IPFS desentralisert lagring

Flere nyere kampanjer har lagret skadevare, opprettet phising-infrastruktur og gjennomført andre angrep som har benyttet seg av lagring av data hos InterPlanetary Filesystem (IPFS) . IPFS er ett peer-to-peer nettverk som replikerer data på tvers av flere noder. Nettverket er laget for høy oppetid og å være motstandsdyktig mot sensur. Dette gjør at nettverket dessverre er svært velegnet for kriminell virksomhet.
Referanser
https://thehackernews.com/2022/11/several-cyb[...]

Cloud9 Botnet bygges opp av nettleser-utvidelser til Chrome

Cloud9 Botnet er et nytt botnet som kommer i form av en nettleser-utvidelse. Skadevaren oppfører seg som en fjern-tilgang trojaner og har flere funksjoner, blant annet keylogging, cookie-stjeling og mulighet for å delta i DDoS-angrep. Frem til nå har skadevaren kun blitt spredd via falske eksekverbare filer og skadelige nettsider kamuflert som Flash Player-oppdateringer. Det er ikke funnet spor av at den spres via nettleseres innebygde nedlastings-tjenester for utvidelser. Sikkerhetsforskere ved Zimperium Zlabs har gjennomført en analyse av hvordan botnettet fungerer og har lagt ved IOCer.
Referanser
https://www.zimperium.com/blog/the-case-of-cl[...]

Cisco har sluppet halvårlig sikkerhetsoppdateringer for Cisco ASA, FMC og FTD-programvare

NkomCSIRT melder i et varsel at Cisco den 9. november publiserte 19 sårbarhetsvarsler i et samlevarsel knyttet til Cisco ASA, FTD, and FMC Software, hvorav 8 var rangert med høy kritikalitet. Flere av sårbarhetene gir mulighet for en ikke-autentisert angriper å gjennomføre tjenestenektangrep mot SSH, SNMP, VPN og DAP, omgå secure boot og kjøring av ikke-autorisert kode eller benytte SNMP med standardpassord å hente ut informasjon. EkomCERT er ikke kjent med aktiv ondsinnet utnyttelse av sårbarhetene.
Anbefaling
Se gjennom utstyr, installere oppdateringer og vurdere mitigerende tiltak.
Referanser
https://tools.cisco.com/security/center/viewE[...]

2022.11.09 - Nyhetsbrev

Microsoft fikser 68 sårbarheter, fire utnyttes aktivt. Det er også utbedret kritiske sårbarheter i Citrix ADC/Gateway, VMware Workspace ONE Assist og Veeam Backup for Google Cloud. Mandiant har gjort en gjennomgang av angreps-teknikker brukt av APT-29.

Citrix anbefaler alle å oppdatere Citrix ADC og Gateway

Citrix anbefaler sterkt at alle oppdaterer til nyeste versjon av ADC og Gateway som fikser sårbarhetene som går under CVE-2022-27510, CVE-2022-27513 og CVE-2022-27516. De påvirkede versjonene er versjonene før 13.1-33.47, 13.0-88.12, 12.1.65.21 for ADC og Gateway. For ADC er også Citrix ADC 12.1-FIPS før 12.1-55.289 og Citrix ADC 12.1-NDcPP før 12.1-55.289 påvirket. Svakhetene kan blant annet føre til omgåelse av autentisering for pålogging.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://support.citrix.com/article/CTX463706/[...]

Microsoft fikser 68 sårbarheter, fire utnyttes aktivt

Microsoft har sluppet sikkerhetsoppdateringer som fikser 68 sårbarheter, hvorav 10 av disse regnes som kritiske. Av sårbarhetene er én kjent fra tidligere fire er aktivt utnyttet. En av sårbarhetene er en RCE (Remote Code Execution) i Windows Script Languages og krever at en bruker besøker en spesielt utformet nettside eller delt mappe for å kunne utnyttes. Sårbarheten har CVSS-vurdering 8.8 og har benevnelsen CVE-2022-41128. Svakheten utnyttes allerede i angrep! Sårbarheten som tidligere hadde blitt omtalt og utnyttes aktivt var en sårbarhet i "Windows Mark of the Web" og gikk under CVE-2022-41091. Svakheten muliggjør omgåelse av en sikkerhetsmekanisme som skal beskytte spesielt mot filer lastet fra nettet.
Referanser
https://isc.sans.edu/diary/Microsoft+November[...] https://portal.msrc.microsoft.com/en-us/secur[...]

Mandiant har gjort en gjennomgang av teknikker brukt av APT-29

Mandiant har lenge overvåket APT29 og deres angrepmetoder. De mener at gruppen er en russisk APT som også går under navnet Nobelium. De har nå utgitt en teknisk analyse om hvordan APT29 utnytter Microsoft Active Directory Credential Roaming.
Referanser
https://www.mandiant.com/resources/blog/apt29[...]

VMware fikser kritisk omgåelse av tilgangskontroll i Workspace ONE Assist

Sårbarheten har fått risikovurderigen CVSS 9.8 og går under benevnelsen CVE-2022-31685. Den gjør det mulig for angripere med tilgang til nettverket å få administrator-rettigheter på en såbar enhet uten å autentisere seg. Dette kan være ekstra kritisk i dette tilfellet, siden Assist-enheter ofte har utvidede tilganger til PCer i bedriftsnettverk.
Referanser
https://www.vmware.com/security/advisories/VM[...] https://www.theregister.com/2022/11/09/vmware[...]

Kritisk sårbarhet i Veeam Backup for Google Cloud

Under intern testing har Veeam oppdaget en kritisk sårbarhet som gjør det mulig å omgå autentisering i Backup for Google Cloud. En utbedret versjon har blitt gitt ut og systemer som er satt opp til automatisk oppdatering skal allerede være fikset.
Referanser
https://www.veeam.com/kb4374

2022.11.08 - Nyhetsbrev

Myndighetene i USA beslaglegger stjålne Bitcoins fra enda en Silk Road-hacker. Cyber-angrep førte til stans i togtrafikken i Danmark. Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2022.

Oppsummering av nyhetsbildet innen datasikkerhet for oktober 2022

Denne måneden er hovedsakene at Albania vurderte å utløse NATOs artikkel 5 etter cyberangrep fra Iran og datalekkasje fra Microsoft.
Referanser
https://telenorsoc.blogspot.com/2022/11/oppsu[...]

Myndighetene i USA beslaglegger stjålne Bitcoins fra enda en Silk Road-hacker

Et lenge nedlagt undergrunnsmarked for narkotika på det mørke nettet kalt the Silk Road, har vist seg å være en gullgruve for amerikanske myndigheter. I går annonserte US Department of Justice at de har siktet en mann fra Georgia for å ha stjålet over 50.000 bitcoin fra Silk Road i 2012. James Zhong har allerede innrømmet saken. Nøklene til verdiene var lagret i en liten datamaskin, gjemt i en Popcorn-boks som igjen var gjemt under gulvplankene på badet.
Referanser
https://www.wired.com/story/silk-road-bitcoin[...] https://www.justice.gov/usao-sdny/pr/us-attor[...]

Cyber-angrep førte til stans i togtrafikken i Danmark

Et angrep på en underleverandør av IT-systemer til DSB (Danske Statsbaner) førte til at nesten alle tog i Danmark måtte stanse i flere timer. Leverandøren Supeo hadde blitt rammet av et løsepengevirus og slo av serverne sine. Dette gjorde at en kritisk app for togførere ikke lengre fungerte og gjorde at togene måtte stoppes av sikkerhetshensyn. Appen gir vanligvis informasjon om fartsgrenser, arbeid på linjene osv.
Referanser
https://www.securityweek.com/cyberattack-caus[...]

2022.11.07 - Nyhetsbrev

Microsoft Digital Defense Report 2022: Cyberangrep utført av nasjonalstater har blitt mer aggressive. Undersøkelse rundt firmaer som hacker mot betaling.

Microsoft Digital Defense Report 2022: Cyberangrep utført av nasjonalstater har blitt mer aggressive

Microsoft har sluppet ny "Digital Defense Report" for 2022 med fokus på krigen i Ukraina, hvor det kommer frem at det har vært en økning av aggressive angrep på nett fra land med autoritære ledere. Det siste året har angrep mot kritisk infrastruktur fra nasjonalstater økt fra 20% av alle angrep til 40%, noe som i stor grad skyldes Russlands stadige angrep mot Ukraina. Iran har også utført flere dristige angrep mot EU-stater og Israel etter overgangen til ny president. Nord-Korea, som inntok sin mest aggressive periode med missiltesting i første halvår av 2022, har stått bak tyveri av luftfarts og forsknings-miljøer over hele verden. Kina økte sin spionasje og datatyverier som et forsøk på å øke sin regionale innflytelse i Sørøst-Asia og motvirke økende interesse fra USA. Mange av angrepene fra Kina er utført med helt ferske og ukjente svakheter, såkalte 0-day angrep. Borgere i Kina som oppdager nye svakheter i programvare er nå pålagt å melde fra om disse til myndighetene først.
Referanser
https://blogs.microsoft.com/on-the-issues/202[...] https://thehackernews.com/2022/11/microsoft-w[...] https://therecord.media/microsoft-accuses-chi[...]

Undersøkelse rundt firmaer som hacker mot betaling

The Bureau of Investigative Journalism har gitt ut en lengre sak om "hack-for-hire"-industrien, altså firmaer som gjennomfører data-angrep mot personer eller bedrifter mot betaling. Det skal befinne seg spesielt mange av denne typen firmaer i India.
Referanser
https://www.thebureauinvestigates.com/stories[...]

2022.11.04 - Nyhetsbrev

Cyber-hendelse hos datterselskap av Boeing forstyrrer flyvninger. Forsyningskjede-angrep rammer mer enn 250 nyhetsnettsteder.

Cyber-hendelse hos datterselskap av Boeing forstyrrer flyvninger

Jeppesen er et heleid datterselskap av Boeing. De leverer verktøy for navigasjon og planlegging av flyvninger for noen flyselskaper. Selskapet meldte på torsdag at de har hatt en hendelse som har forårsaket planlegging av flyvninger. Boeing melder at deres tjenester fortsatt har problemer og de jobber med å gjenoppretting. Det er fortsatt uklart hva slags type angrep Jeppesen har blitt utstatt for, men det spekuleres i at de er rammet av ransomware.
Referanser
https://therecord.media/cyber-incident-at-boe[...]

Forsyningskjede-angrep rammer mer enn 250 nyhetsnettsteder

Trusselaktøren kjent som TA569, eller SocGholish, har kompromittert JavaSkript-kode som brukes av en media-distributør. Den skadelige koden brukes til å spre malware til besøkende på nettstedene til regionale og nasjonale media-aktører i USA. Deteksjon kan være vanskelig, siden gruppen periodisk har tatt ut den skadelige koden, for så å legge den til igjen på et senere tidspunkt. Besøkende blir bedt om å laste ned falske oppdateringer, som så gjør at angriperne tar kontroll over PCen.
Referanser
https://www.darkreading.com/application-secur[...]

2022.11.03 - Nyhetsbrev

Sentinel Labs forbinder Black Basta ransomware med FIN7-gruppen.

Sentinel Labs forbinder Black Basta ransomware med FIN7-gruppen

Sikkerhetsforskere hos Sentinel Labs har oppdaget bevis som knytter rasomware-gruppen Black Basta til den finansielt motiverte grupperingen FIN7, også kjent som Carbanak. FIN7 har vært aktive siden 2015 og har russisk-talende medlemmer.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2022.11.03 - Nyhetsbrev

Sentinel Labs forbinder Black Basta ransomware med FIN7-gruppen.

Sentinel Labs forbinder Black Basta ransomware med FIN7-gruppen

Sikkerhetsforskere hos Sentinel Labs har oppdaget bevis som knytter rasomware-gruppen Black Basta til den finansielt motiverte grupperingen FIN7, også kjent som Carbanak. FIN7 har vært aktive siden 2015 og har russisk-talende medlemmer.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2022.11.02 - Nyhetsbrev

OpenSSL har gitt ut detaljer rundt varslede svakheter. Hackere fikk tilgang til interne data hos Dropbox.

OpenSSL har gitt ut detaljer rundt varslede svakheter

OpenSSL har endelig gitt ut detaljer rundt svakhetene de har forhåndsvarslet patcher til. Sårbarheten CVE-2022-3602 har fått endret klassifisering fra "kritisk" til "høy", etter tilbakemelding fra samarbeidspartnere av OpenSSL. Kodeeksekveringen som kunne oppnås ved hjelp av buffer-overlow under sertifikatverifisering, krever at applikasjonen fortsetter å prøve å verifisere sertifikatet til tross for at oppkobling mot en verifisert utsender feiler. Dersom utnyttelse av svakheten er vellykket, kan angriperen kontrollere 4 bytes av stacken ved å bruke en spesielt utformet epost-adresse. Sikkerhetsadvarselen inkluderer også informasjon om CVE-2022-3786, en sårbarhet som ble oppdaget kort tid etter CVE-2022-3602. Denne svakheten kan kun utnyttes til å få programmet til å krasje, altså tjenestenekt. OpenSSL versjon 3.0.0 til 3.0.6 er påvirket av disse svakhetene og bør oppdatere til versjon 3.0.7. OpenSSL 1.0.2 og 1.1.1 ikke er påvirket.
Referanser
https://www.openssl.org/news/secadv/20221101.txt https://supportportal.juniper.net/s/article/2[...]

Hackere fikk tilgang til interne data hos Dropbox

13. oktober ble det oppdaget at en trusselaktør hadde fått tilgang til og kopiert firmaets interne kodelager på GitHub. Innbruddet skjedde etter et vellykket phishing-angrep mot bedriften. Dropbox har meddelt at inntrengerne ikke har fått tak i brukerdata som passord, betalingsinformasjon eller filer. Det var Microsoft som gjorde Dropbox oppmerksom på mistenkelig aktivitet på GitHub.
Referanser
https://www.theregister.com/2022/11/01/dropbo[...] https://dropbox.tech/security/a-recent-phishi[...]

2022.11.01 - Nyhetsbrev

Kritisk sårbarhet i OpenSSL offentliggjøres senere i dag. Stort tysk kobber-produsent utsatt for cyber-angrep.

Stort tysk kobber-produsent utsatt for cyber-angrep

Den nest største kobber-produsenten i verden, tyske Aurubis, ble natt til fredag sist uke rammet av et cyber angrep som førte til at selskapet var nødt til å skru av flere IT-systemer. Selskapet kom med en uttalelse om at angrepet var en del av et større angrep mot industri som driver med utvinning og foredling av mineraler. I Tyskland har det vært flere cyber-angrep mot industrien i det siste.
Referanser
https://therecord.media/worlds-second-largest[...]

Kritisk sårbarhet i OpenSSL offentliggjøres senere i dag

Den 25. oktober offentliggjorde OpenSSL-prosjektet at den kommende versjonen av OpenSSL (versjon 3.0.7) ville patche en kritisk sårbarhet. Denne nye versjonen vil bli gtt ut i løpet av dagen i dag. I forbindelse med offentliggjøringen har NCSC-NL opprettet en Github-side der de vil legge ut detaljer om sårbarheten etter hvert som de blir kjent. NCSC-NL har også en oppdatert oversikt over forskjellig programvare som er sårbar eller ikke sårbar for svakheten.
Referanser
https://github.com/NCSC-NL/OpenSSL-2022 https://github.com/NCSC-NL/OpenSSL-2022/blob/[...]