2023.08.31 - Nyhetsbrev

Kinesisk koblet BadBazaar Android-spionvare angriper Signal- og Telegram-brukere.

Kinesisk koblet BadBazaar Android-spionvare angriper Signal- og Telegram-brukere

Sikkerhetsforskere har oppdaget ondsinnede Android-apper som gir seg ut for å være Signal og Telegram som sprer BadBazaar spionvare via Google Play Store og Samsung Galaxy Store. ESET knytter kampanjen til GREF, en aktør med kinesiske forbindelser. Kampanjen har vært aktiv siden 2020 og har spredt BadBazaar via ulike app-butikker. Ofrene er hovedsakelig oppdaget i Tyskland, Polen og Danmark, samt i flere andre land. BadBazaar ble først dokumentert i 2022 og har vært målrettet mot uiguriske samfunn i Kina ved å utgi seg for å være ufarlige apper, men som egentlig samlet inn data. ESET følger fortsatt GREF som en egen klynge på tross av tidligere koblinger til APT15. BadBazaars mål er å stjele data og overvåke Signal-meldinger ved å knytte offerets Signal Plus Messenger til angriperens enhet.
Referanser
https://thehackernews.com/2023/08/china-linke[...]

2023.08.30 - Nyhetsbrev

Europeiske og amerikanske myndigheter har tatt ned ned Qakbot-nettverket. Mozilla lanserer Firefox 117 med feilrettinger. VMware patcher store sikkerhetshull i Aria Operations for Networks. Sårbarheter i HPE Aruba switcher og Juniper Junos OS. Meta aksjonerer mot kinesisk påvirkningsoperasjon.

Europeiske og amerikanske myndigheter har tatt ned ned Qakbot-nettverket

FBI og myndigheter i flere europeiske land har tatt ned Qakbot-nettverket, som har operert siden 2008. Dette nettverket har infisert over 700.000 enheter og blitt brukt til ransomware-angrep og svindel. Myndighetene beslagla også over $8.6 millioner i kryptovaluta. Før nettverket ble tatt ned, ble det brukt til å slette malware fra infiserte maskiner som var innmeldt i botnettet. Så langt skal aksjonen være gjennomført direkte mot infrastrukturen til Qakbot og ingen har blitt arrestert eller tiltalt. Byråene har også inngått et samarbeid med tjenesten HaveIbeenpwned.com, slik at ofre kan sjekke i hvilken grad de er påvirket av Qakbot på nettsiden deres.
Referanser
https://therecord.media/qakbot-cybercrime-bot[...] https://www.justice.gov/usao-cdca/divisions/n[...]

Mozilla lanserer Firefox 117 med feilrettinger

Mozilla har lansert en rekke sikkerhetsoppdateringer inkludert i Firefox 117, hvor flere alvorlige sårbarheter blir patchet. Svakhetene som ble oppdaget innebærer blant annet: Minnekorrupsjon, buffer overflow, og integer overflow. Noen av svakhetene gjør det mulig å kjøre vilkårlig kode (Arbitrary code execution). Mozilla anbefaler derfor at alle brukere oppdaterer nettleseren umiddelbart.
Referanser
https://www.mozilla.org/en-US/security/adviso[...]

VMware patcher store sikkerhetshull i Aria Operations for Networks

VMware delte nylig en sikkerhetsoppdatering for Aria Operations for Networks som adresserer to kritiske sårbarheter. Den første, merket som CVE-2023-34039 med en CVSS score på 9.8/10, gjør det mulig for uvedkommende å omgå SSH-autentisering. Den andre feilen, CVE-2023-20890, gir angripere med administrativ tilgang mulighet til å skrive filer hvor som helst på systemet. VMware har hatt flere sikkerhetsproblemer tidligere i Aria Operations for Networks produktet sitt, noe som har ført til at produktet er tagget i CISA "Known Exploited Vulnerabilities" katalogen. VMware anbefaler å oppdatere platformen for å unngå å bli påvirket av svakhetene.
Referanser
https://www.securityweek.com/vmware-patches-m[...]

Sårbarheter i HPE Aruba switcher og Juniper Junos OS

JustisCERT varsler om sårbarheter i: HPE Aruba switcher. Totalt 3 CVE ble publisert 29.08.2023, hvor 1 er kategorisert som alvorlig (CVE-2023-39266 med CVSS-score 8.3). HPE Aruba har publisert oppdateringer til støttede produkter. Svakheten lar en angriper bruke en spesielt utformet BPG UPDATE-pakke til å resette BGP-sesjoner. Juniper Junos OS og Junos OS Evolved. Totalt 1 CVE ble publisert 29.08.2023, kategorisert som alvorlig (CVE-2023-4481med CVSS-score 7.5). Juniper har publisert nødvendigeoppdateringer.
Referanser
https://supportportal.juniper.net/s/article/2[...] https://www.arubanetworks.com/assets/alert/AR[...]

Meta aksjonerer mot kinesisk påvirkningsoperasjon

Meta opplyser at de har stengt nesten 8000 kontoer tilhørende en kinesisk påvirkningsoperasjon kalt Spamouflage/Dragonbridge. Operasjonen har pågått siden 2019 og retter seg mot flere plattformer som Facebook, x, YouTube, TikTok, Reddit osv. Målet med operasjonen er å påvirke oppfatningen av kinesiske myndigheter på en positiv måte.
Referanser
https://www.darkreading.com/application-secur[...] https://scontent-lga3-1.xx.fbcdn.net/v/t39.85[...]

2023.08.29 - Nyhetsbrev

Skyselskapet Leaseweb rammet av cyberangrep.

Skyselskapet Leaseweb rammet av cyberangrep

Det nederlandske skyselskapet og datacenter-leverandøren Leaseweb måtte stenge ned noen interne tjenester etter et cyberangrep som ble oppdaget sist uke. Hendelsen førte til at tjenesten gikk ned for enkelte av deres kunder. Tjenestene skal nå være oppe igjen.
Referanser
https://www.securityweek.com/leaseweb-reports[...]

2023.08.28 - Nyhetsbrev

7-Zip rammet av sårbarheter som gir angripere mulighet til å kjøre kode på berørte systemer. NPM-pakke med malware skjuler seg som epost-hjelper.

7-Zip rammet av sårbarheter som gir angripere mulighet til å kjøre kode på berørte systemer

HelseCERT melder at det nylig er offentliggjort informasjon om to sårbarheter, CVE-2023-40481 og CVE-2023-31102, i programmet 7-Zip. Sårbarhetene har fått en CVSS-score på 7.8, og utnyttelse lar angriper kjøre kode på berørte systemer. Sårbarhetene kan utnyttes når SQFS-filer analyseres av 7-Zip. Angripere kan utnytte disse sårbarhetene til å kjøre skadelig kode med samme rettighetsnivå som 7-Zip. Sårbarhetene er fikset i versjon 23.01 av 7-Zip. Oppgrader til den nyeste versjonen av 7-Zip-programvaren (23.01) iht. til vanlige oppdateringsrutiner.
Referanser
https://www.zerodayinitiative.com/advisories/[...]

NPM-pakke med malware skjuler seg som epost-hjelper

Selskapet "Phylum" har oppdaget en skadelig NPM-pakke kalt "emails-helper". En analyse av pakken avslørte et avansert angrep som involverte krypterte binærfiler, samt henting av krypteringsnøkler og C2-server-URLer via DNS TXT-poster. Det ble også lastet ned avanserte verktøy for videre innbrudd i form av dnscat2, mettle og Cobalt Strike Beacon.
Referanser
https://blog.phylum.io/npm-emails-validator-p[...]

2023.08.25 - Nyhetsbrev

Sårbarhet i WinRAR utnyttes aktivt til angrep. Cisco patcher svakheter som kan føre til DoS-angrep mot switcher og brannmurer.

Sårbarhet i WinRAR utnyttes aktivt til angrep

Hackere har siden april utnyttet en svakhet i pakke-programmet WinRAR til å ta kontroll over sårbare maskiner. Svakheten kan utnyttes ved å få offeret til å åpne et ZIP-arkiv og pakke ut filer og har blitt brukt til å kompromittere PCene til aksjetradere. WinRAR har gitt ut versjon 6.23 av WinRAR som fjerner svakheten.
Anbefaling
Referanser
https://www.group-ib.com/blog/cve-2023-38831-[...]

Cisco patcher svakheter som kan føre til DoS-angrep mot switcher og brannmurer

EkomCERT melder at Cisco den 23. august publiserte varsel om seks nye sårbarheter. Fem av dem er en del av Ciscos halvårlige bulk-oppdatering til FXOS og NXOS. EkomCERT ønsker å framheve de tre som er rangert som "høy". CVE-2023-20168, CVE-2023-20169, og CVE-2023-20200. Utnyttelse av sårbarhetene kan resultere i en uventet restart av enheten og føre til tjenestenekt (DoS). Sårbarhetene berører TACACS+ og RADIUS, IS-IS og SNMP. EkomCERT er ikke kjent med aktiv ondsinnet utnyttelse av de publiserte sårbarhetene.
Anbefaling
Installer patcher fra Cisco.
Referanser
https://www.securityweek.com/cisco-patches-vu[...] https://sec.cloudapps.cisco.com/security/cent[...]

2023.08.24 - Nyhetsbrev

Skaperne av Tornado Cash er siktet for å ha hjulpet med hvitvasking av penger for hackere. Google Workspace ruller ut innstilling som krever godkjenning av to administratorer for å gjøre kritiske endringer av systemet.

Skaperne av Tornado Cash er siktet for å ha hjulpet med hvitvasking av penger for hackere

Utviklerne av Tornado Cash, en desentralisert kryptomiksingstjeneste, har blitt arrestert for påstått hvitvasking av penger og brudd på sanksjoner. Tjenesten fungerer ved at en sender krypto-valuta inn i tjenesten og siden kan ta ut verdiene til nye adresser. På denne måten blir opprinnelsen til verdiene skjult, når mange nok bruker tjenesten samtidig. Utviklerne er siktet for å ha flyttet omtrent 1 milliard dollar for hackere og svindlere gjennom Tornado Cash-tjenesten, deriblant beryktede nordkoreanske Lazarus Group. Tornado Cash er en tjeneste som lar brukere anonymisere sine kryptotransaksjoner, men har også blitt benyttet for hvitvasking av penger.
Referanser
https://www.coindesk.com/policy/2023/08/23/to[...]

Google Workspace ruller ut innstilling som krever godkjenning av to administratorer for å gjøre kritiske endringer av systemet

Google lanserer en ny teknikk for å forsvare seg mot spear-phishing og forsøk på målrettet konto-overtakelser i Google Workspace, tidligere kalt G Suite. Funksjonen kalles "multi-party approval" og går ut på å aktivere krav om at minst to administratorer skal til for å godkjenne kritiske endringer i systemet for at endring skal tre i kraft. Sikkerhetsfunksjonen blir aktivert senere i år i en gradvis utrulling.
Referanser
https://www.bleepingcomputer.com/news/google/[...]

2023.08.23 - Nyhetsbrev

Ivanti advarer om enda en sårbarhet i MobileIron, Utspekulert annonse hos Google leder til svindel, CloudNordic rammet av ransomware-angrep,Akira-ransomware bryter seg inn via Cisco VPN-produkter

Ivanti advarer om enda en sårbarhet i MobileIron

Ivanti har advart kunder om en kritisk sårbarhet i Ivanti Sentry (tidligere kjent som MobileIron Sentry), som blir aktivt utnyttet. Denne sårbarheten, identifisert som CVE-2023-38035, lar uautoriserte angripere få tilgang til administrator-funksjoner for konfigurasjon av produktet. Utnyttelse kan tillate endringer i konfigurasjonen og kjøring av systemkommandoer på systemer som kjører Ivanti Sentry versjon 9.18 og tidligere. Ivanti har kommet med en oppdatering for svakheten. Svakheten utnyttes allerede aktivt og Ivanti opplyser at kun et fåtall kunder så langt har blitt rammet. Vi anbefaler å sjekke aktuelle systemer for kompromittering og oppgradere så fort som mulig.
Referanser
https://www.darkreading.com/attacks-breaches/[...] https://www.bleepingcomputer.com/news/securit[...] https://forums.ivanti.com/s/article/CVE-2023-[...]

Utspekulert annonse hos Google leder til svindel

En annonse for Amazon i søkeresultatene hos Google, sender brukerne videre til tech-support svindel. Annonsen har tilsynelatende riktig URL til Amazon.com, men brukeren blir i virkeligheten sendt til en annen nettside som forsøker å låse nettleseren til offeret, for deretter å oppfordre om å ringe til et falsk support-nummer. Google-annonser har i det siste blitt brukt til svindel og spredning av malware i flere omganger.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

CloudNordic rammet av ransomware-angrep

Natt til fredag ble det danske selskapet CloudNordic rammet av et ransomware-angrep. Alle systemer ble kryptert og tjenestene til selskapet gikk ned, inkludert interne systemer og kundenes hjemmesider, epost, data osv. Selskapet opplyser at løsesummen de har blitt bedt om å betale er for høy til at dette er en mulighet. De har heller ikke noen backup og kundenes data er tapt for alltid, dersom de ikke har laget egne backups. Direktør Martin Haslund Johansson uttaler til ComputerWorld at han ikke forventer at selskapet vil overleve angrepet.
Referanser
https://www.theregister.com/2023/08/23/ransom[...] https://www.cloudnordic.com/

Akira-ransomware bryter seg inn via Cisco VPN-produkter

Ransomware-banden Akira har vært aktive siden mars 2023. Sikkerhetsforskere rapporterer nå at gruppen benytter seg av Cisco VPN-løsninger som inngangsport til bedrifts-nettverk. Det er uklart hvordan gruppen får tak i gyldige kontoer, men de kan være kjøpt på det mørke nettet eller skaffet til veie via brute-force angrep. Brukere av Cisco VPN oppfordres til å benytte sertifikat-basert autentisering eller MFA.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2023.08.21 - Nyhetsbrev

Nettsider til kommuner over hele landet var nede
Flere sårbarheter i J-Web kan kombineres for å tillate fjernkjøring av kode før autentisering (preAuth Remote Code Execution) (Medium)

Nettsider til kommuner over hele landet var nede

Fredag formiddag opplevde kommuner og fylkeskommuner over hele landet problemer med nettsidene sine. Acos som leverer nett-tjenester til 260 kommuner, sier at det så ut som et målrettet DDoS-angrep mot en av kundene som videre fikk konsekvenser for flere. Datatilsynet mottok en melding om mulig dataangrep fra Aukra kommune, men det var foreløpig ingen indikasjoner på personopplysningtyveri.
Referanser
https://www.nrk.no/mr/nettsider-til-kommunar-[...]

Flere sårbarheter i J-Web kan kombineres for å tillate fjernkjøring av kode før autentisering (preAuth Remote Code Execution)

Ved å utnytte en rekke sårbarheter i J-Web-komponenten til Juniper Networks kan en uautentisert angriper på nettverket potensielt eksekvere kode eksternt. Disse problemene påvirker Juniper Networks Junos OS på SRX Series og EX Series i flere versjoner.
Anbefaling
For å forhindre ekstern kodeeksekvering, trengs kun en PR å bli fikset per plattform. Liste av fikset versjoner finnes på Juniper sine nettsider.
Referanser
https://supportportal.juniper.net/s/article/2[...]

2023.08.18 - Nyhetsbrev

Cisco retter sårbarheter med høy alvorlighetsgrad i bedriftsapplikasjoner
Rapport: Ransomware er fortsatt svært lønnsomt

Cisco retter sårbarheter med høy alvorlighetsgrad i bedriftsapplikasjoner

Cisco har kunngjort sikkerhetsoppdateringer for flere bedriftsapplikasjoner for å tette alvorlige sårbarheter, inkludert rettighets-eskalering, SQL-Injeksjon, katalogtraversering og tjenestenekt (DoS). Den mest kritiske sårbarheten påvirker nettadministrasjonsgrensesnittet til Unified Communications Manager. Feilen, kjent som "CVE-2023-20211", tillater angripere å utføre SQL-Injeksjonsangrep etter autentisering. Cisco har utgitt løsninger for dette i versjonene 12.5(1)SU8. Ytterligere sårbarheter inkluderer rettighets-eskalering i ThousandEyes Enterprise Agent, som krever gyldige legitimasjoner for utnyttelse, samt katalogtraversering og DoS-sårbarheter i Duo Device Health Application og ClamAV. Cisco advarer om at PoC-kode for noen av disse sårbarhetene er offentlig tilgjengelig, men de er ikke kjent med noen ondsinnede angrep så langt.
Referanser
https://www.securityweek.com/cisco-patches-hi[...]

Rapport: Ransomware er fortsatt svært lønnsomt

Sikkerhetsfirmaet Rapid7 har sluppet en ny rapport som oppsummerer trender innen datasikkerhet i første halvvår 2023. Firmaet trekker fram noen hovedpunkter: - 40% av hendelsene skyldtes manglende eller dårlig implementert multi-faktor autentisering, spesielt for VPNer og remote desktop. - Over 1500 firmaer ble rammet av ransomware i første halvår. - Svakheter i enheter som er direkte eksponert mot Internet blir ofte utnyttet, typisk i sikkerhets-utstyr, epost-servere og utstyr for filoverføring.
Referanser
https://information.rapid7.com/rs/411-NAK-970[...]

2023.08.17 - Nyhetsbrev

Proxy-nettverk på 400.000 maskiner bygd opp ved hjelp av malware. Chrome versjon 116 patcher 26 svakheter og Google går over til ukentlige oppdateringer.

Proxy-nettverk på 400.000 maskiner bygd opp ved hjelp av malware

Sikkerhetsforskere har kartlagt et stort botnett som selges som en del av en proxy-tjeneste. Selgerne av proxy-tjenesten påstår at de som har installert programvaren har godkjent dette, men i realiteten installeres den gjennom piratkopiert programvare og "cracks". Denne typen proxy-tjenester med kompromitterte private brukere benyttes av både kriminelle og statlige aktører for å skjule hvor angrepene kommer fra. En vanlig taktikk er å velge en proxy som ligger i det samme landet som den tjenesten som blir angrepet. Trafikken ser da ut som den kommer fra en vanlig privat bredbåndbruker. Aktøren som kompromitterte DSS i sommer (Departementenes sikkerhets- og serviceorganisasjon) benyttet seg for eksempel av denne taktikken.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Chrome versjon 116 patcher 26 svakheter

Google har gitt ut versjon 116 av nettleseren Chrome. Den utbedrer 26 svakheter. Den nye versjonen har ingen kritske svakheter, men 8 av svakhetene har alvorlighet "høy". Fra nå av skal Google gå over til å fikse sikkerhetssvakheter i Chrome hver uke, i motsetning til hver andre uke fram til nå. Dette gjøres for å få ut patcher raskest mulig, noe som er spesielt viktig ved zero-day svakheter.
Referanser
https://www.securityweek.com/chrome-116-patch[...] https://chromereleases.googleblog.com/2023/08[...]

2023.08.16 - Nyhetsbrev

Omtrent 2000 Citrix Netscaler-servere infisert i omfattende utnyttelseskampanje. E-post sikkerhetsstandarder viser seg å ikke tilstrekkelig for å hindre spam og phishing. Økning i antall hackede LinkedIn-kontoer.

Omtrent 2000 Citrix Netscaler-servere infisert i omfattende utnyttelseskampanje

Rundt 2000 Citrix Netscaler-enheter har blitt kompromittert i en massiv utnyttelseskampanje. Angriperne har utnyttet sårbarheter i systemet for å skaffe seg uautorisert tilgang til disse enhetene, etter at en kritisk svakhet ble annonsert 18. juli (CVE-2023-3519). De berørte enhetene har i noen tilfeller blitt brukt som en inngangsport for å få tilgang til bedriftsnettverk og data. Citrix har utgitt sikkerhetsoppdateringer for å tette sårbarhetene, og brukerne blir sterkt oppfordret til å implementere disse oppdateringene så raskt som mulig, samt å sjekke serverne for kompromittering. Hendelsen understreker viktigheten av å ha et godt patche-regime og overvåking av servere som er eksponert med tjenester direkte mot Internett.
Referanser
https://blog.fox-it.com/2023/08/15/approximat[...]

E-post sikkerhetsstandarder viser seg å ikke tilstrekkelig for å hindre spam og phishing

Nesten 90% av skadelige e-postmeldinger klarer å komme forbi SPF, DKIM eller DMARC. Angripere bruker gjerne en ondsinnet lenke eller nye domener som oppfyller de samme e-post sikkerhetsstandardene som vanlige brukere benytter for å stoppe trusler som phishing, ifølge Cloudflare. Det store flertallet (89%) av uønskede meldinger bestod en sjekk av minst en av de tre store e-post sikkerhetsstandardene: Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) eller Domain-based Message Authentication, Reporting and Conformance (DMARC).
Referanser
https://www.darkreading.com/vulnerabilities-t[...]

Økning i antall hackede LinkedIn-kontoer

Det rapporteres om en økning i kapring av LinkedIn-kontoer. Angriperne ser ut til å ha benyttet seg av ulike teknikker for å få tilgang til disse kontoene, inkludert phishing, bruk av lekkede passord fra andre tjenester og brute-force gjetting av mye brukte passord. Målet deres har vært å stjele sensitiv informasjon og spre ondsinnet innhold. Saken understreker viktigheten av å opprettholde høy grad av bevissthet rundt e-post sikkerhet, valg av passord og ikke dele sensitiv informasjon med ukjente kilder. Etter å ha tatt kontroll over kontoene endrer angriperne ofte epost-adressene til kontoene for å gjøre det vanskeligere for eieren å få kontroll over kontoen igjen.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2023.08.15 - Nyhetsbrev

FBI: De fleste DDoS-angrep er relatert til gaming og firmaer som prøver å ramme konkurrenter.

FBI: De fleste DDoS-angrep er relatert til gaming og firmaer som prøver å ramme konkurrenter

Ofte omtales DDoS-angrep i mediene som knyttet til nasjonale grupper, spesielt Russland, som retter angrepene mot rivaliserende lands nettsider. FBI-agentene Elliott Peterson og Cameron Schroeder fra USAs justisdepartement uttalte imidlertid nylig at de fleste DDoS-angrep skyldes smålige krangler blant barn og unge eller forsøk fra bedrifter på å stjele kunder. De avdekket at hovedmotivasjonen bak DDoS-angrep var å oppnå konkurransefordeler i spill, samt forsøk på å skade konkurrenters virksomhet. De billigste DDoS-tjenestene koster omtrent 30 dollar og er populære blant unge.
Referanser
https://therecord.media/ddos-attacks-tied-to-[...]

2023.08.14 - Nyhetsbrev

Ny Python URL-analyseringsfeil muliggjør kommandoinjeksjonsangrep. Dell Compellent hardkodet nøkkel avslører VMware vCenter admin-data. Knight skadevare distribuert i fake Tripadviser klage emailer.

Ny Python URL-analyseringsfeil muliggjør kommandoinjeksjonsangrep

En alvorlig sikkerhetsfeil har blitt oppdaget i Python sin URL-analyseringsfunksjon, som kan utnyttes til å omgå filtreringsmetoder og gi tilgang til vilkårlig lesing av filer og kjøring av kode. Feilen, identifisert som CVE-2023-24329 med en CVSS-poengsum på 7.5, oppstår når URL-en begynner med blanke tegn. Dette påvirker analysen av vertsnavn og skjema, og kan omgå blokkeringsmetoder. Sikkerhetsforsker Yebo Cao oppdaget problemet i august 2022, og det er løst i versjonene: 3.12, 3.11.4, 3.10.12, 3.9.17, 3.8.17 og 3.7.17 av Python. Sårbarheten ligger i urllib.parse, en mye brukt analysefunksjon for URL-er. Dette kan hjelpe angripere med å omgå utviklernes beskyttelsestiltak, noe som kan føre til angrep som SSRF og RCE.
Referanser
https://thehackernews.com/2023/08/new-python-[...]

Dell Compellent hardkodet nøkkel avslører VMware vCenter admin-data

En sårbarhet i Dell Compellent Integration Tools for VMware (CITV) tillater angripere å dekryptere lagrede vCenter admin-autentiseringsdata og hente ut klartekstpassord. Sårbarheten, sporet som CVE-2023-39250, oppstår på grunn av en statisk AES-krypteringsnøkkel som deles på tvers av installasjoner, og som brukes til å kryptere vCenter-autentiseringsdataene lagret i programmets konfigurasjonsfil. Angripere kan ekstrahere denne nøkkelen og enkelt dekryptere konfigurasjonsfilen for å hente ut passordet. Dell ble varslet om sårbarheten i april 2023 og har lovet å utbedre feilen innen november 2023.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Knight skadevare distribuert i fake Tripadviser klage emailer

Ransomwareen Knight, tidligere kjent som Cyclops, spres gjennom en spamkampanje som gir seg ut for å være TripAdvisor-klager. Operasjonen startet i mai 2023 og rekrutterte medhjelpere for å distribuere krypteringsverktøy for ulike operativsystemer. Den siste kampanjen bruker ondsinnede vedlegg som, når åpnet, injiserer skadevare i Excel-filer og krypterer filer med .knight_l-utvidelse. Ransomwaren krever $5,000 i Bitcoin, men betaling frarådes da samme Bitcoin-adresse kan brukes for flere ofre. Dette vil gjøre det vanskelig for bakmennene å vite hvem som faktisk har betalt og ikke.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2023.08.11 - Nyhetsbrev

CISA avdekker nytt bakdørmalware Whirlpool i angrep på kompromitterte Barracuda ESG-enheter. Skykampanje tar over kontoer ved bruk av EvilProxy mot toppledere i over 100 globale organisasjoner.

CISA avdekker nytt bakdørmalware Whirlpool i angrep på kompromitterte Barracuda ESG-enheter

Cybersecurity & Infrastructure Security Agency (CISA) har avdekket bakdørmalwaren "Whirlpool" brukt i angrep mot Barracuda Email Security Gateway (ESG)-enheter. Angrepene startet etter utnyttelse av sårbarheten CVE-2023-2868 i ESG-enheter, som tillot ekstern kommandoeksekvering. Barracuda erstattet tidligere enheter for kunder som ble berørt av malware kalt "Saltwater" og "SeaSpy". Den oppdagete Whirlpool-malwaren utgjør nå den tredje separate bakdøren som har blitt identifisert brukt i disse angrepene.
Referanser
https://www.bleepingcomputer.com/news/securit[...] http://www.cisa.gov/news-events/analysis-repo[...]

Skykampanje tar over kontoer ved bruk av EvilProxy mot toppledere i over 100 globale organisasjoner.

De siste seks månedene har forskere fra ProofPoint observert en dramatisl økning på over 100% i vellykede hendelser med overtakelse av skykontoer som påvirker ledere i ledende selskaper. Over 100 organisasjoner ble målrettet globalt, som til sammen representerer 1,5 millioner ansatte. Trusselaktører benyttet EvilProxy - et phishing-verktøy basert på en omvendt proxy-arkitektur, som tillater angripere å stjele MFA-beskyttede påloggingsopplysninger og øktinformasjonskapsler, med nærmere 120,000 phising-emailer sendt ut. Denne økende trusselen kominerer sofistikert Adversary-in-the-Middle-phising med avanserte metoder for overtakelse av kontoer, som respons på den økende bruken av multifaktor-autentisering av organisasjoner.
Referanser
https://www.proofpoint.com/us/blog/email-and-[...] https://www.bleepingcomputer.com/news/securit[...]

2023.08.10 - Nyhetsbrev

Intel patcher 80 svakheter i firmware og programvare. Nye svakheter kan tømme lommebøker for kryptovaluta.

Intel patcher 80 svakheter i firmware og programvare

Intel har utgitt 46 sikkerhetsråd for å informere kunder om 80 sårbarheter i firmaets firmware og programvare. De alvorligste feilene inkluderer 18 svakheter rangert som "høy" som tillater privilegie-eskalering eller i noen tilfeller DoS-angrep. Sårbarhetene påvirker prosessor-BIOS, brikkesett-firmware, ulike programvareprodukter og enheter. Middels alvorlige sårbarheter er også løst i ulike produkter og programvare, ofte med potensial for privilegie-eskalering eller informasjonsavsløring. De fleste feilene har fått rettelser utgitt, men noen påvirkede produkter er utenfor support.
Referanser
https://www.securityweek.com/intel-addresses-[...] https://www.intel.com/content/www/us/en/secur[...]

Nye svakheter kan tømme lommebøker for kryptovaluta

Flere null-dagers sårbarheter er oppdaget i noen av de mest brukte protokollene for multi-party computation (MPC), altså krypto-lommebøker som krever godkjenning av flere parter for å godkjenne transaksjoner. Denne typen lommebøker brukes for å øke sikkerheten hos store kryptovaluta-selskaper som Coinbase, Binance og også norske Firi. Svakhetene, kjent som Bitforge, gjorde det mulig å i praksis få godkjent en transaksjon med kun én signatur. Leverandøren Fireblocks har samarbeidet med lommebokleverandører for å tette sårbarhetene. Svakhetene ble funnet i flere kryptografiske protokoller som GG-18, GG-20 og implemetasjoner av Lindell 17.
Referanser
https://www.infosecurity-magazine.com/news/ze[...]

2023.08.09 - Nyhetsbrev

Datatilsynet griper inn mot Yangos overføring av personopplysninger til Russland
Alvorlige sårbarheter oppdaget i VPN-tjenester
Sårbarhet i AMD Zen-CPUer lekker informasjon
Alvorlig sårbarhet i Intel-prosessorer kalt "Downfall"
Adobe sikkerhetsoppdatering fikser 30 sårbarheter i Acrobat og Reader
August-oppdatering fra Microsoft: 88 sårbarheter fikset
Kritiske sårbarheter i TETRA-utstyr fra Motorola
Google med månedlig sikkerhetsoppdatering for Android
Oppsummering av nyhetsbildet innen datasikkerhet for juli 2023

Datatilsynet griper inn mot Yangos overføring av personopplysninger til Russland

Taxi-appen Yango er russiskeid og har tilgang til personopplysninger som lokasjon, hentested og destinasjon. En ny russisk lovgivning gir russiske myndigheter ubegrenset tilgang til disse dataene og trer i kraft 1. september. Datatilsynet har mottatt informasjon om at norske personopplysninger overføres fra Yango til Russland. I lys av den nåværende sikkerhetssituasjonen, kan dette utgjøre en akutt risiko for personvern for norske innbyggere som benytter seg av appen. Det norske og finske datatilsynet vil nå samarbeide for å forby Yango å sende personopplysninger til Russland.
Referanser
https://www.datatilsynet.no/aktuelt/aktuelle-[...]

Alvorlige sårbarheter oppdaget i VPN-tjenester

To sårbarheter kalt "TunnelCrack", er blitt avslørt i diverse VPN-tjenester. Disse sårbarhetene kan tillate en angriper å lekke trafikk utenfor VPN-tunnelen. De fleste VPN-produkter er funnet sårbare, med iOS-enheter som iPhones og MacBooks mest utsatt. Gjennom angrepene "LocalNet" og "ServerIP" kan skadelige aktører manipulere nettverksinnstillinger for å omdirigere trafikk utenfor beskyttede VPN-tunneler, noe som gir dem mulighet til å lese og avlytte overført trafikk. Cisco anbefaler å innføre lokale brannmur-regler på klienten for å motvirke svakhetene.
Referanser
https://tunnelcrack.mathyvanhoef.com/ https://tunnelcrack.mathyvanhoef.com/details.html https://papers.mathyvanhoef.com/usenix2023-tu[...] https://sec.cloudapps.cisco.com/security/cent[...]

Sårbarhet i AMD Zen-CPUer lekker informasjon

Forskere har oppdaget en ny type angrep, kalt Inception, som kan lekke vilkårlig data fra alle moderne AMD Zen prosessorer. Inception benytter seg av to teknikker: "Phantom speculation", som skaper en feilprediksjon uten en tydelig årsak og "Training in Transient Execution", som styrer disse feilprediksjonene for å forberede et annet angrep. Dette er en taktikk som får prosessoren til å misforstå en enkel operasjon (XOR) som noe langt mer komplekst. AMD jobber nå med løsninger for å forhindre dette, inkludert spesielle tiltak for Linux-datamaskiner.
Referanser
https://comsec.ethz.ch/research/microarch/inc[...] https://www.cve.org/CVERecord?id=CVE-2023-20569 https://www.cve.org/CVERecord?id=CVE-2022-23825

Alvorlig sårbarhet i Intel-prosessorer kalt "Downfall"

Downfall-angrepet retter seg mot en alvorlig sårbarhet i Intel-prosessorer. Denne sårbarheten, kjent som CVE-2022-40982, gir brukere mulighet til å få tilgang til og stjele data fra andre brukere på samme datamaskin. Dette kan la skadelige apper stjele sensitiv informasjon som passord og krypteringsnøkler. Svakheten rammer også sky-tjenester og andre virtualiserte miljøer. Problemet stammer fra minneoptimaliseringsfunksjoner i Intel-prosessorer som utilsiktet eksponerer interne maskinvare-registre. Dette gjør at programvare får tilgang til minneområder som tilhører andre prosesser.
Referanser
https://downfall.page/ https://cve.mitre.org/cgi-bin/cvename.cgi?nam[...]

Adobe sikkerhetsoppdatering fikser 30 sårbarheter i Acrobat og Reader

Adobe lanserte tirsdag en viktig oppdatering for Acrobat og Reader, og rettet 30 sårbarheter som påvirket Windows og macOS-brukere. Disse feilene kunne muliggjøre uønsket kodekjøring og omgåelse av sikkerhetsfunksjoner. Selv om de fleste feilene er relatert til minnesikkerhet, er det ikke rapportert om misbruk av dem i praksis. I tillegg ble det adressert sikkerhetshull i Adobe Commerce og Magento Open Source.
Referanser
https://www.securityweek.com/patch-tuesday-ad[...] https://helpx.adobe.com/security/products/acr[...]

August-oppdatering fra Microsoft: 88 sårbarheter fikset

Microsoft har rettet 88 sårbarheter i sin siste oppdateringspakke. Seks er kritiske, der to allerede utnyttet. Den ene svakheten som utnyttes aktivt er en sårbarhet i .NET og Visual Studio (CVE-2023-38180) for å utføre tjenestenekt-angrep. Den andre aktivt utnyttede svakheten (CVE-2023-36884) ligger i Microsoft Office og Windows Search. Microsoft meldte først om aktiv utnyttelse av denne svakheten i juli, men kom ikke med en skikkelig patch. Dagens oppdatering for Office stopper exploit-kjeden som trusselaktøren har benyttet seg av. Det er også flere fjernkodeeksekvering-svakheter i Microsoft Message Queuing. Denne tjenesten lytter på port 1801 dersom den er slått på, og bør slås av dersom mulig. CVSS for sårbarheten er satt til 9.8 av 10!
Referanser
https://isc.sans.edu/diary/Microsoft+August+2[...] https://portal.msrc.microsoft.com/en-us/secur[...]

Kritiske sårbarheter i TETRA-utstyr fra Motorola

Forskere har avdekket flere nulldags sårbarheter i TETRA, en global kommunikasjonsstandard for industrielle kontrollsystemer, nødnett og politi. Blant funnene er sårbarheter i Motorola basestasjoner og systembrikker, som er essensielle for TETRA-systemets drift. Det ble identifisert fire nulldags sårbarheter i Motorola MTM5400, tre kritiske sårbarheter i OMAP-L138 systembrikken og fem sårbarheter i Motorola MBTS TETRA base stasjon. Det er blant annet mulig å hente ut krypterings-nøkler fra utstyret. I juli ble det også meldt om andre svakheter i TETRA-systemet, blant annet i krypteringsalgortimen TEA1.
Referanser
https://www.darkreading.com/dr-global/tetra-z[...] https://www.blackhat.com/us-23/briefings/sche[...]

Google med månedlig sikkerhetsoppdatering for Android

Google har sluppet sin månedlige sikkerhetsoppdatering for Android. Den mest alvorlige svakheten denne måneden (CVE-2023-21265) ligger i system-komponenten og kan føre til fjernkjøring av kode, uten at spesielle rettigheter trengs for den ondsinnede appen eller at brukeren trenger å gjøre noe. Ellers er det rettet en rekke andre svakheter med kritisk og høy klassifisering i diverse komponenter, også i drivere fra Arm, Mediatek og Qualcomm.
Referanser
https://source.android.com/docs/security/bull[...]

Oppsummering av nyhetsbildet innen datasikkerhet for juli 2023

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for juli 2023. Denne måneden skriver vi blant annet om det målrettede angrepet mot DSS, kritisk svakhet i Citrix Netscaler og internt sikkerhetstrøbbel hos Microsoft.
Referanser
https://telenorsoc.blogspot.com/2023/08/oppsu[...]

2023.08.07 - Nyhetsbrev

CISA advarer om kritiske UEFI sikkerhetssårbarheter.

CISA advarer om kritiske UEFI sikkerhetssårbarheter

Det amerikanske cybersikkerhet-byrået, CISA, har uttrykt bekymring for potensielle sikkerhetssvakheter i Unified Extensible Firmware Interface (UEFI), da det utgjør et attraktivt mål for hackere. Byrået understreker at svakheter i UEFI-kode kan gjøre datasystemer utsatt for skjulte angrep som kan bli værende på systemet over tid. Sårbarheter ble tydeliggjort gjennom nylige hendelser med UEFI skadelig programvare BlackLotus. Patcher for UEFI-svakheter tar ofte lang tid å distribuere, siden de ofte må installeres manuelt av sluttbrukeren. CISA arbeider nå med Microsoft for å implementere sikrere oppdateringsrutiner.
Referanser
https://www.securityweek.com/cisa-calls-urgen[...] https://www.securityweek.com/blacklotus-bootk[...] https://www.welivesecurity.com/2023/03/01/bla[...]

2023.08.04 - Nyhetsbrev

Hackere kan utnytte Microsoft Office kjørbare filer for å laste ned skadevare. Chrome skadevare Rilide retter seg mot bedriftsansatte via PowerPoint. Google gir ut over $60,000 for V8 svakheter. Den amerikanske statlige kontraktøren Serco avslører databrudd etter MoveIT-angrep.

Hackere kan utnytte Microsoft Office kjørbare filer for å laste ned skadevare

Sikkerhetsforskere har identifisert nye potensielle trusler i Windows, inkludert kjørbare filer for Microsoft Outlook, Access, og Publisher. Disse filene kan misbrukes av hackere for å laste ned eller kjøre ondsinnede filer uten å utløse forsvarsmekanismer. Forskeren Nir Chako fra Pentera oppdaget i alt 11 nye filer som passer til kriteriene for LOLBAS. Funnene inkluderer også filer fra andre utviklere som PyCharm. Verktøyene Chako utviklet kan til og med brukes på andre plattformer som Linux for å utforske nye LOLBAS-trusler.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Chrome skadevare Rilide retter seg mot bedriftsansatte via PowerPoint

Den ondsinnede Chrome nettleserutvidelsen Rilide Stealer har returnert i nye kampanjer som retter mot krypto-brukere og bedriftsansatte for å stjele legitimasjon og krypto. Rilide imiterer legitime Google Drive-utvidelser for å overvåke brukeraktivitet og stjele informasjon. Trustwave SpiderLabs har oppdaget en ny versjon som også målretter bankkontoer og kan overføre stjålet data via Telegram eller ved å ta skjermbilder. Utvidelsen spres gjennom flere kampanjer som inkluderer over 1500 phishing-sider som hovedsakelig fokuserer på brukere i Australia og Storbritannia, og via phishing-e-poster som fremmer VPN- eller brannmurapper.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://thehackernews.com/2023/08/new-version[...]

Google gir ut over $60,000 for V8 svakheter

Google har utbetalt over 60000 dollar for tre alvorlige type-forvirringssårbarheter i Chrome V8-motor. Oppdateringen, Chrome 115, løser 17 sårbarheter, hvorav 11 ble rapportert av eksterne forskere. To av V8-sårbarhetene ble rapportert av en sikkerhetsforsker ved navn "Jerry", og den tredje av Man Yue Mo fra GitHub Security Lab. Totalt utbetalte Google 123 000 dollar i belønninger til forskerne. Siste Chrome-versjon er 115.0.5790.170 for Mac og Linux, samt 115.0.5790.170/.171 for Windows. Ingen indikasjoner på at sårbarhetene er utnyttet i angrep.
Referanser
https://www.securityweek.com/google-awards-60[...]

Den amerikanske statlige kontraktøren Serco avslører databrudd etter MoveIT-angrep

Serco Inc har offentliggjort et datainnbrudd der angripere stjal personlig informasjon fra over 10 000 individer fra en tredjeparts MoveIT-administrerte filoverførings (MFT) server. Informasjonen ble eksfiltrert fra filoverføringsplattformen til CBIZ, Serco sin fordelsadministrasjonsleverandør, etter et ransomware-angrep som startet i mai 2023. Personlig informasjon som ble kompromittert inkluderer navn, amerikanske personnummer, fødselsdato, hjemmeadresse, e-postadresse og valgte helsefordeler for året. Clop ransomware-gjengen står bak MoveIT-hackene, og det forventes at disse angrepene vil påvirke hundrevis av selskaper over hele verden.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2023.08.03 - Nyhetsbrev

Midnight Blizzard gjennomfører sosial manipulerings angrep ved bruk av Microsoft Teams. Mozilla oppdatering som fikser flere alvorlige sårbarheter. Uautorisert Tilgang til Tvers-Tenant Applikasjoner Oppdaget i Microsoft Azure

FIN8-gruppen benytter modifisert Sardonic-bakdør i BlackCat ransomware-angrep

Den økonomisk motiverte trusselaktøren kjent som FIN8 har blitt observert mens de brukte en "oppgradert" versjon av en bakdør kalt Sardonic for å levere BlackCat ransomware. Ifølge Symantec Threat Hunter Team er dette et forsøk fra e-kriminalitetsgruppen på å diversifisere sin fokus og maksimere profitt fra infiserte enheter. FIN8 har vært aktiv siden minst 2016 og har først og fremst rettet seg mot angrep på point-of-sale (PoS)-systemer. Den nyeste versjonen av Sardonic-bakdøren har betydelige endringer og er skrevet i programmeringsspråket C for å unngå likheter med tidligere versjoner. Denne bakdøren gir angriperen mulighet til å hente systeminformasjon og utføre kommandoer, i tillegg til å laste ned og kjøre ondsinnet programvare.
Referanser
https://thehackernews.com/2023/07/fin8-group-[...] https://thehackernews.com/2023/06/improved-bl[...] https://thehackernews.com/2021/08/researchers[...]

Midnight Blizzard gjennomfører sosial manipulerings angrep ved bruk av Microsoft Teams

Russiskbaserte Midnight Blizzard har utført høyintensive sosiale manipulerings-angrep ved å bruke Microsoft Teams, med mål om å stjeler legitimasjon. Ifølge Microsoft Threat Intelligence bruker trusselaktøren tidligere kompromitterte Microsoft 365-kontoer, eid av små bedrifter for å opprette nye domener som fremstår som tekniske støtteenheter. Disse domenene brukes til å sende Teams-meldinger, som målrettet forsøker å stjele legitimasjon fra organisasjoner, ved å få brukeren til å godkjenne multifaktorautentisering. Mindre enn 40 unike globale organisasjoner har blitt påvirket av kampanjen, rettet mot sektorer som regjeringer, ikke-statlige organisasjoner, teknologi og medier. Microsoft har avverget angriperen fra å bruke domenene og fortsetter å etterforske aktiviteten.
Referanser
https://www.microsoft.com/en-us/security/blog[...]

Mozilla oppdatering som fikser flere alvorlige sårbarheter

Mozilla har nylig utgitt en oppdatering til sin nettleser, Firefox, som adresserer 14 kjente sikkerhetssårbarheter. Av disse er ni klassifisert som høy alvorlighetsgrad, inkludert tre som refererer til minnesikkerhetsfeil. En av de alvorlige feilene tillot nettsider å vise bilder fra andre sider, i strid med nettleserens same-origin policy. En annen kunne føre til feil kompilering og potensielt utnyttbar kræsj i innholdsprosessen. De fleste av disse høyrisikoproblemene påvirker også Firefox Extended Support og Thunderbird, men Mozilla har bekreftet at ingen av sårbarhetene har blitt utnyttet i angrep.
Referanser
https://www.securityweek.com/firefox-116-patc[...]

Uautorisert Tilgang til Tvers-Tenant Applikasjoner Oppdaget i Microsoft Azure

En forsker ved sikkerhetsselskapet Tenable har oppdaget en sårbarhet i Microsoft Azure som tillater begrenset, uautorisert tilgang til applikasjoner på tvers av ulike tenants, samt til sensitiv informasjon som autentiseringshemmeligheter. Sårbarheten er delvis fikset, men en mer fullstendig løsning er fortsatt under utvikling. Tenable og Microsoft jobber sammen for å koordinere offentliggjøringen av detaljene rundt dette problemet. Mer informasjon forventes å bli gjort tilgjengelig innen 28. september 2023.
Referanser
https://www.tenable.com/security/research/tra[...]

2023.08.02 - Nyhetsbrev

Joint Cybersecurity Advisory fra NSM, NCSC og Amerikanske CISA. En hackergruppe fra Kina er mistenkt for å angripe systemer i Øst-Europa. Skytjenesteleverandør støtter 17 statlige hackergrupper.

Joint Cybersecurity Advisory fra NSM, NCSC og Amerikanske CISA

NSM ved NCSC har i samarbeid med Amerikanske CISA (Cybersecurity and Infrastructure Security Agency) har publisert en Joint Cybersecurity Advisory som beskriver sårbarhetene knyttet til svakheten i Ivanti Endpoint Manager Mobile, tidligere MobileIron Core. Rapporten beskriver hvordan sårbarheten er utnyttet og hva man bør se etter om man har brukt den aktuelle programvaren.
Referanser
https://nsm.no/aktuelt/joint-cybersecurity-ad[...] https://www.cisa.gov/news-events/cybersecurit[...]

En hackergruppe fra Kina er mistenkt for å angripe systemer i Øst-Europa

En statlig aktør som har forbindelser til Kina, mistenkes for å være bak flere angrep mot industrielle organisasjoner i Øst-Europa i fjor. Målet var å stjele data fra systemer som er isolert fra internett (såkalte air-gapped systemer). Sikkerhetsselskapet Kaspersky mener med middels til høy sikkerhet at hackergruppen APT31, også kjent under navn som Bronze Vinewood og Judgement Panda, står bak angrepene. Over 15 ulike skadelige programmer ble brukt i angrepene, designet for å få tilgang til, samle, og overføre sensitiv informasjon. En av programmene var en avansert skadevare som spesielt rettet seg mot flyttbare lagringsenheter, med mål om å tappe data fra isolerte, industrielle systemer. APT31 har også angrepet Linux-systemer, og deres teknikker inkluderer bruk av kryptering og injeksjon i systemminnet. Dette gjør det mer komplekst og vanskelig å oppdage og analysere truslene.
Referanser
https://thehackernews.com/2023/08/chinas-apt3[...] https://thehackernews.com/2021/08/new-chinese[...]

Skytjenesteleverandør støtter 17 statlige hackergrupper

Skytjenesteleverandøren Cloudzy blir anklaget for å ha leid ut serverplass til minst 17 ulike statlig sponsete hackergrupper fra land som Kina, Russland og Iran, ifølge en rapport fra det Texas-baserte selskapet Halcyon. Cloudzys administrerende direktør benektet påstandene og hevdet at bare 2% av selskapets kunder var ondsinnede. Halcyon mener at omtrent halvparten av Cloudzys virksomhet var ondsinnet, inkludert å leie tjenester til ransomware-grupper. Cloudzy er registrert i Kypros og USA, og driver med utleie av internett-hostingtjenester i bytte mot kryptovaluta. Saken illustrerer hvordan små selskaper kan bli brukt til å muliggjøre store cyberangrep.
Referanser
https://www.reuters.com/technology/cloud-comp[...]

2023.08.01 - Nyhetsbrev

Amerikanske myndigheter har oppdaget kinesisk skadevare på egen militær infrastruktur. Hackere bruker falsk Chat-App til å stjele data fra Signal og WhatsApp.

Amerikanske myndigheter har oppdaget kinesisk skadevare på egen militær infrastruktur

Den kinesiske skadevaren var godt skjult og funnene har ført til bekymringer for at Kina kan forstyrre eller forsinke amerikanske militæroperasjoner. Det jobbes nå med å finne og eliminere denne skjulte koden, som er beskrevet som en "tikkende bombe" på grunn av dens potensial for omfattende skade. Faren strekker seg utover militæret, da den samme infrastrukturen også forsyner sivilsamfunnet.
Referanser
https://www.abcnyheter.no/nyheter/politikk/20[...]

Hackere bruker falsk Chat-App til å stjele data fra Signal og WhatsApp

Hackere bruker en falsk Android-app kalt "SafeChat" til å infisere enheter med spionprogramvare. Deretter stjeler den samtalelogger og GPS-lokasjoner. Den indiske hackergruppen "Bahamut" antas å stå bak angrepet, som hovedsakelig retter seg mot brukere i Sør-Asia. Angrepet involverer en forfalsket registreringsprosess som lurer ofrene til å installere appen.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.cyfirma.com/outofband/apt-bahamut[...]