2023.03.31 - Nyhetsbrev

Råd fra Microsoft rundt konfigurasjon av multi-tenant apper i Azure AD. Russisk aktør har hacket NATO-eposter ved hjelp av svakhet i Zimbra.

Råd fra Microsoft rundt konfigurasjon av apper i Azure AD

Etter avsløringen i går om at Microsoft og andre har hatt feilkonfigurerte apper som tillater bruk fra andre organisasjoner, har de nå gitt ut en guide slik at kunder selv kan sjekke om de har det samme problemet. Vi anbefaler alle som bruker Azure om å ta en gjennomgang.
Referanser
https://msrc.microsoft.com/blog/2023/03/guida[...]

Russisk aktør har hacket NATO-eposter ved hjelp av svakhet i Zimbra

Sikkerhetsselskapene Sentinel Labs og Proofpoint har i det siste gitt ut rapporter om den russiske aktøren TA473/Winter Vivern. Aktøren har siden februar 2023 utnyttet svakheter i Zimbra-installasjoner, blant annet til å stjele eposter fra ansatte i NATO, myndigheter, militært personell og diplomater. Phishing-eposter blir brukt til å injisere javascript i sårbare Zimbra-installasjoner ved hjelp av svakheten kjent som CVE-2022-27926. Aktøren får på denne måten kopiert ut brukernavn, passord og innloggings-nøkler.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.proofpoint.com/us/blog/threat-ins[...]

2023.03.30 - Nyhetsbrev

Google: Leverandører av komersiell overvåkingprogramvare bruker ferske svakheter. Sikkerhetsforsker tok kontroll over deler av Microsofts tjenester grunnet feilkonfigurering i AAD. Forsyningskjede-angrep via programvaren 3CXDesktopApp.

Google: Leverandører av komersiell overvåkingprogramvare bruker ferske svakheter

Google har en stund fulgte ekstra nøye med på komersielle leverandører av overvåkingprogramvare og deres bruk av ferske svakheter, såkalt "zero-day" svakheter. For øyeblikket følger de med på over 30 leverandører, som leverer sin programvare til myndigheter i mange land. I en ny bloggpost deler Google detaljer om to nylige kampanjer som benyttet seg av flere zero-day svakheter i Android, iOS og Chrome. Kampanjene benyttet seg av at det var lang tid fra svakhetene ble annonsert til de faktisk ble utbedret. Les bloggposten for detaljer og IoCer (Indicatore of Compromise).
Referanser
https://blog.google/threat-analysis-group/spy[...]

Sikkerhetsforsker tok kontroll over deler av Microsofts tjenester grunnet feilkonfigurering i AD

En sikkerhetsforsker oppdaget at en app som ble brukt til å vise søkeresultater i Bing (Bing Trivia) var satt opp med manglende tilgangskontroll; alle brukere i Azure kunne bruke appen og manipulere søkeresultater. XSS-kode (Cross Site Scripting) kunne også legges inn, for å kjøre tilfeldig java-script i kontekst av Bings brukere. Dette kunne brukes til å stjele brukerens innlogings-token for Office 365 og dermed alle data tilgjengelig for brukeren. Det viste seg at Microsoft også hadde flere andre applikasjoner med den samme konfigurasjonsfeilen. De scannet også tilgangene til appene lagd av mange andre firmaer og fant at i 25% av tilfellene var appene satt opp med den samme feilen. Det ble utbetalt $40.000 i belønning for oppdagelsen. Microsoft anbefaler at alle scanner sine egne miljøer for lignende tilgangsfeil, nemlig at apper er satt opp til å tillate "multi-tenancy" uten videre krav til autentisering.
Referanser
https://www.wiz.io/blog/azure-active-director[...]

Forsyningskjede-angrep via appen 3CXDesktopApp

Sikkerhetsfirmaet SentinelOne melder om pågående forsyningskjede-angrep gjennomført av en nord-koreansk aktør via IP-telefoni appen 3CXDesktopApp for Windows. Det er så langt ikke kjent om tilsvarende app som Chrome Extension eller for Mac er rammet. Installasjons-programmet for Windows er korrekt signert, men inneholder allikevel skadelig kode for å laste ned mer malware og siden eksfiltrere data fra rammede bedrifter.
Referanser
https://www.sentinelone.com/blog/smoothoperat[...]

2023.03.29 - Nyhetsbrev

WiFi-svakhet lar angripere få tilgang til ukryptert trafikk. Mandiant skriver om den nord-koreanske trusselaktøren APT43.

WiFi-svakhet lar angripere få tilgang til ukryptert trafikk

Sikkerhetsforskere har oppdaget en feil i designet av WiFi-protokollen IEEE 802.11 som lar angripere få tilgang til ukrypterte datapakker i WiFi-nettverk som vanligvis skal være krypterte. Svakheten ligger i et kø-system for pakker som brukes når enheter er i strømspare-modus. En angriper kan sende spoofede pakker til aksesspunktet for å sette i gang bufring, og så få aksesspunktet til å sende disse ukryptert i etterkant. Svakheten kan brukes både til å avlytte trafikk og til å sette pakker inn i trafikkstrømmen. Heldigvis er det aller meste av trafikken fra klienter på WiFi-nettverk nå kryptert ved hjelp av andre protkoller som TLS og ved hjelp av VPN, noe som gjør svakheten mye mindre alvorlig. Det er ikke kjent at svakheten har blitt brukt i reelle angrep så langt.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Mandiant skriver om den nord-koreanske trusselaktøren APT43

Mandiant har gitt ut en rapport om trusselaktøren APT43, som kommer fra Nord-Korea. De har fulgt aktøren siden 2018, og mener at utenlandsetterretningen står bak den. Aktøren driver blant annet med tyveri og hvitvasking av kryptovaluta, samt spionasje mot flere sektorer i vestlige land. Hvitvaskingen foregår blant annet gjennom å betale for leie av datautstyr for å utvinne kryptovaluta. Aktøren benytter seg av flere fiktive personligheter for å utføre sosial manipulering og bestilling av tjenester.
Referanser
https://www.mandiant.com/resources/blog/apt43[...] https://mandiant.widen.net/s/zvmfw5fnjs/apt43[...]

2023.03.28 - Nyhetsbrev

USA innfører restriksjoner i bruk av komersiell overvåkingprogramvare. Appen Pinduoduo har benyttet svakheter i Android for å øke sine markedsandeler. Europol har gitt ut en rapport om mulig misbruk av ChatGPT og lignende systemer. Apple oppdaterer macOS, iPhone og Apple TV/watch.

USA innfører restriksjoner i bruk av komersiell overvåkingprogramvare

Mange land bruker kommersiell spionvare på mobiltelefoner til å overvåke kriminelle, journalister, regimemotstandere osv. Programvaren installeres ofte på utvalgte mobiler ved å utnytte svakheter i Android og iOS og skjer ofte uten at brukeren merker eller trenger å gjøre noe (zero-click svakheter). USA innfører nå restriksjoner i bruk av denne typen programvare. Før den brukes må det undersøkes om det kan føre til kontraspionasje eller andre sikkerhetsrisikoer. Leverandører som selger sin programvare til regimer som misbruker systemene skal også unngås.
Referanser
https://www.securityweek.com/us-to-adopt-new-[...]

Appen Pinduoduo har benyttet svakheter for å øke sine markedsandeler

Google sier at de har suspendert den kinesiske appen Pinduoduo fra Google Play Store, etter at de oppdaget at noen versjoner av appen har benyttet seg av svakheter i Android for å øke sine markedsandeler. Disse versjonene, tilgjengelig fra tredjeparts app-butikker, brukte blant annet en svakhet som ble patchet for bare to uker siden for å oppnå utvidede tilganger til systemet. Tilgangene ble blant annet brukt til å stjele brukderdata fra konkurrerende apper.
Referanser
https://arstechnica.com/information-technolog[...] https://krebsonsecurity.com/2023/03/google-su[...]

Europol har gitt ut en rapport om mulig misbruk av ChatGPT og lignende systemer

Som et svar på den økende populariteten til forskjellige chatte-roboter som Bing, Bard og ChatGPT, har Europol gitt ut en rapport som tar for seg både positive og negative sider ved utviklingen. Europol ser for seg at tre områder spesielt kan misbrukes ved hjelp av store språkmodeller (LLM): Svindel og sosial manipulering, desinformasjon og cyberkriminalitet.
Referanser
https://www.europol.europa.eu/media-press/new[...]

Apple oppdaterer macOS, iPhone og Apple TV/watch

Apple har sluppet sikkerhetsoppdateringer og nye versjoner av programvare til hele sin portefølje av produkter. Det er også oppdateringer for de som er på eldre versjoner av macOS og iOS.
Referanser
https://support.apple.com/en-us/HT201222

2023.03.27 - Nyhetsbrev

Britiske myndigheter har opprettet falske nettsider for bestilling av DDoS-angrep.

Britiske myndigheter har opprettet falske nettsider for bestilling av DDoS-angrep

Britiske National Crime Agency (NCA) avslørte forrige uke at de har opprettet flere sider der de gir seg ut for å tilby salg av DDoS-tjenester. De har gjort dette for å avsløre kriminelle som bruker denne typen tjenester for å angripe og utpressing av organisasjoner. Flere tusen har besøkt nettstedene. I stedet for å få utført DDoS-angrep, lagret nettstedene bruker-informasjon som epost-adresser, IP-adresser og betalingsinformasjon for etterforskning av de besøkende. NCA advarer de kriminelle om at det fortsatt finnes mange tilsvarende nettsteder, selv om de nå har avslørt én av sine falske sider.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2023.03.24 - Nyhetsbrev

Cisco oppdaterer Cisco IOS og IOS XE. Mandiant: Hacktivister angripere oftere OT-systemer. Google fikser 8 svakheter i Chrome. Adober Reader, Tesla, Sharepoint, Virtualbox og Teams hacket på Pwn2Own-konferansen. CISA advarer om svakheter i OT-systemer.

Cisco oppdaterer Cisco IOS og IOS XE

Cisco har sluppet sin halvårlige oppdatering for IOS og IOS XE. Det er 10 svakheter som blir utbedret, ingen av disse er kjent utnyttet så lang i aktive angrep. De mest alvorlige svakhetene kan føre til tjenestenekt-angrep mot utstyr som bruker progamvaren.
Referanser
https://sec.cloudapps.cisco.com/security/cent[...]

Mandiant: Hacktivister angripere oftere OT-systemer

Mandiant har skrevet en bloggpost om økende angrep mot OT-systemer (Operasjonell Teknologi) fra forskjellige hacktivist-grupper. Dette er en utvikling som har forsterket seg det siste året i forbindelse med krigen i Ukraina. Mandiant har en gjennomgang av nylig annonserte angrep, men poengterer også at mange av de påståtte angrepene kanskje ikke har skjedd i virkeligheten eller har hatt mindre konsekvenser enn det angriperne påstår.
Referanser
https://www.mandiant.com/resources/blog/hackt[...]

Google fikser 8 svakheter i Chrome

Google har gitt ut Chrome versjon 111 og fikser med dette 8 svakheter rangert med "høy" viktighet. 7 av svakhetene gjelder feil i minnehåndtering, eller såkalte "use-after-free"-svakheter. Disse kan føre til eksekvering av kode, korrupte data eller tjenestenekt.
Referanser
https://chromereleases.googleblog.com/2023/03[...] https://www.securityweek.com/chrome-111-updat[...]

Adober Reader, Tesla, Sharepoint, Virtualbox og Teams hacket på Pwn2Own-konferansen

Hacker-konkurransen Pwn2Own blir i disse dager arrangert i Vancouver. Etter to dager har de påmeldte lagene hacket Adobe Reader, Microsoft Sharepoint, Oracle Virtualbox, Microsoft Teams, Tesla Model 3, Ubuntu Desktop, Mac OS osv. De to første dagene ble det utbetalt $850.000 og en Tesla Model 3 i premier. Svakhetene blir meldt til de respektive firmaene etter at konkurransen er over.
Referanser
https://www.zerodayinitiative.com/blog/2023/3[...]

CISA advarer om svakheter i OT-systemer

CISA (Cybersecurity and Infrastructure Security Agency) advarer mot nylig oppdagede svakheter i OT-teknologi. Det dreier seg om 49 svakheter i åtte forskjellige industrielle styringssystemer fra leverandører som Siemens, Rockwell Automation, Hitachi, Delta Electronics, Keysight og VISAM. Fokuset øker på denne typen svakheter, siden OT-nettverk nå ofte har forbindelser til Internet. Tidligere var disse nettene ofte fysisk separert fra andre nettverk.
Referanser
https://www.darkreading.com/vulnerabilities-t[...]

2023.03.22 - Nyhetsbrev

NSM ute med ny vurdering: Anbefaler ikke Tiktok eller Telegram på tjenesteenheter
Windows 11 Snipping Tool personvernfeil avslører beskåret bildeinnhold

NSM ute med ny vurdering: Anbefaler ikke Tiktok eller Telegram på tjenesteenheter

Nasjonal sikkerhetsmyndighet (NSM) har nå på oppdrag fra Justis- og beredskapsdepartementet foretatt en vurdering av om det bør innføres tiltak eller gis råd om retningslinjer knyttet til bruk av Tiktok og Telegram på tjenesteenheter. NSM vurderer at appene ikke bør installeres på offentlig ansattes tjenesteenheter som er tilknyttet virksomhetens interne digitale infrastruktur eller tjenester. NSM presiserer at anbefalingen er ikke et forbud mot TikTok eller Telegram, men et råd om at de ikke bør installeres på tjenesteenheter. NSM vurderer at dette også bør gjelde ansatte i privat sektor som er underlagt sikkerhetsloven helt eller delvis.
Referanser
https://nsm.no/aktuelt/anbefaler-ikke-tiktok-[...]

Windows 11 Snipping Tool personvernfeil avslører beskåret bildeinnhold

Programvareutvikler Chris Blume har funnet en feil i windows snipping tool der ubrukt data bli liggende. Det beskårne bildet lagrer data i png filen som ikke vises på grunn av en .IEND. Dataen etter .IEND kan bli delvis gjenopprettet som er en stor personvernfeil da sensitiv data kan vises. Microsoft vet om feilen og undersøker hvilke tiltak de skal iverksette.
Referanser
https://www.bleepingcomputer.com/news/microso[...]

2023.03.21 - Nyhetsbrev

Mandiant har gitt ut rapport om bruk av zero-day svbakheter i 2022. Hackere har stjålet $1.5 millioner fra Bitcoin-minibanker ved hjelp av zero-day svakhet.

Mandiant har gitt ut rapport om bruk av zero-day svbakheter i 2022

I 2022 fulgte Mandiant 55 zero-day svakheter, altså svakheter som blir brukt i angrep før det finnes noen patcher for dem. Kinesiske stats-støttede aktører var den største brukeren av denne typen svakheter i fjor. Fire zero-day svakheter ble brukt av finansielt motiverte angripere, tre av dem i ransomware-angrep. Produkter fra Microsoft Google og Apple stod for de fleste zero-day svakhetene, i likhet med foregående år.
Referanser
https://www.mandiant.com/resources/blog/zero-[...]

Hackere har stjålet $1.5 millioner fra Bitcoin-minibanker

General Bytes er et firma som lager Bitcoin-minibanker. Angripere har benyttet en zero-day svakhet til å laste opp egen kode på sky-serverne som minibankene benyttet seg av. Serverne med svakheten lå åpent tilgjengelig på Internet uten beskyttelse av brannmur eller VPN. Firmaet ble rammet av en lignende hendelse i august 2022, også den gangen på grunn av en svakhet i serveren til minibankene. Firmaet legger nå ned sin sky-tjeneste og anbefaler at kundene selv installerer serverne som minibankene skal kommunisere med. Kundene blir også anbefalt å beskytte disse med VPN og brannmur.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2023.03.20 - Nyhetsbrev

Nettstedet BreachForums tatt ned og bakmannen arrestert i New York.

Nettstedet BreachForums tatt ned og bakmannen arrestert i New York

FBI har tatt ned det kjente nettstedet BreachForums og arrestert den 21-årige administratoren kjent som Pompompurin. Nettstedet ble lansert i 2022, like etter at RaidForums ble tatt ned av myndigheter fra flere land. Flere av de 330.000 medlemmene av nettstedet er nå redde for at politiet skal få tak i opplysninger om dem. Forumet har blitt brukt til å offentliggjøre og arrangere salg av informasjon fra flere kjente datainnbrudd, for eksempel etter det nylige innbruddet hos DC Health Link.
Referanser
https://www.securityweek.com/new-york-man-arr[...]

2023.03.17 - Nyhetsbrev

Adobe Acrobat Sign misbrukt for å sende ut malware. Kinesisk aktør har benyttet seg av Fortinet nulldagssårbarhet. Samsung og Pixel mobiltelefoner kan hackes via mobilnettet.

Adobe Acrobat Sign misbrukt for å sende ut malware

Cyberkriminelle prøver stadig å utnytte lovlige tjenester for å få sendt ut eposter med phishing og malware. Tidligere har både kvitteringer fra PayPal og dokumenter fra Google blitt brukt til dette. Avast har nå avdekket at også Adobes tjeneste Acrobat Sign blir utnyttet til dette formålet. Offeret får en epost fra Adobe med en lenke til et dokument som ligger på Adobes server. Dokumentet lenker igjen videre til en zip-fil med malware.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Kinesisk aktør har benyttet seg av Fortinet nulldagssårbarhet

En kinesisk aktør har blitt fulgt av selskapet Mandiant, som har oppdaget at aktøren hadde egenproduserte bakdører i Fortinet, SonicWall og VMware-utstyr. Aktøren har benyttet seg av den nylig avdekkede nulldagssårbarhet i FortiOS (CVE-2022-41328), samt svakheter i i annet utstyr som gjerne er eksponert direkte mot Internet uten endepunktsikring. Rapporten inneholder detaljert oversikt over handlingsmåtene til aktøren, IoCer og Yara-regler.
Referanser
https://www.mandiant.com/resources/blog/forti[...]

Samsung og Pixel mobiltelefoner kan hackes via mobilnettet

Google sin avdeling Project Zero har avdeket 18 nye svakheter i Samsung sine Exynos brikkesett. En trenger i teorien kun et telefonnummeret for å få ekstern kode-eksekvering, uten at brukeren trenger å gjøre noe. Feilen gjelder Samsungs S22-serie og flere av Galaxy A-modellene fra selskapet. Den rammer også Googles Pixel 6a/7. Google anbefaler å slå av samtaler over WiFi tale og 4G inntil en fiks er på plass. Det er så langt ikke meldt om at svakhetene har blitt utnyttet i faktiske angrep.
Referanser
https://www.tek.no/nyheter/nyhet/i/9zr7Rr/alv[...] https://googleprojectzero.blogspot.com/2023/0[...]

2023.03.16 - Nyhetsbrev

Kritisk sårbarhet i Aruba ClearPass Policy Manager. Mozilla fikser flere svakheter i versjon 111 av FireFox.

Kritisk sårbarhet i Aruba ClearPass Policy Manager

JustisCERT har sendt ut varsel om sårbarheter som berører ClearPass Policy Manager fra Aruba. Totalt 8 CVE ble publisert av Aruba 14.03.2023 hvor 1 av disse er kategorisert som kritisk (CVE-2023-25589 med CVSS-score 9.8) og 4 som alvorlig (CVE-2023-25590, CVE-2023-25591, CVE-2023-25592, CVE-2023-25593 med CVSS-score til og med 7.8). Aruba har publisert nødvendige oppdateringer til supporterte produkter.
Referanser
https://www.arubanetworks.com/assets/alert/AR[...]

Firefox 111 sikkerhetsoppdatering

Mozilla publiserte denne tirsdagen en oppdatering for FireFox. Oppdateringen til versjon 111 tar for seg syv sårbarheter med "høy" viktighet og seks moderat rangerte.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

2023.03.15 - Nyhetsbrev

Microsoft patchetirsdag: To svakheter utnyttes allerede aktivt i forbindelse med angrep fra henholdsvis russiske aktører og ransomware. Adobe patcher flere produkter, inkludert svakhet i ColdFusion som utnyttes i angrep. Microsoft med bloggpost om phishing-verktøy som stjeler sesjonsnøkler. SAP patcher 19 svakheter.

Microsoft patchetirsdag: To svakheter utnyttes allerede i angrep

Microsoft patcher 76 svakheter i denne månedenes patche-tirsdag. To av svakhetene blir allerede utnyttet i aktive angrep. Den første aktivt utnyttede svakheten har fått benevnelsen CVE-2023-23397. Svakheten ligger i Outlook og utnyttes ved å sende en epost med en spesielt utformet lenke. Når eposten behandles (før den åpnes), kan Outlook lures til å kontakte en ekstern server og gi fra seg en NTLMv2 hash av brukerens passord. Det hashede passordet kan i noen tilfeller brukes til innlogging ved hjelp av et NTLM relay-angrep. For å stoppe denne typen angrep er det viktig å sperre for utgående SMB-trafikk på port 445. CERT-UA (Computer Emergency Response Team of Ukraine) er kreditert for oppdagelsen av svakheten. Microsoft melder videre at en russisk aktør har brukt den i angrep mot myndigheter, forsvar-, transport- og energi-sektoren i europeiske land helt tilbake til april 2022. Den andre svakheten har fått CVE-2023-24880 og er nok en svakhet i Windows SmartScreen, som er ment å gi brukeren ekstra beskyttelse mot filer lastet ned fra Internett (Mark of the Web). En lignende svakhet ble også patchet i desember 2022. Google opplyser at svakheten har blitt brukt av grupperingen Magniber i forbindelse med ransomware-angrep. Det er også en svakhet i håndteringen av fragmenterte ICMP-pakker i Windows (CVE-2023-23415). Sårbarheten kan gjøre det mulig for en angriper å kjøre vilkårlig kode på en maskin som kan nås via nettet. Vi anbefaler å patche så fort som mulig!
Referanser
https://isc.sans.edu/diary/Microsoft+March+20[...] https://msrc.microsoft.com/update-guide/en-us https://msrc.microsoft.com/blog/2023/03/micro[...] https://blog.google/threat-analysis-group/mag[...]

Adobe patcher flere produkter, inkludert svakhet i ColdFusion som utnyttes i angrep

Adobe har gitt ut patcher for flere av deres produkter. De advarer om at en svakhet i web-utviklingsverktøyet ColdFusion (CVE-2023-26360) allerede utnyttes i et begrenset antall angrep. Både versjon 2018 og 2022 er sårbare.
Referanser
https://helpx.adobe.com/security.html https://www.securityweek.com/adobe-warns-of-v[...]

SAP patcher 19 svakheter

SAP har sluppet oppdateringer for flere av sine produkter. De mest kritiske svakhetene befinner seg i SAP Business Objects Business Intelligence Platform (CMC) og SAP NetWeaver.
Referanser
https://dam.sap.com/mac/app/e/pdf/preview/emb[...]

Microsoft med bloggpost om phishing-verktøy som stjeler sesjonsnøkler

Microsoft advarer om at trusselaktøren DEV-1101 tilbyr et phishing-verktøy som åpen kildekode som kan brukes til å stjele sesjonsnøkler. Verktøyet støtter proxy-funksjonalitet (AiTM - Adversary in the Middle) for å hente ut engangskoder og sesjonsnøkler (sessions-cookies) fra ofrene. Verktøyet kan både kjøpes og leies med support-avtale. Det brukes av flere trusselaktører til å sende ut millioner av phishing-eposter. For å unngå å miste innloggingsdetaljer i forbindelse med denne typen angrep må en implementere autentiserinsmekanismer som er motstandsdyktige mot phishing som FIDO2 med sikkerhetsnøkler og sertifikat-basert autentisering.
Referanser
https://thehackernews.com/2023/03/microsoft-w[...] https://www.microsoft.com/en-us/security/blog[...]

2023.03.14 - Nyhetsbrev

Emotet-botnettet er tilbake med nye triks.

Emotet-botnettet er tilbake med nye triks

Emotet-botnettet har lenge vært sett på som en av de største truslene på nettet og har vært aktivt siden 2014 i varierende grad. Den siste uken har botnettet igjen sendt ut spam-eposter, etter en tre måneders pause. Epostene er ofte svært overbevisende, da de typisk er del av en eksisterende meldings-tråd og mottaker blir adressert med navn. I denne omgangen blir det sendt ut svært store Word-dokumenter for å unngå sjekk fra anti-virus programmer. Dokumentet prøver så å lure brukeren til å slå på makroer og laste ned malware. Dersom brukeren lar seg lure, vil Emotet spre seg videre ved å stjele eposter og kontakter fra brukeren. Målet med spredningen er å få tilgang til bedriftsnettverk og selge tilgangen videre, gjerne til ransomware-grupper.
Referanser
https://www.deepinstinct.com/blog/emotet-agai[...]

2023.03.13 - Nyhetsbrev

Mandiant skriver om Nord-Koreanske UNC2970 og angrep mot media og teknologi-firmaer. Sensitive persondata om medlemmer av Representantenes hus til salgs.

Mandiant skriver om Nord-Koreanske UNC2970 og angrep mot media og teknologi-firmaer

Mandiant har fulgt en Nord-Koreansk gruppering kalt siden UNC2970 siden 2022. Sikkerhetsselskapet har nå observert et angrep mot et amerikansk teknologi-firma. I forbindelse med etterforskning av dette angrepet har de avdekket tre nye verktøy brukt av trusselaktøren. I etterkant har Mandiant funnet flere vestlige media-organisasjoner som har vært utsatt for innbrudd.
Referanser
https://www.mandiant.com/resources/blog/light[...]

Sensitive persondata om medlemmer av Representantenes hus til salgs

Forsikringsselskapet DC Health Link har vært utsatt for et data-innbrudd forrige uke. Dette firmaet blir brukt til å forsikre alle medlemmer og ansatte i Representantenes hus. Informasjonen som ble stjålet inneholder blant annet personnummer, adresse, telefon-numre, familie-medlemmer og epost-adresser. Det skal ikke ha lekket helse-informasjon.
Referanser
https://www.theguardian.com/us-news/2023/mar/[...] https://securityonline.info/significant-data-[...]

2023.03.10 - Nyhetsbrev

Politi-aksjon mot NetWire RAT-malware. Malware som infiserer SonicWall overlever fastvare-oppdateringer.

Politi-aksjon mot NetWire RAT-malware

FBI og politi fra flere land har gjennomført en politi-aksjon mot infrastrukturen til fjernstyrings-verktøyet NetWire, som er et fjernstyrings-verktøy som for det meste har blitt solgt som en RAT (Remote Access Trojan). Siden 2014 har verktøyet blitt brukt i forbindelse med phishing og innbrudd i bedriftsnettverk. Domenet til verktøyet har nå blitt beslagslagt, sammen med serverne i Sveits. Den antatte hovedmannen bak verktøyet ble samtidig arrestert i Kroatia.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Malware som infiserer SonicWall overlever fastvare-oppdateringer

Trusselaktører tilknyttet den kinesiske staten har infisert mange SonicWall-enheter. Malwaren overlever selv om enheten får installert ny fastware (firmware). Dette gjør at aktøren kan beholde kontroll over bedriftens nettverk over lang tid. Den initielle infeksjonsvektoren er ukjent.
Referanser
https://arstechnica.com/information-technolog[...] https://www.mandiant.com/resources/blog/suspe[...]

2023.03.09 - Nyhetsbrev

Veeam lanserer fiks for programvarefeil som lot inntrengere lese backup-data. Jenkins advarer om ny sårbarhet som kan føre til ekstern kodeeksekvering. Fortinet varsler om kritisk RCE sårbarhet i FortiOS og FortiProxy. Chrome: Oppdatering av stabil-versjonen for desktop. Varsel vedrørende sårbarheter i Cisco-utstyr.

Veeam lanserer fiks for programvarefeil som lot inntrengere lese backup-data

Veeam lanserer fiks for sine Backup & Replication produkter, der en ikke-innlogget bruker kunne lese backup-data ved å hente ut krypterte nøkler fra VeeamVBR konfigurasjons-databasen. Selve sårbarheten (CVE-2023-27532) stammer fra at programmet "Veeam.Backup.Service.exe" til vanlig kjører på port 9401, noe inntrengerene kunne utnytte for å hente ut nøkler. Veeam tilbyr også en midlertidig fiks som involverer blokkering av ekstern kommunikasjon til TCP port 9401, men oppdatering av programvaren er foretrukket.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Jenkins advarer om ny sårbarhet som kan føre til ekstern kodeeksekvering

Jenkins advarer nå mot flere sårbarheter som tillater en ikke-innlogget bruker å oppnå ekstern kodeeksekvering på "Jenkins server" og "Update Center" produkter (CVE-2023-27898 og CVE-2023-27905). Sårbarhetene stammer fra måten Jenkins prosesserer plugins i Update Center, der en trusselaktør kan laste opp en ondsinnet plugin og trigge et cross-site scripting (XSS) angrep. Jenkins anbefaler brukere å oppdatere "server" og "Update Center" til nyeste versjon.
Referanser
https://thehackernews.com/2023/03/jenkins-sec[...]

Fortinet varsler om kritisk RCE sårbarhet i FortiOS og FortiProxy

Fortinet varsler om en kritisk sårbarhet i FortiOS og FortiProxy produkter som tillater en ikke-autentisert bruker å oppnå ekstern kodeeksekvering eller utføre denial of service (DoS)-angrep. Sårbarheten (CVE-2023-25610) har en CVSS score på 9.3 og omhandler buffer underflow, en feil som kan oppstå dersom et program prøver å lese mer data fra minne-buffer enn hva som er tilgjengelig. Sårbarheten omhandler versjoner av FortiOS fra 6.0 til 7.2 og FortiProxy 1.1 til 7.2. For mer informasjon se vedlagt lenke.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Chrome utgivelse: Oppdatering av stabil-versjonen for desktop

Google varslet om en ny Chrome versjon 111 i stabil-kanalen for desktop. Chrome versjon 111.0.5563.64 (Linux og Mac) og 111.0.5563.64/.65 (Windows) inkluderer blant annet 40 sikkerhetsoppdateringer. Den nye versjonen vil rulle ut i de nærmeste dagene/ukene og det anbefales å oppdatere så snart det lar seg gjøre.
Referanser
https://chromereleases.googleblog.com/2023/03[...]

Varsel vedrørende sårbarheter i Cisco-utstyr

Cisco publiserte 8. mars sin halvårlige publikasjon med oppdateringer av Cisco IOS XR. Denne beskriver to sårbarheter i IOS XR-programvaren. Cisco har gitt ut programvareoppdateringer som adresserer disse sårbarhetene. CVE-2023-20049 har en CVSS score på 8.6 og handler om en sårbarhet i BFD-implementasjonen for ASR 9000 serien. Denne kan gi en uautentisert ekstern angriper mulighet til å tilbakestille et linjekort, noe som resulterer i en DoS. CVE-2023-20064 har en CVSS score på 4.6 og handler om en sårbarhet i GRUB for IOS XR-programvaren hvor utnyttelse kan føre til tilgang til sensitive filer. En større mengde produkter er utsatt for sårbarheten, men angriperen trenger fysisk tilgang til utstyret for å kunne utnytte den.
Referanser
https://sec.cloudapps.cisco.com/security/cent[...]

2023.03.08 - Nyhetsbrev

Mars-oppdatering for Android fikser over 50 svakheter. Russisk-tilknyttet aktør sender video-konferanse forespørsler.

Russisk-tilknyttet aktør sender video-konferanse forespørsler

Proofpoint melder at TA499 (Vovan/Lexus) en russisk-tilknyttet aktør som har vært aktiv siden minst 2021. Aktøren kjører nå en kampanje der de prøver å lure europeiske og nord-amerikanske personer til å delta i telefon- eller video-konferanser som blir tatt opp. Målet med aksjonen er mest sannsynlig å lure personene til å avsløre ting som kan brukes i propaganda-øymed i forbindelse med Russlands krigføring i Ukraina.
Referanser
https://www.proofpoint.com/us/blog/threat-ins[...]

Mars-oppdatering for Android fikser over 50 svakheter

Google har sluppet sin månedlige oppdatering for Android-operativsystemet og fikser over 50 svakheter. De to mest alvorlige svakhetene denne måneden ligger i system-komponenten og kan brukes for å kjøre kode via nettverket uten av brukeren foretar seg noe (RCE). Det er ikke rapportert om at noen av svakhetene utnyttes i pågående angrep. Vi anbefaler å patche så fort en oppdatering er tilgjengelig.
Referanser
https://www.securityweek.com/androids-march-2[...] https://source.android.com/docs/security/bull[...]

2023.03.07 - Nyhetsbrev

Tusenvis av avtaler kansellert etter ransomware-angrep mot sykehus i Barcelona. Lumen skriver om ny router-malware som analyserer trafikk på nettverket. Kunstig intelligens gjør at vi ikke lengre kan stole på lydopptak. Tyskland og Ukraina har slått til mot DoppelPaymer ransomware-banden.

Tusenvis av avtaler kansellert etter ransomware-angrep mot sykehus i Barcelona

Barcelonas største sykehus "Clinic de Barceolna" har blitt rammet av ransomware. Interne systemer og sykehusets eksterne nettsted gikk ned på mandag. 150 operasjoner og 3000 andre konsultasjoner ble kansellert, siden journalene til pasientene ikke er tilgjengelige. Ransomware-gruppen RansomHouse skal stå bak angrepet.
Referanser
https://therecord.media/barcelona-hospital-ra[...]

Lumen skriver om ny router-malware som analyserer trafikk på nettverket

Sikkerhetsselskapet Lumen har analysert ny malware kalt "Hiatus", som rammer routere som typisk er brukt av bedrifter. Malwaren består av to komponenter, den ene gir fjerntilgang til enheten og den andre tar opp nettverkstrafikk som går igjennom enheten for å overvåke epost og filoverføringer. Lumen har funnet over 100 infiserte enheter, hovedsakelig i Europa og Latin-Amerika.
Referanser
https://blog.lumen.com/new-hiatusrat-router-m[...]

Kunstig intelligens gjør at vi ikke lengre kan stole på lydopptak

En ny trend med lydtjenester basert på kunstig intelligens (KI) gir folk muligheten til å kopiere stemmer og konstruere fiktive samtaler. Kvaliteten er nå så god at det er lett å la seg lure. Bare uker etter at selskapet Eleven Labs lanserte en nettside med KI-verktøy for lyd, har det flommet over av populære humorvideoer på TikTok, YouTube og Twitter.
Referanser
https://www.nrk.no/kultur/stemmetjenester-tar[...]

Tyskland og Ukraina har slått til mot DoppelPaymer ransomware-banden

Den 28. februar gikk politistyrker fra Tyskland, Ukraina og Europol til aksjon mot medlemmer av ransomware-banden DoppelPaymer. Aksjonene førte til arrestasjon av flere personer som avhøres, samt beslag av utstyr. Gruppens første store angrep var rettet mot det britiske helsevesenet og ble gjennomført i 2017, ifølge tyske tjenestemenn. Deretter skal hackerne ha gått etter en rekke bedrifter og institusjoner. I Tyskland er mediegruppen Funke og universitetssykehuset i Düsseldorf blant dem som ble rammet.
Referanser
https://www.digi.no/artikler/hackernettverk-m[...] https://www.europol.europa.eu/media-press/new[...]

2023.03.06 - Nyhetsbrev

CISA med guide for å stoppe Royal Ransomware. Hvordan hindre OneNote-filer fra å infisere Windows-systemer. Nye svakheter i TPM 2.0 utgjør en trussel mot enterprise-enheter. Oppsummering av nyhetsbildet innen datasikkerhet for februar 2023.

Oppsummering av nyhetsbildet innen datasikkerhet for februar 2023

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for februar 2023. Denne måneden skriver vi blant annet om data-angrep mot norske kommuner og stor økning i digitale bedragerier.
Referanser
https://telenorsoc.blogspot.com/2023/03/oppsu[...]

CISA med guide for å stoppe Royal Ransomware

Amerikanske CISA (Cybersecurity and Infrastructure Security Agency) har sluppet en guide som omhandler Royal Ransomware. Guiden tar for seg hvordan Royal kommer seg inn i nettverk, kommando og kontroll, bevegelse internt i nettverk, eksfiltrering av data, krypterings-metode osv. Dokumentet inneholder også IoCer (Indicatore of Compromise) og tips til hvordan en unngår å bli rammet av denne ransomware-banden.
Referanser
https://www.cisa.gov/news-events/cybersecurit[...]

Hvordan hindre OneNote-filer fra å infisere Windows-systemer

Etter at Microsoft slo av makroer i nedlastede filer har cyberkriminelle tatt i bruk nye metoder for å infisere PCer. OneNote-filer med malware som vedlegg er en ny teknikk som har blitt tatt i bruk. BleepingComputer har en gjennomgang av metoden og hva en kan gjøre for å forhindre den.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Nye svakheter i TPM 2.0 utgjør en trussel mot enterprise-enheter

Det har blitt oppdaget to nye alvorlige svakheter i TPM 2.0 (Trusted Platform Module) som kan føre til eskalering av rettigheter på systemer eller informasjonslekkasje. Svakhetene kan utnyttes av en bruker som allerede har lokalt tilgang til systemet til å få tilgang til beskyttet informasjon fra TPM-modulen eller å manipulere oppstartprosessen til systemet.
Referanser
https://thehackernews.com/2023/03/new-flaws-i[...]

2023.03.03 - Nyhetsbrev

JustisCERT varsler om sårbarheter i Cisco-produkter.

JustisCERT varsler om sårbarheter i Cisco-produkter

JustisCERT varsler om sårbarheter i Cisco-produkter der én er kategorisert som kritisk (CVE-2023-20078, CVSS 9.8), én som alvorlig (CVE-2023-20079, CVSS 7.5) samt 5 viktige. De kritiske og alvorlige sårbarhetene berører produkter som Cisco IP Phone 6800/7800/8800 Series og annet Cisco Unified IP-utstyr. Sårbarhetene kan tillate en uautentisert angriper å kjøre vilkårlig kode eller forårsake tjenestenekt (DoS) via administrasjons-grensesnittet på en berørt enhet. Flere av de berørte produktene er end-of-life (EOL) og vil dermed ikke motta nødvendige oppdateringer.
Referanser
https://sec.cloudapps.cisco.com/security/cent[...]

2023.03.02 - Nyhetsbrev

Blacklotus første UEFI Bootkit-skadevare som omgår Secure Boot-forsvar i Windows. NSM: Pågående tjenestenekt-angrep mot norske virksomheter.

Blacklotus første UEFI Bootkit-skadevare som omgår Secure Boot-forsvar i Windows

Et UEFI (Unified Extensible Firmware Interface)-bootkit kalt BlackLotus har blitt det første offentlig kjente skadelige programmet som er i stand til å omgå Secure Boot-forsvar i Windows 11. Dette bootkit kan kjøres selv på fullt oppdaterte Windows 11-systemer med UEFI Secure Boot aktivert, opplyste det slovakiske cybersikkerhetsselskapet ESET i en rapport delt med The Hacker News. UEFI-bootkits blir implementert i system-fastvaren og gir full kontroll over operativsystemets oppstartprosess, slik at det er mulig å deaktivere sikkerhetsmenkanismer på OS-nivå og injisere skadelig programvare under oppstart med høyere rettigheter.
Referanser
https://thehackernews.com/2023/03/blacklotus-[...] https://www.welivesecurity.com/2023/03/01/bla[...]

NSM: Tjenestenekt-angrep mot norske virksomheter

Nasjonal sikkerhetsmyndighet (NSM) bekrefter torsdag formiddag at de er kjent med tjenestenekt-angrep mot norske virksomheter. Nettsidene til NSM var nede kl 11:30. Ifølge overvåkningsnettsiden Check-host.net, er det den prorussiske hackergruppen NoName05716 som står bak angrepene.
Referanser
https://www.dagbladet.no/studio/nyhetsstudio/[...] https://www.digi.no/artikler/nasjonal-sikkerh[...]

2023.03.01 - Nyhetsbrev

Cyfirma har skrevet en analyse av Exfiltrator-22. Amerikanske Dish Network utsatt for Ransomware.

Cyfirma har skrevet en analyse av Exfiltrator-22

Sikkerhetsfirmaet Cyfirma har skrevet en preliminær analyse av rammeverket Exfiltrator-22, som brukes som et verktøy etter initiell kompromittering i konkurranse med f.eks. Cobalt Strike. Verktøyet støtter blant annet reverse shell, opp og nedlasting av filer, skjermskudd, live overvåking av brukere og dumping av tilgangsnøkler. Cyfirma mener at de som har utviklet verktøyet kommer fra Asia. Rammeverket leveres som en tjeneste og er utviklet for å være så usynlig som mulig for sikkerhetsprogramvare.
Referanser
https://www.cyfirma.com/outofband/exfiltrator[...] https://www.darkreading.com/threat-intelligen[...]

Amerikanske Dish Network utsatt for Ransomware

Satellitt-TV leverandøren Dish Networks kan melde om at deres nylige nettverks- og tjenesteavbrudd skyldes ransomware. Angrepet har påvirket Dish.com, Dish Anywhere-appen, Boost Mobile (et datterselskap eid av Dish Wireless) og flere andre tjenester. Kunder har også rapportert at selskapets kundesenter ikke var tilgjengelige. Dish Network skyldte først på VPN-problemer, ifølge The Verge. BleepingComputer fikk imidlertid tilgang til et internt notat sendt til Dish-ansatte om at nedetiden var forårsaket av en ekstern trusselaktør. Aktøren Black Basta skal stå bak angrepet og det meldes at VMware ESXi-servere er rammet.
Referanser
https://www.bleepingcomputer.com/news/securit[...]