2023.06.30 - Nyhetsbrev

MITRE lanserer en ny liste over de 25 farligste feilene i programvare. Hackergruppe hevder å ha tatt ned Russisk satelittkommunikasjonsleverandør. Analyse av DDoS-verktøyet som NoName057 benytter: DDoSia.

MITRE lanserer en ny liste over de 25 farligste feilene i programvare

MITRE delte nylig en liste over de 25 farligste svakhetene i programvare de siste to årene. Svakhetene forekommer ved feil i kode, arkitektur, implementering eller design. Listen ble utformet ved å score hver svakhet på alvorlighetsgrad og forekomst. De tre største svakhetene er: "Out-of-bounds Write", "Cross-site Scripting", & "SQL injection".
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Hackergruppe hevder å ha tatt ned Russisk satelittkommunikasjonsleverandør

En tidligere ukjent hackergruppe hevder å stå bak et cyberangrep mot den russiske satelittkommunikasjonsleverandøren "Dozor-Teleport", som brukes av energiselskaper og landets forsvar- og sikkerhetstjenester. Nettverket skal ha vært nede siden onsdag kveld, og firmaets nettside er også utilgjengelig. Hackerene påstår at de har skadet noen av satellitterminalene, samt lekket konfidensiell informasjon fra selskapets servere.
Referanser
https://therecord.media/hackers-take-down-rus[...]

Analyse av DDoS-verktøyet som NoName057 benytter: DDoSia

Sikkerhetsselskapet Sekoia har sett på hacktivist-gruppen NoName057 og DDoS-verktøyet de benytter seg av, DDoSia. De har også sett på hvordan gruppen organiserer seg, hvordan verktøyet lastes ned, analyse av målene deres osv. Denne gruppen har flere ganger angrepet norske mål.
Referanser
https://blog.sekoia.io/following-noname05716-[...]

2023.06.29 - Nyhetsbrev

Anatsa trojaner spredt via falske apper i Google Play Store. Ny ransomware-gruppe kalt 8Base har vært svært aktiv i det siste.

Anatsa trojaner spredt via falske apper i Google Play Store

ThreatFabric rapporterer at Android-brukere fra minst fem land har blitt utsatt for en trusselkampanje, der falske apper fra Google Play Store brukes for å hente ut bankinformasjon. Den første falske appen ble oppdaget i mars 2023 der appen utga seg for å være en PDF-leser app. Totalt har det blitt funnet fem lignende apper, med den siste fremdeles tilgjengelig på Play Store. Ved hjelp av grafiske elementer som legger seg over andre apper, kan skadevaren stjele sensitiv informasjon som innloggingsnøkler, kredittkort, kontobalanse og betalingsinformasjon. Dette kan så brukes av trusselaktørene for å initiere falske bankoverførsler i offeret sitt navn.
Referanser
https://www.securityweek.com/anatsa-banking-t[...]

Ny ransomware-gruppe kalt 8Base har vært svært aktiv i det siste

En ny ransomware-aktør kalt 8Base har vært svært aktive i mai og juni. Gruppen har vært aktiv i litt over et år og benytter seg både av kryptering av systemer og trusler om offentliggjøring av interne data fra sine ofre. De fleste ofrene så langt holder til i Brasil eller USA. I det siste har det dukket opp flere andre nye ransomware-grupper som Big Head, CryptNet, Mallox, og Xollam.
Referanser
https://thehackernews.com/2023/06/8base-ranso[...] https://blogs.vmware.com/security/2023/06/8ba[...]

2023.06.28 - Nyhetsbrev

Google har sluppet ny sikkerhetsoppdatering for Chrome Desktop. Ny teknikk for å gjøre prosess-injeksjon kalt Mockingjay. Politi-aksjon førte til 6558 arrestasjoner.

Google har sluppet ny sikkerhetsoppdatering for Chrome Desktop

Google har nylig lansert en ny oppdatering for Chrome-nettleseren for desktop-versjonen. Oppdateringen fokuserer på tre CVE-sårbarheter definert med "høy" viktighet, samt én mindre alvorlig. Chrome-brukere oppfordres til å oppdatere nettleseren sin for å dra nytte av de nye sikkeherhetsfiksene og ytelsesforbedringene.
Referanser
https://chromereleases.googleblog.com/2023/06[...]

Ny teknikk for å gjøre prosess-injeksjon kalt Mockingjay

Sikkerhetsfirmaet Joes har funnet en ny teknikk for å gjøre prosess-injeksjon som de har kalt Mockingjay. Prosess-injeksjon brukes for å kjøre malware i konteksten til andre applikasjoner eller system-prosesser. Teknikken gjør det langt vanskeligere for EDR-programvare (Endpoint Detection and Response). Den nye teknikken utnytter feilkonfigurerte DLL-filer (som tillater både lesing, skriving og kjøring av kode) til å få kjørt den injiserte koden, i stedet for vanlige APIer som mange anti-malware systemer følger med på.
Referanser
https://www.securityjoes.com/post/process-moc[...] https://www.darkreading.com/application-secur[...]

Politi-aksjon førte til 6558 arrestasjoner

Europol tok kontroll over det krypterte meldingssystemet Encrochat i 2020. Systemet ble nesten utelukkende brukt av kriminelle for intern kommunikasjon. Myndighetene fikk tilgang til 115 millioner meldinger mellom over 60.000 brukere. Etter at politiet fikk tilgang til meldingene i systemet har det blitt foretatt 6658 arrestasjoner samt gjort beslag i over €900 millioner, 270 tonn narkotika, 971 kjøretøyer, 271 eiendommer osv.
Referanser
https://www.europol.europa.eu/media-press/new[...]

2023.06.23 - Nyhetsbrev

VMware utbedrer svakheter i vCenter Server og Cloud Foundation.

VMware utbedrer svakheter i vCenter Server og Cloud Foundation

VMware har fikset flere feil som kan føre til korrumpering av minnet i vCenter Server. En angriper som kan sende data-pakker til en vCenter Server, kan utnytte dette til å få kjørt vilkårlig kode i operativsystemet til en sårbar server.
Referanser
https://www.vmware.com/security/advisories/VM[...]

2023.06.22 - Nyhetsbrev

Apple fikser flere svakheter som utnyttes i aktive angrep. Kaspersky har også sluppet flere detaljer rundt Operation Triangulation, som benytter seg av tre av de nå utbedrede svakhetene.

Apple fikser flere svakheter som utnyttes i aktive angrep

Apple har sluppet sikkerhetsoppdateringer for Safari, iOS, iPadOS, macOS og watchOS. Tre av patchene utbedrer svakheter oppdaget i forbindelse med Operation Triangulation, en avansert overvåkingsprogramvare oppdaget av russiske Kaspersky som retter seg mot iOS-enheter. Tilgang til enheten oppnås ved å sende en usynlig melding i iMessage, uten at brukeren kan oppdage noe eller trenger å foreta seg noe. En svakhet i iPhone sin kernel brukes så for å få system-tilgang. Skadevaren er kun aktiv i minnet og sletter seg selv etter 30 dager, dersom den ikke mottar andre kommandoer. Russiske myndigheter mener det er amerikanske NSA som står bak den avanserte operasjonen. Kaspersky har også sluppet mer detaljer om malwaren i en ny rapport. Vi anbefaler å patche så fort som mulig!
Referanser
https://thehackernews.com/2023/06/new-report-[...] https://support.apple.com/en-us/HT201222 https://securelist.com/triangledb-triangulati[...]

2023.06.21 - Nyhetsbrev

Russiske APT-28 har brutt seg inn i epost-systemer i Ukraina. Microsoft har fikset svakhet som gjorde det mulig å ta over kontoer i Azure AD.

Russiske APT-28 har brutt seg inn i epost-systemer i Ukraina

Den russiske hacker-gruppen APT-28 (Fancy Bear) har brutt seg inn i epost-systemer i Ukraina tilhørende myndighetene og forsvarsindustrien. Gjennom phishing-eposter har de klart å utnytte svakheter i det web-baserte epost-systemet Roundcube. Svakheten ble utnyttet bare ved å se på eposten og kampanjen har pågått siden november 2021. Recorded Future har sluppet en rapport som saken med IoCer.
Referanser
https://therecord.media/russia-fancy-bear-hac[...] https://www.securityweek.com/russian-apt-grou[...] https://cert.gov.ua/article/4905829

Microsoft har fikset svakhet som gjorde det mulig å ta over kontoer i Azure AD

Microsoft har nettopp fikset en svakhet i Azure AD som gjorde det mulig å oppnå utvidede rettigheter eller ta å ta helt kontroll over andres konto. Firmaet Descope oppdaget svakheten og har kalt den nOAuth. Den kan brukes mot OAuth-applikasjoner der en kan autentisere seg med "email claim". For å gjennomføre angrepet må en endre epost-adressen til en admin-bruker i en Azure AD til offerets epost-adresse.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2023.06.20 - Nyhetsbrev

Analyse av den nye informasjons-stjeleren Mystic Stealer
Dusør utlovet for informasjon om Cl0p ransomware

Analyse av den nye informasjons-stjeleren Mystic Stealer

Zscaler har skrevet en bloggpost om Mystic Stealer, som er en ny malware laget for å hente ut informasjon fra kompromitterte PCer. Den ble første gang annonsert på undegrunnsfora i april 2023 og støtter uthenting av informasjon fra 40 ulike nettlesere og 70 nettleser-utvidelser. Den henter også ut informasjon fra krypto-lommebøker, Steam og Telegram. Koden til Mystic Stealer er sterkt obfuskert for å unngå deteksjon og kommuniserer med kontroll-serveren via en spesial-laget protokoll kryptert med RC4.
Referanser
https://www.zscaler.com/blogs/security-resear[...]

Dusør utlovet for informasjon om Cl0p ransomware

Det amerikanske utenriksdepartementet utover en dusør på USD 10 millioner for informasjon som kan knytte ransomware-aktøren Cl0p, eller lignende trusselaktører, til til en utenlandsk regjering. Dusøren kommer etter at flere amerikanske myndighetsorganer har blitt rammet av svakheten i MOVEit Transfer, som ble utnyttet nettopp av Cl0p.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2023.06.19 - Nyhetsbrev

Nedetid for Microsoft-tjenester i juni skyldtes DDoS-angrep.

Nedetid for Microsoft-tjenester i juni skyldtes DDoS-angrep

Tidligere i juni meldt Microsoft stadig om nedetid på sine tjenester, inkludert Office 365, Outlook, OneDrive osv. Hacktivist-gruppen Anonymous Sudan, som mange knytter til Russland, tok på seg ansvaret for nedetiden. Microsoft skyldte lenge på tekniske problemer, men i en bloggpost postet seint fredag kveld har de nå innrømmet at nedetiden skyldtes DDoS-angrep.
Referanser
https://apnews.com/article/microsoft-outage-d[...] https://msrc.microsoft.com/blog/2023/06/micro[...]

2023.06.16 - Nyhetsbrev

Krypterings-brikker fra Kina i NATO og NASA-utstyr. Svakheten i Barracuda utnyttet av avansert aktør knyttet til Kina. CNN melder at flere amerikanske myndighetsorganer er rammet av MOVEit-ransomware.

Krypterings-brikker fra Kina i NATO og NASA-utstyr

Den amerikanske regjeringen advarer om at det kinesiske selskapet Hualan har tilknytninger mot det kinesiske militæret. Datterselskapet Initio leverer imidlertid mikrobrikker som brukes av vestlige produsenter for å lage krypterte harddisker. Noen er nå bekymret for at brikkene kan inneholde en bakdør.
Referanser
https://www.wired.com/story/hualan-encryption[...]

Svakheten i Barracuda utnyttet av avansert aktør knyttet til Kina

25. mai hadde vi en sak om en nulldags-sårbarhet i Barracudas Email Security Gateway (ESG). Mandiant ble leid inn av Barracuda for å undersøke saken, og de har nå skrevet en bloggpost om arbeidet. De mener at den kinesiske aktøren UNC4841 står bak aksjonen. Denne aktøren er kjent for å drive med spionasje på vegne av den kinesiske staten. Svakheten ble først utnyttet 10. oktober 2022. Svakheten ble brukt til å installere forskjellige typer malware som er gjennomgått av Mandiant. Tilgangene har blitt brukt både for å hente ut informasjon fra eposter og videre tilgang til interne nettverk. Svakheten i Barracuda (CVE-2023-2868) ble utnyttet ved å sende spesielt utformede eposter med fil-vedlegg gjennom Barracuda-enhetene. Disse var dårlig utformet og med mange stavefeil, trolig for å virke som dårlige phishing-forsøk og dermed unngå videre oppmerksomhet.
Referanser
https://www.mandiant.com/resources/blog/barra[...]

CNN melder at flere amerikanske myndighetsorganer er rammet av MOVEit-ransomware

2. juni hadde vi en sak om en 0-dags svakhet i filoverføringssystemet MOVEit. Det var Cl0p ransomware som stod bak utnyttelse av svakheten og tyveri av store mengder informasjon. Siden har det også blitt meldt om to ny svakheter i systemet. CNN har nå en artikkel der de skriver at flere amerikanske myndighetsorganer er rammet av innbruddene og påfølgende eksfiltrasjon av intern informasjon. I det siste har det også kommet fram at selskaper som Shell, BBC, EY, British Airways og Boots er rammet av angrepene.
Referanser
https://edition.cnn.com/2023/06/15/politics/u[...]

2023.06.15 - Nyhetsbrev

Google har gitt ut ny versjon av Chrome som fikser fem sikkerhetssvakheter. Microsoft mener Russiske GRU står bak wiper-angrep mot Ukraina.

Google har gitt ut ny versjon av Chrome

Google har gitt ut Chrome versjon 114 for Mac, Linux og Windows. Det utbedres fem sikkerhetssvakheter. Den høyest graderte svakheten er en kritisk svakhet i auto-fill funksjonen i betalings-modulen.
Referanser
https://chromereleases.googleblog.com/2023/06[...]

Microsoft mener Russiske GRU står bak wiper-angrep mot Ukraina

Microsoft har knyttet en russisk aktør de har gitt navnet "Cadet Blizzard" til russiske GRU, altså Russlands militære etterretningstjeneste. Aktøren knyttes blant annet til de destruktive wiper-angrepene i Ukraina som startet i januar 2022, mer enn én måned før invasjonen av landet, kalt WhisperGate. Aktøren har siden stått bak en mengde operasjoner i Ukraina. Microsoft opplyser at aktøren også er aktive mot NATO-stater som er involvert i å gi militærhjelp til Ukraina.
Referanser
https://blogs.microsoft.com/on-the-issues/202[...]

2023.06.14 - Nyhetsbrev

Microsoft og SAP gir ut månedlige patcher. Denne måneden er det ingen av Microsoft-svakhetene som blir brukt i pågående angrep! Mandiant skriver om 0-dags svakhet brukt av kinesisk aktør for å oppnå utvide rettigheter i VMware ESXi.

SAP har sluppet sikkerhetsoppdateringer for juni 2023

SAP slapp i går 8 nye patcher for nye svakheter, og ga også ut 5 oppdateringer for svakheter som de har forsøkt å patche tidligere. Høyeste CVSS-score er 8.8 og denne svakheten er en XSS-svakhet i SAP Knowledge Warehouse.
Referanser
https://dam.sap.com/mac/app/e/pdf/preview/emb[...]

Microsoft har gitt ut sine månedlige sikkerhetsoppdateringer for juni

Denne månedens oppdatering fra Microsoft utbedrer 94 svakheter. Oppdateringen inkluderer 14 patcher for Chromium og 5 for GitHub. Seks av disse er regnet som kritiske. Det er også tre kritiske svakheter i Windows Pragmatic Multicast (PGM)-tjenesten. To "viktige" oppdateringer gjelder Microsoft Exchange, for de som kjører denne lokalt. Denne måneden er det så langt ikke meldt om at noen av svakhetene utnyttes i aktive angrep!
Referanser
https://isc.sans.edu/diary/June+2023+Microsof[...] https://portal.msrc.microsoft.com/en-us/secur[...]

0-dags svakhet brukt av kinesisk aktør for å utvide rettigheter i VMware ESXi

Mandiant har skrevet en bloggpost om metodikken til den kinesiske aktøren UNC3886 etter å ha fulgt aktøren over lengre tid. De har også oppdaget en ny svakhet i VMware ESXi som de har meldt fra om til VMware. Svakheten gjør det mulig å kjøre priviligert kode på gjeste-operativsystemer uten å autentisere seg på en allerede kompromittert ESXi-server. Siden svakheten allerede krever tilgang til systemet har den blitt definert med viktighet "lav".
Referanser
https://www.mandiant.com/resources/blog/vmwar[...] https://www.vmware.com/security/advisories/VM[...]

2023.06.13 - Nyhetsbrev

Fortinet har publisert detaljer om en kritisk svakhet i deres SSL-VPN tjeneste, i tillegg til 20 andre patcher.

Fortinet har publisert detaljer om sårbarheter i sine produkter

Fortinet har nå som ventet publisert detaljer om sårbarheter i flere av deres produkter, blant annet en kritisk svakhet i deres SSL-VPN. Denne svakheten har allerede blitt aktivt utnyttet, eller vil snarlig bli det melder Fortinet. Vi anbefaler alle som benytter seg av SSL-VPN funksjonalitet i Fortinet-produkter å prioritere patching! Totalt er det publisert 21 patcher for flere produkter.
Referanser
https://www.fortiguard.com/psirt?date=06-2023 https://www.fortinet.com/blog/psirt-blogs/ana[...]

2023.06.12 - Nyhetsbrev

Fortinet fikser kritisk RCE sårbarhet for sine SSL-VPN produkter. Progress slipper enda en ny patch for MOVEit transfer App.

Fortinet fikser kritisk RCE sårbarhet for sine SSL-VPN produkter

Fortinet slipper oppdatering for sine SSL-VPN produkter som fikser en kritisk RCE (Remote Code Execution) sårbarhet som skal offentliggjøres i morgen. Sårbarheten, CVE-2023-27997, tillater en ekstern aktør å koble seg opp mot med enheten over VPN uten å kreve autentisering, selv med MFA (Multi Faktor Autentisering) skrudd på. Oppdateringene ble sluppet på fredag i FortiOS versjoner 6.0.17, 6.2.15, 6.4.13, 7.0.12, og 7.2.5. Alle tidligere versjoner anses som sårbare. Sett fra et Shodan søk kan nå over 250 000 Fortigate brannmurer nås over Internett, noe som tyder på at omfanget av sårbarheten er stor.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Progress slipper enda en ny patch for MOVEit transfer App

Progress slipper enda en ny patch for MOVEit Transfer App. Denne fikser nye svakheter som kommer i tillegg til den som ble utnyttet av Cl0p ransomware til å stjele informasjon fra hundrevis av organisasjoner i løpet av de siste ukene. Vi anbefaler brukere av systemet å patche ASAP! Det er så langt ikke meldt om at den nye svakheten blir uttnyet i aktive angrep.
Referanser
https://www.darkreading.com/vulnerabilities-t[...]

2023.06.09 - Nyhetsbrev

Passnøkler: Teknologigiganter Adopterer Ny Sikkerhetsløsning

Passnøkler" er løsningen mange ledende teknologibedrifter tror vil erstatte det utdaterte passordsystemet. Flere har allerede begynt å bruke passnøkler, og nå har også en av de største passordtjenestene sluttet seg til. 1Password, den nest største passordhåndteringsplattformen i markedet, kunngjorde på bloggen sin at de nå har lagt til støtte for passnøkler. Dette skjedde etter at de først kunngjorde nyheten i februar samme år.
Referanser
https://www.digi.no/artikler/en-av-de-storste[...]

2023.06.08 - Nyhetsbrev

Cisco fikser svakhet i Cisco Secure Client/AnyConnect. VMWare fikser kritiske svakheter i VMware Aria Operations for Networks. Mozilla oppdaterer Firefox og Firefox ESR.

Cisco fikser svakhet i Cisco Secure Client/AnyConnect

Cisco har fikset en svakhet i Cisco Secure Client, tidligere kalt AnyConnect. Svakheten lar en vanlig bruker få System-tilgang til operativsystemet på grunn av feil i tilgangskontroll til kataloger under oppgradering av programvaren.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

VMWare fikser kritiske svakheter i VMware Aria Operations for Networks

VMware har sluppet en ny versjon av VMware Aria Operations for Networks som utbedrer tre svakheter med CVSS-score fra 8.8 til 9.8. Vi anbefaler å oppgradere.
Referanser
https://www.vmware.com/security/advisories/VM[...]

Mozilla oppdaterer Firefox og Firefox ESR

Mozilla har sluppet versjon 114 av Firefox og versjon 102.12 av Firefox ESR. Blant annet blir det fikset flere svakheter som kan korrumpere minnet og ha potensiale til å få kjørt vilkårlig kode på systemet med samme rettigheter som nettleseren.
Referanser
https://www.cisa.gov/news-events/alerts/2023/[...]

2023.06.07 - Nyhetsbrev

0-dags svakhet utnyttes aktivt i Google Chrome. Google har gitt ut sin månedlige sikkerhetsoppdatering for Android. Oppsummering av nyhetsbildet innen datasikkerhet for mai 2023. Verizon har gitt ut sin 16. Data Breach Investigations Report (DBIR).

0-dags svakhet utnyttes aktivt i Google Chrome

Google ga ut en ny oppdatering for Google Chrome på mandag for å fikse en svakhet som allerede utnyttes i aktive angrep. Svakheten spores som CVE-2023-3079 og ligger i nettleserens JavaScript-motor. Dette er den tredje 0-dags sårbarheten i Chrome i år.
Referanser
https://thehackernews.com/2023/06/zero-day-al[...]

Google har gitt ut sin månedlige sikkerhetsoppdatering for Android

Google utbedrer denne måneden 56 svakheter i Android, 5 av dem regnet som kritiske. En av svakhetene som blir utbedret ligger i driveren til Mali GPUen. Denne svakheten har blitt brukt i forbindelse med målrettede angrep mot Samsung-mobiler.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Oppsummering av nyhetsbildet innen datasikkerhet for mai 2023

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for mai 2023. Denne måneden skriver vi blant annet om amerikanske myndigheters aksjon mot "Snake"-malwaren, som russiske FSB påstås å stå bak.
Referanser
https://telenorsoc.blogspot.com/2023/06/oppsu[...]

Verizon har gitt ut sin 16. Data Breach Investigations Report (DBIR)

I går ga Verizon ut siste versjon av sin årlige rapport som tar for seg datainnbrudd de har sett på i løpet av det siste året. Rapporten er basert på 16.000 sikkerhetshendelser og 5200 datainnbrudd. Verizon melder blant annet at antall ransomware-hendelser har gått ned, men kostnaden per hendelse har gått opp. De melder også at 75% av alle hendelsene involverer mennesker hos offeret på et eller annet vis.
Referanser
https://www.securityweek.com/verizon-2023-dbi[...] https://www.verizon.com/business/resources/T7[...]

2023.06.06 - Nyhetsbrev

GIGABYTE slipper firmware-oppdatering som lukker potensiell bakdør. KeePass fikser bug som lekket passord i klartekst. Rundt 30 nettleser-utvidelser fjernet fra Chrome Web Store. Clop ransomware bak nylig utnyttelse av MOVEit.

GIGABYTE slipper firmware oppdatering

GIGABYTE har sluppet en ny firmware oppdatering for over 270 hovedkort i Intel 400/500/600/700 og AMD 400/500/600 seriene. Grunne til denne oppdateringen er en sårbarhet i systemet for automatisk oppdateringe av firmwaren i hovedkortene. Denne sårbarheten gjorde det mulig for angripere å installere malware istedet for oppdateringen hovedkortet skulle installere, da GIGABYTE ikke verifiserte hvilke filer som ble lastet ned under installasjonen av oppdateringen. I noen tilfeller kunne også filene lastes ned ukryptert over nettet.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

KeePass fikser bug som lekket passord i klartekst

Over helgen har KeePass sluppet versjon 2.54 litt tidligere enn forventet. Årsaken er en svakhet som gjør det mulig for potensielle angripere å laste ned nesten hele "master"-passordet fra en minne-dump av maskinen. Dette master-passordet brukes for å få tilgang til den krypterte databasen med alle andre passord en bruker har lagret. Alle brukere som har versjon 2.x blir sterkt anbefalt å oppdatere til den nye versjonen som utbedrer problemet.
Referanser
https://securityaffairs.com/147109/security/k[...]

Rundt 30 nettleser-utvidelser fjernet fra Chrome Web Store

Google har fjernet rundt 30 nettleser-utvidelser (extensions) med flere millioner nedlastinger fra Chrome Web Store, etter at det ble oppdaget ondsinnet aktivitet fra disse. Utvidelsene gjør ofte det de utgir seg for å gjøre, men i tillegg har de funksjonalitet for å injisere java-script i nettsider. Dette brukes for å vise ekstra annonser, viser alternative søkeresultater osv.
Referanser
https://www.securityweek.com/dozens-of-malici[...]

Clop ransomware bak nylig utnyttelse av MOVEit

Sist uke ble det meldt at filoverføringstjenesten MOVEit var utsatt for en zero-day sårbarhet. Clop ransomware har nå tatt på seg ansvaret for angrepsbølgen. I løpet av de siste årene har Clop flere ganger utnyttet zero-day svakheter i singe angrep. Denne gangen virker det som om Clop ikke har kryptert data, kun hentet ut store mengder informasjon som de i etterkant vil true med å offentliggjøre, dersom løsepengene ikke blir betalt. Det er allerede kjent at BBC og British Airways er rammet av MOVEit-angrepet.
Referanser
https://therecord.media/clop-behind-moveit-at[...] https://www.bleepingcomputer.com/news/securit[...] https://therecord.media/bbc-british-airways-h[...]

2023.06.02 - Nyhetsbrev

Russland beskylder USA for å spionere gjennom å hacke Apple-enheter. Fersk svakhet i filoverføringssystemet MOVEit angripes aktivt. NSA: Nord-Korea hacker tenketanker, akademia og media. Flere hundre norske bilverksteder rammet av hacking.

Russland beskylder USA for å spionere gjennom å hacke Apple-enheter

Russlands FSB beskylder USA for å ha hacket tusenvis av Apple-enheter tilhørende diplomater og ansatte i stats-adminstrasjonen. Det russiske cybersikkerhetsfirmaet Kaspersky ga også ut en rapport på torsdag der de analyserer iOS-malware som har rammet ansatte hos dem. Malwaren infiserer mobilene uten at brukeren trenger å foreta seg noe, såkalt zero-click. Kaspersky har døpt operasjonen "Operation Triangulation". FSB påstår også at Apple samarbeider med NSA om å infisere mobilene. En talsmann for Apple har kommentert at de aldri har jobbet med noen regjering for å legge inn bakdører i Apple-produkter og at de heller aldri kommer til å gjøre det.
Referanser
https://therecord.media/russia-accusses-us-of[...] https://www.securityweek.com/russia-blames-us[...] https://securelist.com/operation-triangulatio[...]

Fersk svakhet i filoverføringssystemet MOVEit angripes aktivt

MOVEit er et filoverføringssystem som brukes av større virksomheter til å kopiere store mengder data. Systemet er dessverre i mange tilfeller eksponert direkte ut mot Internet. Angripere har nå utnyttet en svakhet i systemet til å laste ned store mengder data fra flere firmaer. Svakheten skal også gi mulighet til å ta kontroll over serveren. Firmaet bak programvaren, Progress, har gitt ut informasjon om hendelsen og oppdaterte versjoner som utbedrer svakheten. Servere som har vært eksponert mot Internett bør sjekkes grundig for innbrudd.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://community.progress.com/s/article/MOVE[...]

NSA: Nord-Korea hacker tenketanker, akademia og media

NSA advarer mot at Nord-Koreanske hackere bruker sosial manipulering for å lure ut informasjon fra diverse organisasjoner. For å oppnå tilgang brukes spesielt utformede phishing-eposter. Allerede hackede organisasjoner utnyttes igjen for å oppnå videre tilganger hos nye ofre. Formålet er å innhente informasjon om geopolitiske hendelser, utenrikspolitikk og sikkerhetstiltak fra forskjellige land.
Referanser
https://www.nsa.gov/Press-Room/Press-Releases[...] https://media.defense.gov/2023/Jun/01/2003234[...]

Flere hundre bilverksteder rammet av hacking

Flere hundre norske bilverksteder er rammet etter at IT-leverandøren Helios Auto i Verdal i Trøndelag ble hacket i helgen. Verkstedene må tilbake til manuelle rutiner siden de nå mangler informasjon om kunder, bilder, deler og priser. IT-leverandøren jobber med å få tjenestene tillbake og systemet skal nå fungere delvis igjen.
Referanser
https://www.nrk.no/sorlandet/flere-hundre-ver[...]

2023.06.01 - Nyhetsbrev

IBMs X-Force skriver om BlackCat/ALPHV ransomware. Funksjon for firmware-oppgradering av Gigabyte-hovedkort kan brukes som bakdør. Hacker-gruppe krever 3 millioner dollar fra Scandinavian Airlines. Telenor flytter sitt sikkerhets-operasjonssenter fra Arendal til Grimstad.

IBMs X-Force skriver om BlackCat/ALPHV ransomware

X-Force har skrevet en bloggpost om ransomware-operasjonen BlackCat/ALPHV. I det siste har de blant annet automatisert uthenting av informasjon fra ofre ved hjelp av verktøyet "ExMatter", samt sluppet en ny versjon av deres ransomware kalt "Sphynx".
Referanser
https://securityintelligence.com/posts/blackc[...]

Funksjon for firmware-oppgradering av Gigabyte-hovedkort kan brukes som bakdør

Sikkerhetsfirmaet Eclypsium har oppdaget at Gigabyte-hovedkort har en automatisk funksjon for å oppgradere firmware på hovedkortet. Denne funksjonen starter opp automatisk ved hver omstart av maskinen, før Windows starter skikkelig opp. 271 forskjellige modeller er rammet, med CPUer både fra Intel og AMD. Eclypsium har funnet flere svakheter i oppgraderings-prosessen som gjør at denne kan brukes til å ta kontroll over oppgraderings-prosessen og installere malware på sårbare maskiner. Ny firmware kan f.eks. i noen tilfeller lastes ned ukryptert over nettet. Gigabyte skal løse problemet ved å gi ut en ny firmware. I mellomtiden kan funksjonaliteten slås av i menyvalget "APP Center Download & Install" eller en kan slå på passord-beskyttelse av firmware.
Referanser
https://eclypsium.com/blog/supply-chain-risk-[...]

Hacker-gruppe krever 3 millioner dollar fra Scandinavian Airlines

Hacker-gruppen "Anonymous Sudan" krever $3 millioner for å avslutte DDoS-angrep mot SAS. Gruppen har angrepet SAS flere ganger de siste månedene, men de er usikkert hvor stor effekt disse har hatt. Gruppen ga først uttrykk for at angrepene var politisk motivert, men ser nå ut til å ha gått over til utpressing. Mange analytikere mener at det er personer fra Russland som står bak denne grupperingen.
Referanser
https://therecord.media/hacker-group-anonymou[...]

Telenor flytter sitt sikkerhets-operasjonssenter fra Arendal til Grimstad

I går var det offisiell av åpning Telenors nye sikkerhets-operasjonssenter i Grimstad. Fra senteret skal 50 ansatte jobbe med å overvåke datatrafikk og hindre cyber-angrep. Senteret etableres like ved Universitet i Agder, som er en viktig rekrutteringsarena.
Referanser
https://www.nrk.no/sorlandet/styrkar-innsatse[...]