Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday 26 May 2023

2023.05.26 - Nyhetsbrev

HelseCERT varsler om kritiske svakheter i Zyxel-brannmurer som utnyttes aktivt. Mandiant har analysert russisk OT-malware som retter seg mot kraftforsyning. Cisco Talos og Citizen Lab har analysert overvåkingsprogramvaren PREDATOR. Microsoft-tjeneste for kryptering av epost misbrukes til phishing. Botnettet Dark Frost retter seg mot spillindustrien. Kripos mener å ha oppklart løsepenge-angrepet mot Hydro.

HelseCERT varsler om kritiske svakheter i Zyxel-brannmurer som utnyttes aktivt

Dette varselet gjelder sårbarheter i Zyxel brannmur, og er kritisk for de som benytter produktet. Kode for utnyttelse av en av sårbarhetene, CVE-2023-28771. er nå offentlig tilgjengelig og sårbarheten blir aktivt utnyttet i stor skala.

Sårbare enheter bør umiddelbart oppdateres, kobles av nett eller sette på begrensninger mot UDP/500 for å unngå kompromittering. Gå igjennom loggdata på enheten for å se etter spor etter kompromittering, evt nullstill enheten.

En potensiell måte å sjekke om noen har forsøkt å utnytte enheten er å se etter en melding tilsvarende denne i loggfilen /tmp/sdwan_vpndebug.log:
[05/19 17:38:14] vpn_info: [cgnat] 4th cgnat convert wrong

Siste og anbefalt patch-level er:
- ATP, USG FLEX og VPN - patch ZLD v5.36 Patch2
- ZyWall/USG - patch ZLD v4.73 Patch 2
Referanser
https://www.zyxel.com/global/en/support/secur[...]
https://cyberplace.social/@GossiTheDog/110428[...]
https://thehackernews.com/2023/05/zyxel-issue[...]

Mandiant har analysert russisk OT-malware som retter seg mot kraftforsyning

Mandiant har foretatt en analyse av malware som retter seg mot industrielle styresystemer. Malwaren har fått navnet "CosmicEnergy" og retter seg mot enhetene IEC 60870-5-104 (IEC-104) ved å sende kommandoer for å slå av og på strømkretser. På denne måten kan en oppnå ustabilitet og kanskje brudd i strømforsyningen. Malwaren krever manuelt arbeid for å kunne fungere og stammer fra 2021. Mandiant tror også at malwaren kan ha vært benyttet internt i Russland for øvelser.
Referanser
https://www.mandiant.com/resources/blog/cosmi[...]
https://www.securityweek.com/new-russia-linke[...]

Cisco Talos og Citizen Lab har analysert overvåkingsprogramvaren PREDATOR

Cisco og Citizen Lab har i samarbeid analysert PREDATOR, en komersiell overvåkingsprogamvare som selges av Intellexa til myndigheter i flere land. Det finnes versjoner både for iOS og Android, men det er Android-versjonen som er analysert her. PREDATOR har vært tilgjengelig siden 2019 og er basert på Python-moduler. Google avslørte i 2021 at fem svakheter på rad ble brukt for å installere denne programvaren på Android-mobiler.
Referanser
https://blog.talosintelligence.com/mercenary-[...]
https://blog.google/threat-analysis-group/pro[...]

Microsoft-tjeneste for kryptering av epost misbrukes til phishing

Trustwave har sett på et phishing-angrep som benytter seg av Microsoft-tjenesten "Encrypted Restricted Permission Messages" for å levere epostene-sine. For å sende epostene brukes kompromitterte Microsoft 365-kontoer.

For å stoppe denne typen angrep kan det være smart å stoppe eposter med .rpmsg-vedlegg fra eksterne kontakter og slå på sterk multi-faktor autentisering.
Referanser
https://www.trustwave.com/en-us/resources/blo[...]

Botnettet Dark Frost retter seg mot spillindustrien

Et nytt botnett kalt Dark Frost har blitt brukt til å utføre DDoS-angrep mot spillindustrien. Målene har vært spillprodusenter, selskaper som hoster servere, streamere og enkeltspillere. Botnettet bestod i februar av 414 maskiner og kan generere angrep opp mot 629Gbps gjennom UDP-floods. Det virker som om aktøren bak botnettet er en enkeltperson som ofte skryter av angrepene og streamer angrepene live. Akamai har skrevet om saken for å vise hvor enkelt det er å utføre DDoS-angrep i dag, selv for lite sofistikerte aktører.
Referanser
https://thehackernews.com/2023/05/dark-frost-[...]
https://www.akamai.com/blog/security-research[...]

Kripos mener å ha oppklart løsepenge-angrepet mot Hydro

Kripos har funnet dem som sto bak løsepenge-angrepet mot Hydro og mener at «Norges største datakrim-sak» er oppklart. Det gjenstår å få domfelt de ansvarlige.
Referanser
https://e24.no/naeringsliv/i/EQ5m6K/kripos-me[...]

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.

 
>