2023.05.31 - Nyhetsbrev

Barracuda nulldags-sårbarhet utnyttet siden 2022. Android-apper med spyware lastet ned 421 millioner ganger. Ny sårbarhet i MacOS kan la root-bruker ødelegge systemts integritet.

Barracuda nulldags-sårbarhet utnyttet siden 2022

25. mai hadde vi en sak om en nulldags-sårbarhet i Barracuda Email Security Gateway (ESG). Det har kommet en patch for svakhetene, men Barracuda melder nå at svakheten allerede hadde blitt utnyttet i syv måneder da den ble oppdaget. Mange ESG-enheter har derfor en bakdør installert med tilgang til kundenes eposter. Kunder som er rammet av sårbarheten skal ha blitt varslet direkte av Barracuda.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Android-apper med spyware lastet ned 421 millioner ganger

Doctor Web har oppdaget at et reklame-rammeverk for Android inneholder spyware som kan samle inn og eksfiltrere filer og informasjon fra clip-board fra enheter det er installert på. Rammeverket er inkludert i flere populære apper på Google Play og har fått navnet "SpinOk". Normalt viser rammeverket reklame og diverse mini-spill. Det har også funksjonalitet for ikke å utføre ondsinnet aktivitet dersom det kjøres i simulerte miljøer. Google har nå slettet appene som inneholdt SpinOk fra Google Play Store.
Referanser
https://news.drweb.com/show/?i=14705&lng=en

Ny sårbarhet i MacOS kan la root-bruker ødelegge systemts integritet

Microsoft har oppdaget en ny svakhet i MacOS som de har kalt "Migraine". Svakheten gjør det mulig for en root-bruker å omgå System Integrity Protection (SIP), som er innebygd funksjonalitet for å garantere for integriteten til operativsystemet. Svakheten kan gjøre det mulig for angripere å installere usynlige rootkits og utvide sin angrepsflate mot operativsystemet.
Referanser
https://www.microsoft.com/en-us/security/blog[...]

2023.05.30 - Nyhetsbrev

Trend Micro skriver om Bandit Stealer, en ny informasjons-stjeler som retter seg mot nettlesere og krypto-lommebøker.

Trend Micro skriver om Bandit Stealer, en ny informasjons-stjeler

Trend Micro har publisert en analyse av en ny informasjons-stjeler de har oppdaget kalt Bandit Stealer. Verktøyet er skrevet i språket "Go" og er laget for å høste informasjon fra flere nettlesere og krypto-lommebøker. Det fungerer foreløpig kun på Windows og det reklameres for verktøyet på undergrunns-fora.
Referanser
https://www.trendmicro.com/en_us/research/23/[...]

2023.05.26 - Nyhetsbrev

HelseCERT varsler om kritiske svakheter i Zyxel-brannmurer som utnyttes aktivt. Mandiant har analysert russisk OT-malware som retter seg mot kraftforsyning. Cisco Talos og Citizen Lab har analysert overvåkingsprogramvaren PREDATOR. Microsoft-tjeneste for kryptering av epost misbrukes til phishing. Botnettet Dark Frost retter seg mot spillindustrien. Kripos mener å ha oppklart løsepenge-angrepet mot Hydro.

HelseCERT varsler om kritiske svakheter i Zyxel-brannmurer som utnyttes aktivt

Dette varselet gjelder sårbarheter i Zyxel brannmur, og er kritisk for de som benytter produktet. Kode for utnyttelse av en av sårbarhetene, CVE-2023-28771. er nå offentlig tilgjengelig og sårbarheten blir aktivt utnyttet i stor skala. Sårbare enheter bør umiddelbart oppdateres, kobles av nett eller sette på begrensninger mot UDP/500 for å unngå kompromittering. Gå igjennom loggdata på enheten for å se etter spor etter kompromittering, evt nullstill enheten. En potensiell måte å sjekke om noen har forsøkt å utnytte enheten er å se etter en melding tilsvarende denne i loggfilen /tmp/sdwan_vpndebug.log: [05/19 17:38:14] vpn_info: [cgnat] 4th cgnat convert wrong Siste og anbefalt patch-level er: - ATP, USG FLEX og VPN - patch ZLD v5.36 Patch2 - ZyWall/USG - patch ZLD v4.73 Patch 2
Referanser
https://www.zyxel.com/global/en/support/secur[...] https://cyberplace.social/@GossiTheDog/110428[...] https://thehackernews.com/2023/05/zyxel-issue[...]

Mandiant har analysert russisk OT-malware som retter seg mot kraftforsyning

Mandiant har foretatt en analyse av malware som retter seg mot industrielle styresystemer. Malwaren har fått navnet "CosmicEnergy" og retter seg mot enhetene IEC 60870-5-104 (IEC-104) ved å sende kommandoer for å slå av og på strømkretser. På denne måten kan en oppnå ustabilitet og kanskje brudd i strømforsyningen. Malwaren krever manuelt arbeid for å kunne fungere og stammer fra 2021. Mandiant tror også at malwaren kan ha vært benyttet internt i Russland for øvelser.
Referanser
https://www.mandiant.com/resources/blog/cosmi[...] https://www.securityweek.com/new-russia-linke[...]

Cisco Talos og Citizen Lab har analysert overvåkingsprogramvaren PREDATOR

Cisco og Citizen Lab har i samarbeid analysert PREDATOR, en komersiell overvåkingsprogamvare som selges av Intellexa til myndigheter i flere land. Det finnes versjoner både for iOS og Android, men det er Android-versjonen som er analysert her. PREDATOR har vært tilgjengelig siden 2019 og er basert på Python-moduler. Google avslørte i 2021 at fem svakheter på rad ble brukt for å installere denne programvaren på Android-mobiler.
Referanser
https://blog.talosintelligence.com/mercenary-[...] https://blog.google/threat-analysis-group/pro[...]

Microsoft-tjeneste for kryptering av epost misbrukes til phishing

Trustwave har sett på et phishing-angrep som benytter seg av Microsoft-tjenesten "Encrypted Restricted Permission Messages" for å levere epostene-sine. For å sende epostene brukes kompromitterte Microsoft 365-kontoer. For å stoppe denne typen angrep kan det være smart å stoppe eposter med .rpmsg-vedlegg fra eksterne kontakter og slå på sterk multi-faktor autentisering.
Referanser
https://www.trustwave.com/en-us/resources/blo[...]

Botnettet Dark Frost retter seg mot spillindustrien

Et nytt botnett kalt Dark Frost har blitt brukt til å utføre DDoS-angrep mot spillindustrien. Målene har vært spillprodusenter, selskaper som hoster servere, streamere og enkeltspillere. Botnettet bestod i februar av 414 maskiner og kan generere angrep opp mot 629Gbps gjennom UDP-floods. Det virker som om aktøren bak botnettet er en enkeltperson som ofte skryter av angrepene og streamer angrepene live. Akamai har skrevet om saken for å vise hvor enkelt det er å utføre DDoS-angrep i dag, selv for lite sofistikerte aktører.
Referanser
https://thehackernews.com/2023/05/dark-frost-[...] https://www.akamai.com/blog/security-research[...]

Kripos mener å ha oppklart løsepenge-angrepet mot Hydro

Kripos har funnet dem som sto bak løsepenge-angrepet mot Hydro og mener at «Norges største datakrim-sak» er oppklart. Det gjenstår å få domfelt de ansvarlige.
Referanser
https://e24.no/naeringsliv/i/EQ5m6K/kripos-me[...]

2023.05.25 - Nyhetsbrev

Microsoft og NSA advarer mot kinesiske pågående angrep mot kritisk infrastruktur. Barracuda advarer mot nulldags-sårbarhet i deres Email Security Gateway (ESG). Android-app for video-opptak av skjermen inneholdt malware.

Barracuda advarer mot nulldags-sårbarhet i deres Email Security Gateway (ESG)

Barracuda advarer mot sårbarheten (CVE-2023-2868) som allerede brukes til angrep mot deres ESG. Svakheten ligger i en modul som utfører scanning av vedlegg i innkommende eposter, og kan dermed utnyttes ved å sende en spesielt utformet epost gjennom enheten. En patch ble sendt ut 20. mai, men noen enheter var da allerede kompromittert. Enheter som ble rammet skal ha fått et varsel om dette i bruker-interfacet med instruksjoner om hva de skal gjøre videre. Firmaets skytjenester (Saas) skal ikke være rammet.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://status.barracuda.com/incidents/34kx82[...]

Microsoft og NSA advarer mot kinesiske pågående angrep mot kritisk infrastruktur

Microsoft og NSA har avdekket godt skjulte og målrettede angrep mot kritisk infrastruktur i USA. Angrepene fokuserer på å få tilgang til innloggingsdetaljer og kartlegging av nettverk og systemer. Angrepene er utført av en kinesisk aktør som har fått navnet Volt Typhoon. Målet med angrepene kan være å forstyrre kritisk kommunikasjon mellom USA og Asia i forbindelse med en kommende krise, som f.eks. en utvidet konflikt mellom Kina og Taiwan. Aktøren vil gjerne oppnå aksess til systemer i flere sektorer, uten å bli avslørt. Første tilgang til nettverk har ofte blitt gjort gjennom Fortinet FortiGuard-enheter med svakheter. Aktøren legger stor vekt på å opptre så skjult som mulig. Dette gjøres blant annet gjennom å nesten utelukkende basere seg på lovlige verktøy som er innebygd i systemene som angripes (Living of the Land), manuelt arbeid via tastaturet og ved å opprette forbindelser fra IP-adresser som er i fysisk nærhet til målet, f.eks kompromitterte hjemme-routere og VPN-utstyr.
Referanser
https://www.microsoft.com/en-us/security/blog[...] https://media.defense.gov/2023/May/24/2003229[...] https://www.darkreading.com/endpoint/-volt-ty[...]

Android-app for video-opptak av skjermen inneholdt malware

Google har fjernet appen "iRecorder - Screen Recorder" fra Play Store etter at det ble oppdaget at den tok opp lyd uten grunn og sendte ut filer fra telefoner. Appen hadde over 50.000 nedlastinger og ble først lastet opp i 2021, da uten malware-funksjonalitet. Den uønskede oppførselen til appen begynte antageligvis med versjon 1.38, som ble gitt ut 24 august 2022. Malware-funksjonaliteten i appen er basert på AhMyth, som er en RAT (Remote Access Trojan) basert på åpen kildekode for Android.
Referanser
https://arstechnica.com/information-technolog[...] https://www.welivesecurity.com/2023/05/23/and[...]

2023.05.24 - Nyhetsbrev

Det amerikanske finansdepartementet sanksjonerer fire Nord-koreanske organisasjoner.

Det amerikanske finansdepartementet sanksjonerer Nord-koreanske organisasjoner

Det amerikanske finansdepartementet sanksjonerer fire organisasjoner som utfører cyber-angrep og tjener penger for Nord-Korea. Tusenvis av IT-arbeidere fra Nord-Korea får på uærlig vis jobb hos firmaer i utlandet og tjener penger på vegne av regimet. Arbeiderne operer med falske identiteter og utfører arbeidet over Internett eller jobber fra Russland eller Kina. Mye av pengene går til Nord-Koreas våpenprogram.
Referanser
https://therecord.media/north-korea-sanctions[...] https://home.treasury.gov/news/press-releases[...]

2023.05.23 - Nyhetsbrev

Tyske Rheinmetall bekrefter ransomware-angrep fra Black Basta. Mandiant med bloggpost om hvordan @-symbolet kan misbrukes til phishing.

Tyske Rheinmetall bekrefter ransomware-angrep fra Black Basta

Forrige måned rapporterte det tyske konsernet Rheinmetall at de var rammet av en sikkerhetshendelse. Firmaet bekreftet på mandag at angrepet var ransomware og at aktøren Black Basta står bak. Talspersoner for firmaet opplyser at det kun er den sivile delen av virksomheten som er rammet.
Referanser
https://therecord.media/rheinmetall-confirms-[...]

Mandiant med bloggpost om hvordan @-symbolet kan misbrukes til phishing

Mandiant melder at flere typer malware benytter seg av @-symbolet i URLer for å obfuskere hvor hvilken nettside adressen egentlig peker på. Metoden kan også forvirre sikkerhetsprodukter og logging ved at feil URL blir trekt ut. hxxp://google.com@1157586937 sender for eksempel brukeren til en IP-adresse, ikke google.com. Teksten før @ tolkes her som et brukernavn og tallet bak symbolet er en IP-adresse på et uvanlig format. Teknikken er ikke ny, men ukjent for mange.
Referanser
https://www.mandiant.com/resources/blog/url-o[...]

2023.05.22 - Nyhetsbrev

Svakhet i Samsung-mobiler utnyttes aktivt

Amerikanske CISA melder at en svakhet som ble patchet av Samsung i deres mai-oppdatering utnyttes aktivt i angrep. Svakheten har fått benevnelsen CVE-2023-21492 og gjør det mulig å unngå beskyttelses-funksjonaliteten ASLR (Address Space Layout Randomization) i telefonene. Videre detaljer om svakheten er ikke kjent. Svakheten blir muligens brukt i avanserte angrep med flere sammenkjedede svakheter, siden svakheten i seg selv ikke kan kompromittere en telefon.
Referanser
https://thehackernews.com/2023/05/samsung-dev[...] https://security.samsungmobile.com/securityUp[...]

Microsoft ser oppsving i BEC-svindel

Microsoft har sluppet den fjerde utgaven av Cyber Signals. Her skriver de om en økning i svindel gjort ved hjelp av BEC - Business Email Compromise. Ved denne svindelmetoden bruker angriperne forskjellige metoder via epost, telefon-oppringninger og sosiale medier, typisk for å lure til seg penger fra bedrifter. Microsoft anbefaler sikre epost-løsninger, å beskytte identiteter, trening av ansatte og å bruke en sikret betalingsplattform for å motvirke svindel-forsøkene. Også mange norske bedrifter og offentlige institusjoner har blitt rammet av denne typen angrep de siste årene.
Referanser
https://www.microsoft.com/en-us/security/blog[...]

Android-telefoner er sårbare mot gjetting av fingeravtrykk

Kinesiske forskere har funnet ut at mange Android-telefoner har to sårbarheter som gjør at det er mulig å prøve seg fram med tusenvis av fingeravtrykk for å åpne en sperret telefon. De har brukt to ferske svakheter til å oppnå dette, siden telefonene normalt skal sperres etter et visst antall forsøk. Angrepet krever spesialisert hardware og fysisk tilgang til en mobil i flere timer for å lykkes.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2023.05.19 - Nyhetsbrev

Apple adresserer tre nye null-dag-sårbarheter utnyttet i angrep mot iPhones, Macs og iPads

Apple har adressert tre nye null-dag-sårbarheter som er blitt utnyttet i angrep for å bryte seg inn i iPhones, Macs, og iPads. Disse sikkerhetsfeilene, som er funnet i WebKit-nettlesermotoren, er kjent som CVE-2023-32409, CVE-2023-28204 og CVE-2023-32373. Sårbarhetene kan utnyttes til å bryte ut av nettleserens sandkasse for isolering og dermed få tilgang til sensitiv informasjon samt kjøre vilkårlig programkode på kompromitterte enheter. Apple fikset disse null-dag-sårbarhetene i flere programvareoppdateringer, inkludert macOS Ventura 13.4, iOS og iPadOS 16.5, tvOS 16.5, watchOS 9.5, og Safari 16.5. Selskapet delte imidlertid ikke noe informasjon om de spesifikke angrepene
Referanser
https://www.bleepingcomputer.com/news/apple/a[...]

2023.05.16 - Nyhetsbrev

11 nye sårbarheter i routere eksponerer OT-nettverk. ProofPoint om hackernes tilpasning etter at Microsoft sperret makroer.

11 nye sårbarheter i routere eksponerer OT-nettverk

Flere sårbarheter har blitt avslørt i sky admin plattformer knyttet til tre industrielle mobilruterleverandører som kan utsette OT-nettverk for eksterne angrep. Funnene ble presentert av det israelske selskapet OTORIO på Black Hat Asia 2023-konferansen forrige uke. De 11 sårbarhetene tillater ekstern kjøring av kode og full kontroll over hundretusenvis av enheter og OT-nettverk. Spesifikt finnes svakhetene i de skybaserte løsningene som tilbys av Sierra Wireless, Teltonika Networks og InHand Networks for fjernadministrasjon og drift av enheter. Utnyttelse av sårbarhetene kan utgjøre alvorlig risiko for industrielle miljøer og tillate angripere å omgå sikkerhetslag og eksfiltrere sensitiv informasjon, samt oppnå ekstern kjøring av kode på interne nettverk. Se rapporten for flere detaljer.
Referanser
https://thehackernews.com/2023/05/industrial-[...] https://www.otorio.com/news-events/news/vulne[...]

ProofPoint om hackernes tilpasning etter at Microsoft sperret makroer

I flere år var den dominerende teknikken for å få installert malware på Windows-maskiner å sende Office-dokumenter med makroer. Etter å ha lurt brukeren til å aktivere makroer, lastet disse ned malware og åpnet bakdører i maskinen. I 2022 sperret endelig Microsoft denne muligheten. ProofPoint har nå gitt ut en rapport som omhandler hackernes tilpasning til denen endringen. De har blant annet gått over til å benytte container-filer som .zip og .iso, html-vedlegg, samt PDFer og OneNote-filer med lenker. Foreløpig er det ingenting som er like effektivt for trusselaktørene som makroer en gang var.
Referanser
https://www.darkreading.com/application-secur[...] https://www.proofpoint.com/us/blog/threat-ins[...]

2023.05.15 - Nyhetsbrev

Det har vært en rolig helg.

Det er ingen nye saker siden sist.

2023.05.12 - Nyhetsbrev

ABB rammet av ransomware-angrep

ABB rammet av ransomware-angrep

Det sveitsiske multinasjonale selskapet ABB har blitt rammet av ransomware-aktøren Black Basta. Angrepet ble oppdaget 7. mai. Flere ansatte har informert Bleeping Computer om at angrepet har rammet interne systemer, inkludert Active Directory. ABB skal ha terminert flere VPN-forbindelser til partnere for å hindre spredning av hendelsen.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2023.05.11 - Nyhetsbrev

Sikkerhetsselskapet Dragos utsatt for datainnbrudd. Haaretz skriver om Andreas Fink som misbruker mobilnett over hele verden. Ny sårbarhet i Linux-kjernen gir potensielt angripere root-rettigheter.

Sikkerhetsselskapet Dragos utsatt for datainnbrudd

OT-Sikkerhetsselskapet Dragos har avslørt at de ble utsatt for et datainnbrudd og et forsøk på utpressing, etter at en trusselaktør tok seg inn i deres SharePoint-instans. Innbruddet skal ikke ha rammet noen av deres interne systemer. Dragos regner med at noen stjålne data (rapporter ment for betalende kunder) kanskje vil bli offentliggjort, ettersom de ikke har betalt løsepengene som angriperne krever. Dragos hevder at de har tatt nødvendige skritt for å sikre deres systemer. Selskapet undersøker nå angrepet og samarbeider med myndighetene for å finne ut av hva som skjedde.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Haaretz skriver om Andreas Fink som misbruker mobilnett over hele verden

Den israelske avisen Haaretz skriver om sveitsiske Andreas Fink. Han selger en tjeneste til myndigheter og overvåkingsfirmaer som gjør det mulig å geo-lokalisere mobilbrukere over hele verden. I noen tilfeller har firmaet hans også re-routet SMS-meldinger som har blitt brukt til å ta over WhatsApp-kontoer.
Referanser
https://www.haaretz.com/israel-news/security-[...]

Ny sårbarhet i Linux-kjernen gir potensielt angripere root-rettigheter

En ny sårbarhet i Linux-kjernen (CVE-2023-32233) ble oppdaget som potensielt kan gi angripere root-rettigheter på sårbare systemer. Sårbarheten er relatert til Netfilter, som er en funksjon i Linux som håndterer nettverkspakker. En angriper kan utnytte sårbarheten ved å sende spesielt utformede nettverkspakker til et målsystem. Angripere kan utnytte sårbarheten til å eskalere rettighetene sine til root-bruker. Linux kjerne-teamet har blitt varslet om sårbarheten og arbeider med å utvikle en løsning. Utnyttelseskode er ikke offentlig tilgjengelig.
Anbefaling
Det anbefales at brukere av Linux holder systemene sine oppdatert og følger med på offisielle kanaler for oppdateringer og patches for å beskytte seg mot denne sårbarheten.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2023.05.10 - Nyhetsbrev

Myndigheter fra flere land har aksjonert mot russisk Snake-malware. Microsoft patche-tirsdag tar for seg 49 sårbarheter. SAP lukker 18 sikkerhetshull i månedlig oppdatering. Mozilla fikser 13 sårbarheter i Firefox 113 og Firefox ESR.

Microsoft patche-tirsdag tar for seg 49 sårbarheter

I Microsofts patche-tirsdag for mai blir 49 sårbarheter patchet, 6 av disse er regnet som kritiske og 2 blir allerede utnyttet, ifølge Microsoft. En av de utnyttede sårbarhetene gir tilgang til utvidede rettigheter lokalt på et system (CVE-2023-29336). Den andre utnyttede sårbarheten ligger i omgåelse av "Secure Boot" (CVE-2023-24932). En angriper med fysisk tilgang og administratorrettigheter til en enhet, kan boote maskinen fra andre kilder enn de som er tilgjengelig i Windows Boot Manager. Det er én kritisk svakhet i Windows NFS (CVE-2023-24941). Denne sårbarheten kan utnyttes over nettverket, men NFS er som standard ikke slått på i Windows. Sårbarheten har imidlertid fått en CVSS-score på 9.8, så brukere av denne tjenesten bør ta tak i denne svakheten umiddelbart. En annen kritisk sårbarhet som er verdt å nevne, er en RCE (Remote Code Exectuion) som påvirker Windows Lightweight Directory Access Protocol (LDAP) (CVE-2023-28283). En ikke-autentisert angriper som utnytter denne sårbarheten, kan oppnå kjøring av kode ved hjelp av en spesielt utformet sekvens av LDAP-kall for å kjøre vilkårlig kode.
Referanser
https://isc.sans.edu/diary/Microsoft+May+2023[...] https://portal.msrc.microsoft.com/en-us/secur[...]

SAP lukker 18 sikkerhetshull i månedlig oppdatering

SAP tetter hele 18 sikkerhetshull i deres månedlige oppdatering. Se referanse-link for mer info.
Referanser
https://dam.sap.com/mac/app/e/pdf/preview/emb[...]

Mozilla fikser 13 sårbarheter i Firefox 113 og Firefox ESR

Mozilla har sluppet oppdatering for å fikse 13 sårbarheter for Firefox 113 og Firefox ESR 102.11. 5 av disse sårbarhetene har blitt kategorisert med høy viktighet. 7 har blitt kategorisert som moderate og 1 lav.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

Myndigheter fra flere land har aksjonert mot russisk Snake-malware

Myndigheter fra USA og allierte land offentliggjorde i går at de hadde gjennomført en aksjon mot Snake-malwaren. Det er den russiske aktøren Turla som har benyttet malwaren i stadig nyere varianter de siste 20 årene. Den russiske sikkerhetstjenesten FBS står bak Turla. Snake brukes for spionasje og er designet for å ikke bli oppdaget. USA har imidlertid klart å avsløre nettverket og har dekodet kommandoene som brukes av kontroll-serverne. Dette har blitt brukt til å sende en kommando til infiserte servere i USA som har uskadeliggjort malwaren. I forbindelse med aksjonen har det blitt gitt ut en detaljert gjennomgang av malwaren og hvordan en beskytter seg mot den.
Referanser
https://therecord.media/turla-snake-russia-ma[...] https://www.nsa.gov/Press-Room/Press-Releases[...] https://www.cisa.gov/sites/default/files/2023[...]

2023.05.09 - Nyhetsbrev

NSM har gitt ut sine sikkerhetsfaglige råd fram mot 2030. Det Amerikanske Justisdepartementet beslaglegger 13 DDoS-domener

NSM har gitt ut sine sikkerhetsfaglige råd fram mot 2030

Sikkerhetsfaglig råd tar for seg de viktigste sikkerhetsutfordringene frem mot 2030 og hvordan Norge kan stå best mulig rustet til å møte dem. Rådet beskriver sikkerhetstrender for de neste årene, utdyper sikkerhetsutfordringene Norge står overfor og deler NSMs anbefalinger for å oppnå et forsvarlig sikkerhetsnivå. Anbefalingene omfatter relevante tiltak som departementer, etater og virksomheter bør iverksette. Rådet foreslår blant annet å styrke kompetansen på fagområder som har betydning for nasjonal sikkerhet som kryptografi, cyber og kvanteteknologi. Det er også nødvendig å bedre sikkerhetsstyringen på tvers av sektorer, både offentlig og privat.
Referanser
https://nsm.no/regelverk-og-hjelp/rapporter/s[...] https://www.nrk.no/tromsogfinnmark/nsm-varsle[...]

Det Amerikanske Justisdepartementet beslaglegger 13 DDoS-domener

Det Amerikanske Justisdepartementet har beslaglagt domenene til 13 tjenester som selger DDoS-angrep som en del av en pågående innsats for å bekjempe denne trusselen mot Internett. Tilbyderne av disse ulovlige tjenestene beskriver dem som "booter"- eller "stressor"-tjenester som lar nettstedseiere teste robustheten og stabiliteten til infrastrukturen deres. Disse tjenestene blir ofte benyttet av personer som ønsker å hevne seg på nettsteder, medspillere i online-spill eller for å drive utpressing. Det internasjonale initiativet er kjent som Operasjon PowerOFF. I desember 2022 beslagla føderale myndigheter 48 andre domener. 10 av de 13 domenene som ble beslaglagt i dag, er nye versjoner av DDoS-tjenester som ble beslaglagt under en tidligere aksjon i desember, som gikk mot 48 slike nettsteder.
Referanser
https://arstechnica.com/information-technolog[...]

2023.05.08 - Nyhetsbrev

Fortinet har sluppet oppdateringer. MSI sine private signeringsnøkler lekket etter ransomware-angrep.

Fortinet har sluppet oppdateringer

HelseCERT melder at Fortinet 03.05.2022 publiserte et varsel om sårbarheter i FortiOS, FortiProxy, FortiADC og FortiNAC. Vellykket utnyttelse av de mest alvorlige sårbarhetene muliggjør blant annet: - vilkårlig kodeeksekvering for en autentisert bruker i FortiOS og FortiProxy (CVE-2023-22640, CVSS 7.1) - kodeeksekvering for en autentisert bruker i FortiADC (CVE-2023-27999, CVSS 7.6)
Referanser
https://www.fortiguard.com/psirt-monthly-advi[...]

MSI sine private signeringsnøkler lekket etter ransomware-angrep

Hardware-leverandøren MSI ble utsatt for et ransomware-angrep for noen uker siden. Aktøren bak angrepet, Money Message, har nå lekket diverse interne data fra selskapet, inkludert de interne signerings-nøklene for firmaets firmware-oppdateringer. Disse nøklene kan dermed brukes til å signere oppdateringer og få disse godkjent av Intel Boot Guard og dermed ta full kontroll over PCer med MSI-hovedkort. Vi anbefaler å være forsiktig med å installere programvare generelt fra MSI til saken er avklart og nye nøkler er tatt i bruk.
Referanser
https://www.pcmag.com/news/hackers-leak-priva[...] https://www.tomshardware.com/news/msi-bootgua[...]

2023.05.05 - Nyhetsbrev

Hackere har begynt å bruke dobbel DLL-injeksjon. ChatGPT sin popularitet brukes for å spre skadevare. Ransomware-gjeng bruker nødmeldings-system for å true universitet.

Oppsummering av nyhetsbildet innen datasikkerhet for april 2023

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for april 2023. Denne måneden skriver vi blant annet om historiens første doble forsyningskjede-angrep og en ny metode for å utføre DDoS-angrep som kan forsterke angrepet 2200 ganger!
Referanser
https://telenorsoc.blogspot.com/2023/05/oppsu[...]

Hackere har begynt å bruke dobbel DLL-injeksjon

Hackere har lenge injisert DLL-filer (dynamiske biblioteker) med malware inn i legitime programmer på systemer for å skjule seg fra sikkerhetsprogramvare. En trusselaktør kalt "Dragon Breath" utvider nå dette ved først å laste en legitim DLL og deretter bruke denne igjen til å laste inn en DLL med malware for å unngå deteksjon.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

ChatGPT sin popularitet brukes for å spre skadevare

Ondsinnede aktører har en tendens til å utnytte populære fenomener og tjenester i sitt virke, og den mye omtalte chatboten ChatGPT er intet unntak, viser det seg. I løpet av de siste månedene har Facebook etterforsket og gått til aksjon mot skadevarefamilier som utnytter folks interesse for OpenAIs ChatGPT for å lure dem til å installere skadevare som utgir seg for å ha AI-funksjonalitet. Ofte er det nettleser-tillegg som brukes for å infisere brukerne.
Referanser
https://www.digi.no/artikler/slik-brukes-chat[...]

Ransomware-gjeng bruker nødmeldings-system for å true universitet

Ransomware-gjengen Avos har angrepet Bluefield University i USA. 30. april ble studenter og ansatte advart av universitet at de hadde vært utsatt for et data-angrep og at eksamener hadde blitt utsatt. Det skulle imidlertid være trygt å bruke de interne systemene. 1. mai viste det seg imidlertid at angriperne fortsatt hadde tilgang til nettverket, da universitetets eget nødmeldings-system ble brukt til å true personale og studenter. Det gikk blant annet ut meldinger om at angriperne hadde lastet ned 1.2TB med data og at de hadde stjålet personsensitive opplysninger. I det siste har det blitt vanligere at ransomware-bander varsler sluttbrukerne for å få dem til å legge press på firmaer, universiteter osv. om å betale løsepengene.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2023.05.04 - Nyhetsbrev

Google implementerer passkeys for innlogging på sine tjenester. Chrome versjon 113 lansert med 15 sikkerhetsforbedringer.

Google implementerer passkeys for innlogging på sine tjenester

Google har nå slått på muligheten for å autentisere seg ved hjelp av passkeys for å logge inn på deres tjenester. En passkey er i praksis en privat nøkkel som legges på en autentisert enhet. Når nøkkelen først ligger på enheten kan en autentisere seg mot Google-tjenester ved hjelp av biometrisk innlogging (fingeravtrykk eller ansiktsgjenkjenning) eller en PIN-kode. Autentisering mot nye enheter kan gjennomføres ved å autentisere seg én gang på en eksisterende enhet med passkey for å godkjenne den nye enheten. På mange måter kan en sammenligne en passkey med en hardware-nøkkel for innlogging, som f.eks. Yubikeys. Passkeys gjør phishing-angrep svært vanskelig å gjennomføre, da nøkkelen binder brukeren til enheten den brukes fra. Det er heller ingen passord å miste lengre. Andre store aktører jobber også med å innføre passkeys for innlogging, og Apple innførte dette allerede i fjor.
Referanser
https://security.googleblog.com/2023/05/so-lo[...]

Ny Chrome-oppdatering: Versjon 113 lansert med 15 sikkerhetsforbedringer

Google har nylig lansert Chrome 113, en oppdatering av nettleseren som inneholder 15 sikkerhetsfikser. Disse retter kritiske sårbarheter og forbedrer den generelle ytelsen og stabiliteten til nettleseren. Google har belønnet eksterne forskere som har bidratt til å identifisere sårbarhetene gjennom sitt bug-bounty-program.
Anbefaling
Brukere oppfordres til å oppdatere til den nyeste versjonen av Chrome for å sikre at de er beskyttet mot potensielle trusler.
Referanser
https://www.securityweek.com/chrome-113-relea[...]

2023.05.03 - Nyhetsbrev

Google-annonser lurer bedriftsansatte til å installere LOBSHOT-bakdøren. Google og Apple går sammen om å stoppe Bluetooth-sporing. Hengelås-ikonet på krypterte nettsteder blir snart pensjonert.

Google-annonser lurer bedriftsansatte til å installere LOBSHOT-bakdøren

Trusselaktører benytter seg i økende grad av Google-annonser for å få tilgang på innsiden av bedriftsnettverk. Annonsene gir seg ut for å være legitime populære applikasjoner som brukere ofte laster ned til sine PCer, men offeret blir egentlig lurt til å laste ned en bakdør sammen med applikasjonen. Denne typen annonser havner over de vanlige søkeresultatene, og mange lar seg derfor lure. Denne typen tilganger blir typisk solgt videre på markedsplasser og brukt til spionasje eller utpressing.
Referanser
https://www.darkreading.com/remote-workforce/[...]

Google og Apple går sammen om å stoppe Bluetooth-sporing

Spesielt i USA har det vært problemer med at Bluetooth-trackere har blitt brukt til å spore intetanende ofre. Sporingsenheten blir typisk lagt i en lomme, festet til en bil osv. De to konkurrentene har nå gått sammen om en standard for hvordan denne typen sporing skal kunne hindres ved hjelp av varsling til offeret når denne typen enheter oppdages. Flere leverandører av sporingsenheter støtter standarden.
Referanser
https://security.googleblog.com/2023/05/googl[...]

Hengelås-ikonet på krypterte nettsteder blir snart pensjonert

En hengelås på en nettside var for noen år siden en sterk indikasjon på at nettsiden var trygg, siden sider med svindel og skadevare svært sjelden var sikret med SSL/TLS-kryptering. Etter hvert ble også forbindelsen til svindel-nettsider rutinemessig kryptert. Hengelåsen blir fortsatt misforstått av mange til å indikere at nettsiden er sikker, noe Google nå vil gjøre noe med. I løpet av de neste månedene vil hengelåsen bli byttet ut med et ikon for innstillinger i nettleseren Chrome, og nettlesere basert på Chromium. Google mener at en sikker forbindelse til en nettside nå bør være en selvfølge. Ved å trykke på ikonet kan brukeren få opp status på kryptering, tilgang til mikrofon, kamera, lokasjon osv.
Referanser
https://blog.chromium.org/2023/05/an-update-o[...]

2023.05.02 - Nyhetsbrev

Ny informasjons-stjeler for Mac: New Atomic macOS (AMOS) Stealer. Apple har sluppet sin første "hurtigfiks" for iOS/macOS. Hackere bryter seg inn i epost-kontoene til AT&T-kunder for å stjele kryptovaluta. Google har sluppet månedlig sikkerhetsoppdatering for Android.

Ny informasjons-stjeler for Mac: New Atomic macOS (AMOS) Stealer

Sikkerhetsfirmaet Cyble melder om en ny informasjons-stjeler for Mac kalt AMOS som er til salgs i Telegram-kanaler. Verktøyet er skrevet i Go og er vanskelig å oppdage. AMOS stjeler innloggings-informasjon fra Keychain, filer fra desktop og dokument-folderen, passord som auto-utfylles i nettleseren, informasjonskapsler og nøkler fra lommebøker for kryptovaluta. Verktøyet inkluderer også et administrasjons-grensesnitt som kan brukes til å holde oversikt over ofrene, gjennomføre passordgjetting mot krypto-lommebøker osv. Verktøyet kan leies for $1000 USD i måneden.
Referanser
https://blog.cyble.com/2023/04/26/threat-acto[...]

Apple har sluppet sin første "hurtigfiks" for iOS/macOS

Apple brukte på mandag for første gang sitt nye system for å slippe mindre, kjappe oppdateringer for alvorlige sikkerhetsfeil som utnyttes aktivt. I stedet for å utgi en helt ny versjon av operativsystemet, er dette mindre inkrementelle oppdateringer. Det er ikke klart hva oppdateringen utbedret.
Referanser
https://techcrunch.com/2023/05/01/apple-rapid[...]

Hackere bryter seg inn i epost-kontoene til AT&T-kunder for å stjele kryptovaluta

Hackere har i de siste ukene brutt seg inn i epost-kontoene til kunder av amerikanske AT&T. De har brukt tilgangene til å sette nye passord på diverse tjenester for handel av krypto-valuta, for deretter å overføre store verdier ut fra tjenestene. Det viser seg nå at innbruddsbølgen skyldes at noen fikk tilgang til å generere spesielle tilgangsnøkler for bruk i epost-klienter. AT&T opplyser at de nå har sperret denne tilgangen, som skyldtes at en trussel-aktør hadde fått API-aksess til interne systemer.
Referanser
https://techcrunch.com/2023/04/26/hackers-are[...]

Google har sluppet månedlig sikkerhetsoppdatering for Android

Google har sluppet sin vanlige oppdatering for Android som fikser en mengde svakheter i Android-operativsystemet, kjernen og tilhørende brikkesett. Den alvorligste svakheten denne måneden ligger i "Framework"-komponenten og kan føre til utvidede rettigheter på et sårbart system.
Referanser
https://source.android.com/docs/security/bull[...]