Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Monday, 12 December 2022

2022.12.12 - Nyhetsbrev

Flere SektorCERTer i Norge advarer mot spredning av ormen Raspberry Robin via USB-enheter.

Det advares mot spredning av USB-ormen Raspberry Robin i Norge

Flere norske SektorCERT-organisasjoner advarer mot spredning av ormen Raspberry Robin via USB-enheter i Norge. Vi har hatt flere saker om ormen, blant annet en oppdatering fra Microsoft i slutten av oktober som vi inkluderer på nytt i denne saken. Ormen har flere måter å spre seg på. Etter at den får tilgang på innsiden av et nettverk, blir tilgangen typisk videresolgt til bruk for industri-spionasje, ransomware osv.

Etter at brukeren setter inn USB lagringsenheten i en PC, blir vedkommende lurt til å trykke på en .LNK-fil. Windows Installer blir deretter brukt til å hente ned en .DLL-fil med skadevare som så infiserer PCen.

HelseCERT anbefaler følgende tiltak:

- Begrensnig av hvilke minnepinner som kan benyttes ved hjelp av Group Policy
- Blokkere tilgang til nylig opprettede domener. Dette kan for eksempel gjøres i en del brannmurer av nyere type.
- Vurdere å innføre applikasjonshvitelisting på DLL-filer ved hjelp av AppLocker.
- Vurder overvåking av nettverkstrafikk generert av Windows Installer/msiexec.
Referanser
https://www.microsoft.com/en-us/security/blog[...]
https://redcanary.com/blog/raspberry-robin/

Posted by tsoc at 12:44

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.

Subscribe to: Post Comments (Atom)
 
>