2023.07.31 - Nyhetsbrev

Ivanti advarer om ny alvorlig sårbarhet brukt i angrep mot norske myndigheter

Ivanti har utstedt en advarsel om en ny sårbarhet som påvirker deres mobile endpoint management-programvare, som ble benyttet i nylige angrep mot flere norske statlige etater. Sårbarheten, kjent som CVE-2023-35081, skiller seg fra den tidligere oppdagede feilen og har innvirkning på alle støttede versjoner av Ivanti Endpoint Manager Mobile. Det amerikanske Cybersecurity and Infrastructure Security Agency (CISA) har oppfordret selskapets kunder til å umiddelbart oppdatere sine enheter. Sårbarheten kan tillate hackere å få tilgang til personlig identifiserbar informasjon og lage administrative kontoer for å gjøre ytterligere endringer i sårbare systemer.
Referanser
https://therecord.media/ivanti-warns-of-secon[...] https://www.ivanti.com/blog/cve-2023-35081-ne[...] https://forums.ivanti.com/s/article/KB-Arbitr[...]

Fruity trojan spres gjennom forfalskede programvareinstallatører for å infisere maskiner med remcos RAT

Trusselaktører lurer brukere med falske nettsteder som inneholder trojanske programvareinstallatører for å spre en ondsinnet nedlastning kalt Fruity, med mål om å installere Remcos RAT. Fruity-trojaneren, som er Python-basert, aktiveres gjennom en flertrinns infeksjon og bruker prosessdoppelgänging for å omgå antivirusdeteksjon. Angrepet kan variere fra phishing til drive-by-nedlastinger.
Referanser
https://thehackernews.com/2023/07/fruity-troj[...] https://attack.mitre.org/techniques/T1055/013/

2023.07.28 - Nyhetsbrev

Norske virksomheter har opplevd nedetid

Flere norske virksomheter med nedetid

Amedia, Politiet og PST har opplevd problemer med sine nettsider. Samt konsernet Schibsted, Schibsted-eide Finn.no, og Schibsted-avisene Bergens Tidene, Stavanger Aftenblad og Aftenposten. Schibsted teknologidirektør Sven Thaulow offentligjorde torsdag kveld 19:15 at virksomheten var utsatt for et DDoS-angrep med intensjon om å nekte tilgang til nettsidene. Thaulow kunne ikke kommentere på hvor lenge problemet vil vedvare, men sier det kommer an på hvor avansert dataangrepet er. Amedia kunne ikke verifisere hva som skylder nedetiden av nettsidene, men konserndirektør for data og teknologi for Amedia, Håvard Solheim, kommenterte at det trolig var et DDoS-angrep. Seniorrådgiver i PST, Eirik Veum, opplyste om at nettsidene hadde gått ned med jevne mellomrom på torsdag ettermiddag. Veum utelukket ikke dataangrep, men informerte om at PST sine interne nettverk og datasystemer ikke var rammet. All drift hos PST forløper mot kvelden som normalt. Politiet kunne heller ikke verifisere hva som forårsaket nedetid for sine hjemmesider torsdag ettermiddag, men kommenterte at et dataangrep var en av mulighetene som undersøkes. Politiet sine operative systemer var ikke berørt, og innbyggerne kunne kontakte politiet som vanlig.
Referanser
https://www.vg.no/nyheter/innenriks/i/BW2OM7/[...]

2023.07.25 - Nyhetsbrev

Nulldagssårbarhet i Ivanti Endpoint Manager (MobileIron Core)
Atlassian patcher kritiske svakheter i Confluence og Bamboo
Storm-0978 phishing-kampanje og mitigeringer
Apple oppdaterer iOS, iPadOS og macOS for sikkerhetssvakheter
Bakdør funnet i krypterte politi- og militærradioer

Nulldagssårbarhet i Ivanti Endpoint Manager (MobileIron Core)

Mandag 24.Juli informerte Nasjonal sikkerhetsmyndiget (NSM) og Departementenes sikkerhets- og serviceorganisasjon (DSS) at det var en nulldagssårbarhet som ble utnyttet for å utføre dataangrepet mot DSS. Sofie Nystrøm, direktør i NSM sier at denne sårbarheten var unik og ble først oppdaget her i Norge. Derfor har de ikke gått ut med informasjonen tidlig for å hindre at svakheten kunne bli misbrukt andre steder. Nasjonalt cybersikkerhetssenter anbefaler at sikkerhetsoppdateringene installeres umiddeltbart.
Referanser
https://nsm.no/aktuelt/nulldagssarbarhet-i-iv[...] https://forums.ivanti.com/s/article/CVE-2023-[...]

Atlassian patcher kritiske svakheter i Confluence og Bamboo

Atlassian har gitt ut informasjon om svakheter som tillater ekstern kodeeksekvering mot Confluence og Bamboo. Svakhetene i Confluence (CVE-2023-22505 og CVE-2023-22508) har begge blitt fikset i Confluence versjon 8.3.2 og 8.4.0. Svakheten i Bamboo, CVE-2023-22506, har blitt patchet i versjon 9.2.3 og 9.3.1. CISA anbefaler alle brukere å oppdatere til de nye versjonene gitt den sensitive naturen til informasjonen som ligger i både confluence og Bamboo.
Referanser
https://www.darkreading.com/cloud/atlassian-r[...] https://jira.atlassian.com/browse/CONFSERVER-88221 https://jira.atlassian.com/browse/CONFSERVER-88265 https://jira.atlassian.com/browse/BAM-22400

Storm-0978 phishing-kampanje og mitigeringer

Microsoft har identifisert en phishing-kampanje utført av trusselaktøren Storm-0978 rettet mot forsvars- og myndighetsorganer i Europa og Nord-Amerika. Kampanjen involverte misbruk av CVE-2023-36884, som utnytter sårbarheter knyttet til Microsoft Word og andre Office produkter. Da sårbarheten ikke er patchet, anbefaler Microsoft å implementere et sett med tiltak for å redusere virkningen av aktivitet knyttet til kampanjen.
Referanser
https://www.microsoft.com/en-us/security/blog[...] https://msrc.microsoft.com/update-guide/vulne[...] https://www.ninjaone.com/blog/how-to-mitigate[...]

Apple oppdaterer iOS, iPadOS og macOS for sikkerhetssvakheter

Apple iOS 16, iPadOS 16 og macOS 13 sine operativsystemer har fått nye versjoner for å fikse aktivt misbrukte svakheter. De nye versjonene er respektivt 16.6 for iOS/iPadOS og 13.5 for macOS. Da Apple planlegger å erstatte iOS/iPadOS 16 og macOS 13 med nye versjoner om noen måneders tid vil ikke disse oppdateringene inneholde noe annet enn sikkerhetsoppdateringer. For enheter som ikke støtter de nye operativsysteme har de også sluppet nye oppdateringer for de samme svakhetene, dette er enheter som Iphone 6s, iPad Air 2 og første generasjons Iphone SE som ikke støtter iOS 16.
Referanser
https://arstechnica.com/gadgets/2023/07/ios-1[...]

Bakdør funnet i krypterte politi- og militærradioer

Cybersikkerhets forskere har funnet flere svakheter i TETRA standarden som er brukt i radioer over hele verden. Svakhetene ligger i den underliggende kryptografien som kan tillate å dekryptere trafikk. Krypteringen det skal være snakk om er TEA1, da European Telecommunications Standards Institute (ETSI) som har produsert TETRA, ikke bruker open-source løsninger kan det være vanskelig å få innblikk i sikkerheten rundt krypteringene de bruker.
Referanser
https://www.vice.com/en/article/4a3n3j/backdo[...]

2023.07.24 - Nyhetsbrev

12 departementer utsatt for dataangrep.
Alvorlige Atlassian-sårbarheter.

Tolv departementer utsatt for dataangrep

Dataangrep rammet tolv departementers IKT-plattform. En ukjent aktør utnyttet en sårbarhet i leverandørens programvare. Departementenes sikkerhets- og serviceorganisasjon (DSS) har iverksatt tiltak, og samarbeider med Nasjonal sikkerhetsmyndighet og politiet. Kommunal- og distriktsminister Sigbjørn Gjelsvik vil informere Stortingets utvidede utenriks- og forsvarskomité. Etterforskningen ledes av politiet, inkludert Politiets sikkerhetstjeneste (PST).
Referanser
https://www.politiet.no/aktuelt-tall-og-fakta[...] https://e24.no/teknologi/i/xgpEe8/tolv-depart[...]

Alvorlige Atlassian-sårbarheter

Tre alvorlige sårbarheter er identifisert i forskjellige Atlassian-produkter. Oppdateringer er tilgjengelige, og berørte systemer burde oppdateres iht. normale patcherutiner. Følgende produkter er sårbare: - Confluence Data Center & Server versjoner 7.4.0 til 8.3.1 - Bamboo Data Center & Server versjoner 8.0.0 til 9.2.2
Referanser
https://confluence.atlassian.com/security/sec[...] https://www.cve.org/CVERecord?id=CVE-2023-22505 https://www.cve.org/CVERecord?id=CVE-2023-22508 https://www.cve.org/CVERecord?id=CVE-2023-22506 http://

2023.07.24 - Nyhetsbrev

12 departementer utsatt for dataangrep.
Alvorlige Atlassian-sårbarheter.

Det er ingen nye saker siden sist.

2023.07.20 - Nyhetsbrev

Adobe har lansert en "kriseløsning" for å håndtere svakheter i ColdFusion

Microsoft øker loggdata i sky etter hack av Microsoft Exchange.

Adobe slapp ut en oppdatering for kritiske svakheter i ColdFusion

Adobe har lansert en "kriseløsning" for å håndtere kritiske svakheter i ColdFusion. Svakhetene kan lede til kodeeksekvering og omgåelse av sikkerhetsvern og oppsett. De berørte ColdFusion versjoner er 2023, 2021, 2018.
Referanser
https://securityaffairs.com/148625/hacking/co[...]

Microsoft øker logg data i sky etter Microsoft Exchange hack

Microsoft gir ut mer logg data til kunder over hele verden etter at kinesiske hackere klarte å stjele e-poster som tilhørte bedrifter og myndigheter. Amerikanske myndigheter var de første til å oppdage disse angrepene og brukte Microsofts avanserte loggdata til å oppdage dette. Tidligere har disse loggdataene kun vært tilgjengelig for de som har betalt for Microsofts "Purview Audit (Premium)" logg funksjon. CISA annonserte den 19. Juli at de har jobbet med Microsoft for å identifisere kritiske loggdata som skal være inkludert gratis for alle Microsoft kunder.
Referanser
https://www.bleepingcomputer.com/news/microso[...]

2023.07.19 - Nyhetsbrev

Citrix har varslet om kritiske sårbarheter og Oracle har kommet med sine kvartalsvise sikkerhetsoppdateringer.

Oracle har publisert sine kvartalsvise sikkerhetsoppdateringer.

Oracle publiserte sine kvartalsvise sikkerhetsoppdateringer den 18.07.2023. Det er totalt 508 nye sårbarheter som rettes opp, hvor flere er kategorisert som kritiske. 372 av sårbarhetene kan utnyttes uten autentisering og berører blant annet produktene: Oracle Utilities Applications, Oracle Supply Chain, Oracle Siebel CRM, Oracle Retail Applications, Oracle PeopleSoft, Oracle Hospitality Applications, Oracle JD Edwards, Oracle Hyperion, Oracle Financial Services Applications, Oracle Enterprise Manager, Oracle Communications, Oracle Analytics, Oracle Fusion Middleware og Oracle MySQL. Fullstendig liste over berørte produkter finnes på Oracle sin nettside.
Referanser
https://www.oracle.com/security-alerts/ https://www.oracle.com/security-alerts/cpujul[...]

Kritisk sårbarhet oppdaget i Citrix ADC og Gateway

Citrix varsler brukere av NetScaler ADC og NetScaler Gateway, tidligere Citrix ADC/Citrix Gateway om svakheter som tillater ekstern kodeeksekvering. Følgende versjoner er berørte: NetScaler ADC and NetScaler Gateway 13.1 before 13.1-49.13 NetScaler ADC and NetScaler Gateway 13.0 before 13.0-91.13 NetScaler ADC and NetScaler Gateway version 12.1 (currently end-of-life) NetScaler ADC 13.1-FIPS before 13.1-37.159 NetScaler ADC 12.1-FIPS before 12.1-55.297, and NetScaler ADC 12.1-NDcPP before 12.1-55.297
Anbefaling
Kunder av de berørte produktene anbefaler å oppdatere disse produktene snarest.
Referanser
https://support.citrix.com/article/CTX561482/[...] https://nvd.nist.gov/vuln/detail/CVE-2023-3519 https://nvd.nist.gov/vuln/detail/CVE-2023-3466 https://nvd.nist.gov/vuln/detail/CVE-2023-3467

2023.07.17 - Nyhetsbrev

Tomra utsatt for dataangrep

Tomra utsatt for dataangrep

Panteselskapet Tomra har blitt påvirket av et omfattende angrep rettet mot datasystemene sine. Angrepet ble oppdaget søndag morgen, 16.juli. Som en konsekvens av angrepet koblet Tomra umiddelbart ut enkelte komponenter i systemene sine for å minimere skadeomfanget av angrepet.
Referanser
https://newsweb.oslobors.no/message/595436

2023.07.14 - Nyhetsbrev

Sårbarheter i IT-produkter fra Citrix, Cisco, Juniper og SonicWall
Kritisk sårbarhet i Adobe ColdFusion krever øyeblikkelig oppdatering

Sårbarheter i IT-produkter fra Citrix, Cisco, Juniper og SonicWall

JustisCERT advarer om flere alvorlige sårbarheter i produkter fra Citrix, Cisco, Juniper og SonicWall. Citrix har to sårbarheter, èn kritisk og èn alvorlig i sin Secure Access-klient for Ubuntu og Windows. Oppdateringer er tilgjengelige. Cisco har en kritisk sårbarhet i SD-WAN vManage. Oppdateringer er tilgjengelige. Juniper har publisert 17 bulletiner, med to kritiske og seks alvorlige sårbarheter i sine produkter, inkludert Junos OS og Contrail Cloud. Oppdateringer er tilgjengelige. SonicWall har publisert et bulletin som dekker 15 sårbarheter, hvor fire er kategorisert som kritiske. Oppdateringer er tilgjengelige. JustisCERT anbefaler å oppdatere berørte produkter umiddelbart, aktivere automatisk oppdatering der det er mulig og fjerne ubrukt programvare. Prioriter systemer som kan nås fra internett og de som håndterer viktige data. Sikkerhetspraksis som multifaktorautentisering (MFA) og nettverkssegmentering anbefales.
Referanser
https://support.citrix.com/knowledge-center/s[...] https://sec.cloudapps.cisco.com/security/cent[...] https://supportportal.juniper.net/s/global-se[...] https://psirt.global.sonicwall.com/vuln-detai[...] https://nsm.no/grunnprinsipper-ikt <https://n[...] https://www.cisa.gov/shields-up <https://www.[...]

Kritisk sårbarhet i Adobe ColdFusion krever øyeblikkelig oppdatering

Adobe har utbedret en kritisk sårbarhet i Adobe ColdFusion som krever umiddelbar oppdatering, dette gjelder spesielt for instanser eksponert på internett. Adobe varslet om flere sårbarheter i deres produkter den 11.07.23, inkludert den mest alvorlige i ColdFusion (CVE-2023-29300, CVSS-score på 9.8). Produkter påvirket er Adobe InDesign og Adobe ColdFusion. Vi oppfordrer til rask oppdatering av ColdFusion men InDesign kan oppdateres i henhold til vanlige rutiner.
Referanser
https://helpx.adobe.com/security/products/ind[...] https://www.securityweek.com/adobe-patch-tues[...] http://ndesign-coldfusion/

2023.07.13 - Nyhetsbrev

Fortinet patcher kritisk FortiOS sårbarhet. Ransomware-gjenger tjener milliarder mens aktiviteten stiger. Apple utgir raskfiks for iOS og macOS sikkerhet etter Safari-problemer.

Fortinet patcher kritisk FortiOS sårbarhet

Fortinett annonserte tirsdag en sikkerhetsoppdatering som adresserer en sårbarhet med kritisk alvorlighetsgrad i FortiOS og FortiProxy som kan utnyttes for fjernkode-eksekvering. Sårbarheten (CVE-2023-33308) med CVSS score 9.8 er beskrevet som et stack-basert overflow problem som påvirker "deep inspection"-funksjonen i proxy-modus. Siden problemet kun oppstår når denne modusen er aktivert i proxy-policyer eller i brannmur, vil deaktivering av modusen være en metode for å forhindre sårbarheten. Sårbarheten påvirker versjonene FortiOS og FortiProxy versjonene 7.2.x og 7.0.x.
Referanser
https://www.securityweek.com/fortinet-patches[...]

Ransomware-gjenger tjener milliarder mens aktiviteten stiger

Ransomware-gjenger tjener milliarder etter Russland-Ukraina-krigen. Chainalysis: Over 449 millioner dollar utpresset fra ofre. Forventet inntekt nær 900 millioner dollar i 2023. "Big game hunting", der ransomware-gjenger retter seg mot store selskaper, og avtagende effekter fra krigen bidrar til gjenoppblomstringen. Chainalysis påpekte i tillegg at grupper som Cuba ransomware ble tvunget til å endre taktikk fra angrep med økonomisk motivasjon til spionasje og angrep rettet mot Ukraina.
Referanser
https://therecord.media/ransomware-gangs-exto[...]

Apple utgir raskfiks for iOS og macOS sikkerhet etter Safari-problemer

Rapid Security Response-oppdateringer gir sikkerhetsfikser til iOS- og macOS-brukere uten behov for full programvareoppdatering. Dagens oppdateringer retter aktivt utnyttet WebKit-sårbarhet. iOS 16.5.1 og macOS Ventura 13.4.1 er tilgjengelige via standardoppdateringsmekanismen. Oppdateringene tar bare noen minutter å laste ned og krever omstart. Apple trakk tilbake oppdateringer etter Safari-problemer, men de nye (c)RSR-ene løser dette.
Referanser
https://www.macrumors.com/2023/07/12/apple-re[...]

2023.07.12 - Nyhetsbrev



Telenor Sikkerhetssenter - Daglig nyhetsbrev 2023.07.12

Hackere utnytter åpen kildekode-verktøy for å omgå Windows-driverbegrensninger. Progress Software varsler om sårbarheter i MOVEit Transfer-produkter. Sårbarheter i Microsoft-programvare - Oppdatering anbefales av NCSC.

Hackere utnytter åpen kildekode-verktøy for å omgå Windows-driverbegrensninger

Hackere bruker åpen kildekode-programvare som er populær blant juksespillere for å omgå Microsofts begrensninger og spre skadevare. Ved å signere skadelige systemdrivere kan de manipulere videospill og gi seg selv en urettferdig fordel. Forskere fra Cisco Talos-team oppdaget at flere trusselgrupper, som snakker kinesisk, har tatt i bruk disse verktøyene (HookSignTool og FuckCertVerifyTimeValidity) for å gi skadevaren deres ekstra funksjonalitet.

https://arstechnica.com/security/2023/07/hackers-exploit-gaping-windows-loophole-to-give-their-malware-kernel-access/

Progress Software varsler om sårbarheter i MOVEit Transfer-produkter (Medium)

Progress Software har identifisert flere alvorlige sårbarheter i MOVEit Transfer, og har utgitt en sikkerhetsoppdatering for å tette disse sikkerhetshullene. En av sårbarhetene er vurdert som kritisk og kan tillate uautorisert tilgang til MOVEit Transfer-databasen. De andre sårbarhetene kan føre til programsvikt. Det er ingen rapporter om utnyttelse av sårbarhetene.

https://www.bleepingcomputer.com/news/security/moveit-transfer-customers-warned-to-patch-new-critical-flaw/
https://nvd.nist.gov/vuln/detail/CVE-2023-36932
https://nvd.nist.gov/vuln/detail/CVE-2023-36934
https://nvd.nist.gov/vuln/detail/CVE-2023-36933

Sårbarheter i Microsoft-programvare - Oppdatering anbefales av NCSC (Medium)

Microsoft har offentliggjort sine månedlige sikkerhetsoppdateringer, som inkluderer 9 kritiske sårbarheter. Flere av disse sårbarhetene kan utnyttes til å kjøre kode over internett. De kritiske sårbarhetene påvirker blant annet Windows Remote Desktop, Windows Office Sharepoint, Windows PGM og Windows Message Queuing. NCSC (Nasjonal sikkerhetsmyndighet) anbefaler systemeiere å oppdatere programvaren på sine systemer til siste versjon så snart som mulig.

https://portal.msrc.microsoft.com/en-US/security-guidance
https://nsm.no/puls
https://isc.sans.edu/diary.html?storyid=0

Telenor SOC / +47 37 01 84 00 / Sikkerhetsblogg - http://telenorsoc.blogspot.com
Ta kontakt med oss for en prat om din bedrifts sikkerhet! - https://www.telenor.no/bedrift/sikkerhet/kontakt/
Få oversikt over våre sikkerhetstjenester! - https://www.telenor.no/sikkerhet/trygg-bedrift/

Informasjonen i Telenors nyhetsbrev er hentet fra flere uoversiktlige kilder. Telenors analytikere gjør en vurdering av informasjon før publisering, men Telenor kan ikke holdes ansvarlig for hverken skade eller tap som måtte oppstå av ukorrekt, manglende eller utilstrekkelig informasjon.

2023.07.11 - Nyhetsbrev

RomCom RAT sikter seg mot NATO og Ukrainske støttegrupper. HPE Aruba Advarer om Alvorlige Sårbarheter i Nettverksprodukter.

HPE Aruba advarer om alvorlige sårbarheter i nettverksprodukter

HPE Aruba har utstedt en advarsel om flere sårbarheter i deres nettverksprodukter, som potensielt kan gi uautoriserte angripere muligheten til å kjøre vilkårlig kode, få tilgang til sensitiv data, eller forårsake tjenestenekt. Berørte produkter inkluderer Mobility Conductor, Mobility Controllers, samt WLAN og SD-WAN Gateways styrt av Aruba Central. En rekke versjoner av ArubaOS og SD-WAN-programvare er påvirket. Selv om det ikke foreligger tegn på aktiv utnyttelse, anbefaler HPE Aruba brukere å oppdatere sine systemer.
Referanser
https://www.arubanetworks.com/assets/alert/AR[...] https://www.arubanetworks.com/support-service[...]

RomCom RAT sikter seg mot NATO og Ukrainske støttegrupper

Aktørene bak RomCom RAT har blitt mistenkt for phising-angrep rettet mot det kommende NATO møte i Vilnius, og en organisasjon som støtter Ukraina. Dette ble avdekket av BlackBerry Threat Research and Intelligence team som fant to ondsinnede dokumenter sendt fra Ungarn 4.juli.
Referanser
https://thehackernews.com/2023/07/romcom-rat-[...]

2023.07.10 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

2023.07.07 - Nyhetsbrev

Cisco advarer om alvorlig krypteringsfeil i datasenterswitcher. Android oppdatering tetter aktivt utnyttede sårbarheter. Iranske hackere med sofistikert skadevare retter seg mot Windows- og macOS-brukere. Skadelige apper på Google Play stjeler brukerdata uten samtykke. Russisk jernbaneside angivelig tatt ned av ukrainske hackere.

Cisco advarer om alvorlig krypteringsfeil i datasenterswitcher

Cisco har advart om en høyrisiko sårbarhet i visse datasenterswitcher, kjent som CVE-2023-20185. Switchene det gjelder er Cisco Nexus 9332C, 9364C og 9500 hovedswitcher (siste må ha et N9K-X9736C-FX Line Card). Switchene må være i ACI modus, være en del av et multilokasjons-topologi, ha CloudSec kryptering på og ha firmware 14.0 eller nyere. Cisco har ikke utstedt en oppdatering for å løse problemet, og anbefaler kunder å deaktivere den berørte funksjonen som en midlertidig løsning.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Android oppdatering tetter aktivt utnyttede sårbarheter

Googles siste oppdatering for Android fikser 43 sårbarheter, inkludert tre som er aktivt utnyttet av angripere (CVE-2023-2136, CVE-2023-26083, og CVE-2021-29256). Feilene påvirker Androids System og Arm Mali-komponenter. Oppdateringen retter også opp i en rekke andre sikkerhetsproblemer i Androids rammeverk og systemkomponenter. Ytterligere sikkerhetsoppdateringer er også utgitt for Google Pixel-enheter.
Referanser
https://www.securityweek.com/android-security[...]

Iranske hackere med sofistikert skadevare retter seg mot Windows- og macOS-brukere

Iranske hackere fra TA453-gruppen har igjen angrepet Windows- og macOS-brukere med avansert skadevare. I dette angrepet brukte de en ny infeksjonskjede og utnyttet sårbarheter i både Windows- og macOS-operativsystemer. Gruppen tilpasser angrepsmetodene avhengig av målets datamaskin, og sendte forskjellige typer ondsinnede filer og lenker. De benyttet seg av PowerShell-ryggdøren GorjolEcho for Windows-brukere og den macOS-baserte bakdøren NokNok, som ble forkledd som en VPN-applikasjon. TA453-gruppen, som er knyttet til Irans islamske revolusjonsgarde, har vist evne til å tilpasse seg og kontinuerlig oppdatere sin skadevare for å innhente etterretning og opptre mest mulig i det skjulte.
Referanser
https://thehackernews.com/2023/07/iranian-hac[...]

Skadelige apper på Google Play stjeler brukerdata uten samtykke

Sikkerhetsforskere har funnet to skadelige filbehandlingsapper på Google Play med over 1,5 millioner installasjoner. Appene samler inn brukerdata uten samtykke og sender dem til servere i Kina. Til tross for rapportering til Google, er appene fortsatt tilgjengelige. Appene skjuler seg og misbruker tillatelser for å kjøre i bakgrunnen. Utgiveren mistenkes for å ha manipulert populariteten. Navn: "File Recovery & Data Recovery", "File Manager" Utvikler: "wang tom"
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Russisk jernbaneside angivelig tatt ned av ukrainske hackere

Det russiske jernbaneselskapet RZD opplevde et omfattende cyberangrep som førte til at nettsiden og mobilappen deres var nede i flere timer. Den ukrainske hacktivistgruppen IT Army, påstod at de sto bak angrepet. RZD rapporterte at driften senere ble gjenopprettet, til tross for pågående angrep. Dette er det andre store angrepet på RZD siden krigen i Ukraina startet, begge involverte intense DDoS-angrep som oversvømmer et nettsted med tilfeldig trafikk.
Referanser
https://therecord.media/russian-railway-site-[...]

2023.07.06 - Nyhetsbrev

Løsepengevirus stopper driften ved Japans største havn, Port of Nagoya. Nytt verktøy utnytter sårbarhet i Microsoft Teams for å spre skadevare. Firefox versjon 115 fikser flere svakheter. Oppsummering av nyhetsbildet innen datasikkerhet for juni 2023.

Nytt verktøy utnytter sårbarhet i Microsoft Teams for å spre skadevare

En amerikansk marineoffiser har utviklet et verktøy kalt TeamsPhisher, som utnytter en fortsatt uløst sikkerhetsfeil i Microsoft Teams for å sende filer med skadelig programvare til brukere utenfor organisasjonen. Dette er mulig på grunn av at sikkerhets-systemer i applikasjonen kan lures til å behandle en ekstern bruker som intern. TeamsPhisher er et Python-basert verktøy som automatiserer angrepet, og det krever at brukerne har en Microsoft Business-konto med en gyldig Teams og Sharepoint lisens. Verktøyet inneholder også en "forhåndsvisningsmodus" for å verifisere mål-listen og se meldingene fra mottakerens perspektiv.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Firefox versjon 115 fikser flere svakheter

Mozilla har sluppet Firefox versjon 115 i stabil utgave. Den nye versjonen fikser blant annet to svakheter rangert med "høy" viktighet. Begge svakhetene er av typen "use-after-free" og skyldes feil i håndtering av minne.
Referanser
https://www.securityweek.com/firefox-115-patc[...]

Løsepengevirus stopper driften ved Japans største havn, Port of Nagoya

Et angrep fra løsepengevirusgruppen LockBit 3.0 har ført til full stans ved Japans største havn, Port of Nagoya. Havnen er en sentral fraktkanal for bilprodusenten Toyota. Lastecontainere fra hele verden er for tiden strandet som et resultat av angrepet. Ifølge operatøren, Nagoya Harbor Transportation, mottok de et løsepengekrav fra LockBit 3.0 etter hendelsen. Havnen forventer å gjenoppta drift torsdag morgen.
Referanser
https://www.darkreading.com/attacks-breaches/[...] https://therecord.media/major-japanese-port-s[...]

Oppsummering av nyhetsbildet innen datasikkerhet for juni 2023

Denne måneden skriver vi blant annet om ransomware-angrep mot hundrevis av firmaer gjennom tjenesten MOVEit og avanserte angrep mot iOS-enheter.
Referanser
https://telenorsoc.blogspot.com/2023/07/oppsu[...]

2023.07.04 - Nyhetsbrev

Proxyjacking brukes for å tjene penger fra kompromitterte servere. Kinesiske hackere retter seg mot europeiske ambassader med HTML data-obfuskering.

Proxyjacking brukes for å tjene penger fra kompromitterte servere

Cyberkriminelle har lenge installert programvare for å utvinne kryptovaluta fra kompromitterte PCer og servere. De kan så tjene penger på å utføre CPU- eller GPU-krevende operasjoner. Angripere har nå også begynt å installere proxy-programvare som betaler brukeren på maskiner de får kontroll over. Dette fungerer ved at flere firmaer betaler noen få dollar i måneden for å få brukere til å installere en proxy på PCen og få sende trafikk ut via den. Programvare for å utvinne kryptovaluta vil ofte få PCen til å gå varm og lage mye støy, mens proxy-programvare ikke er like lett å oppdage.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Kinesiske hackere retter seg mot europeiske ambassader med HTML data-obfuskering

Kinesiske cyberspioner har rettet seg inn mot europeiske ambassader og utenriksdepartementer ved hjelp av en metode kjent som HTML data-obfuskering (HTML-smugling). De infiltrerer systemene ved å skjule skadelig programvare, kjent som PlugX, i HTML-dokumenter. Denne teknikken har gjort det mulig for kampanjen, som har pågått siden desember 2022, å forbli stort sett uoppdaget.
Referanser
https://therecord.media/html-smuggling-china-[...] https://research.checkpoint.com/2023/chinese-[...]

2023.07.03 - Nyhetsbrev

Kinas oppdaterte kontra-spionasje lov trådte i kraft 1. juli

Kinas oppdaterte kontra-spionasje lov trådte i kraft 1. juli

Den oppdaterte loven utvider definisjonen av spionasje til å omfatte dokumenter, data og materialer knyttet til nasjonale sikkerhetsinteresser. Dette kan medføre juridiske risikoer og usikkerhet for utenlandske selskaper. Imidlertid mener noen analytikere at endringen i loven er mindre betydningsfull enn antatt, da den bygger videre på allerede eksisterende lover.
Referanser
https://www.theregister.com/2023/07/03/china_[...] https://www.dni.gov/files/NCSC/documents/Safe[...]