2023.09.29 - Nyhetsbrev

Utgiverne av MOVEit patcher kritisk svakhet i WS_FTP. Svakhet i video-biblioteket VP8 kan ramme flere produkter. Apple har gitt ut macOS Sonoma 14 og Safari 17. Russisk firma som kjøper opp svakheter tilbyr $20 millioner USD for iOS- og Android-svakheter.

Utgiverne av MOVEit patcher kritisk svakhet i WS_FTP

Progress Software melder om en kritisk svakhet i filoverføringsprogramvaren WS_FTP. Det er to svakheter som er fikset med CVSS-score på 10 og 9.9 som gjør at ikke-autentiserte angripere kan få tilgang til det underliggende operativsystemet. Firmaet er kjent for å levere et annet system for filoverføring kalt MoveIT. En svakhet i denne førte i sommer til at hundrevis av kunder ble utsatt for tyveri av data med påfølgende krav om løsepenger for å unngå offentliggjøring av dataene. Vi anbefaler å ikke eksponere tjenester av denne typen offentlig ut på Internet.
Referanser
https://www.securityweek.com/progress-softwar[...]

Svakhet i video-biblioteket VP8 kan ramme flere produkter

Onsdag patchet Google en kritisk svakhet i Chrome som allerede ble utnyttet i avanserte målrettede angrep av utgivere av kommersiell programvare for overvåking. Svakheten ligger i video-koding i formatet VP8. Det viser seg nå at mange andre produkter også kan inneholde en sårbar versjon av biblioteket og må oppdateres. Dette gjelder diverse Linux-distribusjoner, Skype, Adobe-produkter, VLC, Android osv. Det er bare et par uker siden det var en tilsvarende situasjon rundt dekoding av bilder i webp-formatet.
Referanser
https://arstechnica.com/security/2023/09/new-[...]

Apple har gitt ut macOS Sonoma 14 og Safari 17

Apple har gitt ut nye versjonav macOS og Safari med en mengde sikkerhetsoppdateringer, over 60 bare for macOS. Vi anbefaler å oppdatere til de nye versjonene!
Referanser
https://support.apple.com/kb/HT213940 https://support.apple.com/kb/HT213941

Russisk firma som kjøper opp svakheter tilbyr $20 millioner USD for iOS- og Android-svakheter

Operation Zero er et russisk firma som kjøper opp 0-dags sårbarheter. Firmaet opplyste denne uken at de nå tilbyr opp mot $20 millioner USD for ferske svakheter som fungerer mot iOS og Android. De opplyser også produktet vil bli brukt fra land som ikke er medlemmer av NATO. Andre oppkjøpsfirmaer tilbyr typisk 2-3 millioner USD.
Referanser
https://www.securityweek.com/russian-zero-day[...]

2023.09.28 - Nyhetsbrev

Hackere med forbindelse til Kina bruker spesial-versjoner av router-firmware. Mozilla lanserer sikkerhetsoppdateringer for Firefox og Thunderbird. Sikkerhetsoppdateringer fra Cisco. Google patcher årets femte aktivt utnyttede svakhet i Chrome.

Mozilla lanserer sikkerhetsoppdateringer for Firefox og Thunderbird for å fikse sårbarheter

Mozilla kunngjorde på tirsdag sikkerhetsoppdateringer for både Firefox og Thunderbird, som tar tak i totalt ni sårbarheter i produktene. Firefox 118 ble utgitt i den stabile kanalen med rettelser for ni sårbarheter, som hovedsakelig er relatert til minneproblemer og potensielt utnyttbare krasjer. Flere av sårbarhetene har fått status som høy alvorlighetsgrad, inkludert minnelekkasje og bruk-etter-fri-sårbarheter. Mozilla har ikke nevnt at noen av sårbarhetene har blitt utnyttet i ondsinnede angrep. Detaljert informasjon er tilgjengelig på Mozillas sikkerhetsrådgivningsside.
Referanser
https://www.securityweek.com/firefox-118-patc[...]

Sikkerhetsoppdateringer fra Cisco

JustisCERT varsler om sårbarheter som berører flere av Cisco sine produkter. Totalt 19 CVE ble publisert 27.09.2023 hvor 1 er kategorisert som kritisk (CVE-2023-20252 med CVSS-Score 9.8) og 10 som alvorlig (CVSS-Score 7.2 - 8.8). Den kritiske sårbarheten berører Cisco Catalyst SD-WAN Manager. Vi anbefaler patching!
Referanser
https://sec.cloudapps.cisco.com/security/cent[...]

Google patcher årets femte aktivt utnyttede svakhet i Chrome

Google har nok en gang patchet en 0-dags sårbarhet i Google Chrome, den femte i rekken dette året. Svakheten, som har fått benevnelsen CVE-2023-5217, utnyttes allerede aktivt i forbindelse med målrettede avanserte angrep. Svakheten ligger i dekoding av VP8-videoformatet i libvpx-biblioteket. Patchen ble denne gangen sluppet kun to dager etter at den først ble meldt.
Referanser
https://thehackernews.com/2023/09/update-chro[...] https://www.bleepingcomputer.com/news/securit[...]

Hackere med forbindelse til Kina bruker spesial-versjoner av router-firmware

Flere myndighetsorganer i USA har gått sammen om å utgi rådgivning rundt spesielt utformet firmware til routere, primært til Cisco-routere. Firmwaren blir installert uten store driftsavbrudd og brukes til å få fotfeste i underavdelinger av større organisasjoner med hovedkvarter i USA og Japan. Den intielle tilgangen utnyttes så for å få videre tilganger sentralt i de interne nettverkene. Den spesial-designede programvaren lar angriperne slå av og på funksjonaliteten ved å sende spesielt utformede TCP eller UDP-pakker til dem. De benytter en spesielt utformet SSH-bakdør som ikke skriver noe til systemets logger. Gruppen som står bak kalles BlackTech og knyttes til den kinesiske stat. I sine operasjoner utnytter de også annet utstyr basert på Windows, Linux og FreeBSD med spesial-designet malware som unngår oppdagelse fra EDR-produkter. Rapporten inneholder en gjennomgang av gruppens taktikker og teknikker.
Referanser
https://www.cisa.gov/news-events/cybersecurit[...] https://sec.cloudapps.cisco.com/security/cent[...]

2023.09.27 - Nyhetsbrev

Kritisk svakhet i libwebp utnyttes aktivt.

kritisk svakhet i libwebp utnyttes aktivt

Google har opprettet en ny CVE-identifikator for en kritisk og aktivt utnyttet svakhet i bilde-dekodingsbiblioteket libwebp, CVE-2023-5129. Svakheten har fått en alvorlighets-score (CVSS) på 10 av 10 mulige. Svakheten har i de siste ukene blitt patchet i blant annet produkter fra Apple, Google og Mozilla. Den utnyttes til å ta kontroll over sårbare systemer ved å få systemet til å dekode en spesielt utformet WebP-fil. Det sårbare biblioteket er i bruk i programvare utgitt både kommersielt og som åpen kildekode. Brukere av biblioteket oppfordres til å utbedre svakheten!
Referanser
https://thehackernews.com/2023/09/new-libwebp[...]

2023.09.22 - Nyhetsbrev

Apple utgir nødoppdateringer etter aktiv utnyttelse av svakheter. Patcher har blitt utgitt for svakheter i ISC Bind og produkter fra Atlassian.

Apple utgir nødoppdateringer etter aktiv utnyttelse av svakheter

Apple har lansert oppdateringer for å håndtere tre kritiske sikkerhetssårbarheter som berører iPhone og Mac. Disse sårbarhetene kunne utnyttes for å omgå systembeskyttelse og gi angripere økt tilgang. Kritiske feil ble identifisert i både nettlesermotoren og kjernerammeverket. Oppdateringer er nå tilgjengelige for de nyeste versjonene av iOS, iPadOS, macOS og watchOS. Funnene ble rapportert av eksperter fra Citizen Lab og Googles sikkerhetsteam. Citizen Lab fant også aktivt utnyttede svakheter som ble patchet tidligere i september.
Referanser
https://www.bleepingcomputer.com/news/apple/a[...]

Patcher har blitt utgitt for svakheter i ISC Bind og produkter fra Atlassian

Atlassian ofg the Internet Systems Consortium (ISC) har gitt ut patcher for svakheter i deres produkter. For Atlassian gjelder dette Jira Service Management, Confluence, Bitbucket og Bamboo. CVSS-score går fra 7.5 til 8.5 for svakhetene. ISC har fikset to svakheter i BIND DNS-server som kan føre til DoS-angrep.
Referanser
https://thehackernews.com/2023/09/high-severi[...]

2023.09.21 - Nyhetsbrev

Kritisk sårbarhet i GitLab. Kanadiske grensestasjoner fikk problemer etter DDoS-angrep.

Kritisk sårbarhet i GitLab

GitLab har nylig utgitt viktige sikkerhetsoppdateringer for å rette opp en kritisk sårbarhet, kjent som CVE-2023-5009 med CVSS-score på 9.6. Sårbarheten påvirker alle versjoner av GitLab Enterprise Edition (EE) fra 13.12 til 16.2.7, samt 16.3 til 16.3.4. Feilen tillot en angriper å kjøre "pipelines" som en annen bruker, noe som kunne utnyttes til å få tilgang til sensitiv informasjon eller endre kildekode.
Referanser
https://thehackernews.com/2023/09/gitlab-rele[...]

Kanadiske grensestasjoner fikk problemer etter DDoS-angrep

Kanadiske grensestasjoner og flyplasser fikk problemer etter et DDoS-angrep fra den russiske hacktivist-gruppen NoName057 forrige uke. Under angrepet virket ikke check-in kiosker og elektroniske porter som de skulle. Systemene virket som de skulle igjen etter noen få timer. Angrepet lykkes antageligvis fordi for mye av infrastrukturen var eksponert offentlig ut på Internett.
Referanser
https://therecord.media/canada-border-checkpo[...]

2023.09.20 - Nyhetsbrev

Kritisk sårbarhet i endepunkts-produkter fra Trend Micro utnyttes i angrep. Den internajonale krigsforbryterdomstolen utsatt for cyber-hendelse.

Kritisk sårbarhet i endepunkts-produkter fra Trend Micro utnyttes i angrep

Trend Micro har utgitt patcher for Trend Micro Apex One og Worry-Free Business Security som utbedrer en sårbarhet i en modul i et anti-virus produkt fra en trejdepart som er inkludert i produktet. Trend Micro opplyser at de allerede har sett at svakheten har blitt utnyttet mot én av deres kunder og de anbefaler å oppdatere så fort som mulig.
Referanser
https://success.trendmicro.com/dcx/s/solution[...]

Den internajonale krigsforbryterdomstolen utsatt for cyber-hendelse

Domstolen opplyser at de i slutten av forrige uke oppdaget unormal aktivitet i deres datasystemer. De begynte med én gang å undersøke saken og begrense skadevirkningene. Datasikkerheten skal bedres ytterligere og skytjenester skal tas i bruk i større grad.
Referanser
https://www.securityweek.com/cybersecurity-in[...] https://twitter.com/IntlCrimCourt/status/1704[...]

2023.09.19 - Nyhetsbrev

AI-forskere hos Microsoft eksponerte 38TB interne data ved en feil.

AI-forskere hos Microsoft delte 38TB interne data ved en feil

AI-forskere hos Microsoft skulle dele trenings-data åpent via Github. De genererte derfor en SAS (Shard Access Key) i Azure, men åpnet ved en feil for tilgang til alle data i kontoen, i stedet for tilgang til en spesifikk katalog. Forskerne delte derfor ut fulle backuper av to interne PCer, 30.000 interne Teams-meldinger og andre data. Ved bruk av SAS-nøkler anbefales det å knytte dem opp mot en SAP (Store Access Policy) for å gjøre det lettere å styre og logge tilgangen til dataene som er delt.
Referanser
https://www.wiz.io/blog/38-terabytes-of-priva[...]

2023.09.18 - Nyhetsbrev

Password spray-kampanjer utført av Peach Sandstorm samler inn etterretning fra mål av høy verdi

Siden februar 2023 har Microsoft observert en betydelig økning i passordsprayangrep utført av en trusselaktør knyttet til Iran kjent som Peach Sandstorm (HOLMIUM). Denne gruppen har rettet seg mot et bredt spekter av sektorer globalt, med særlig fokus på satellitt-, forsvars- og farmasøytiske organisasjoner. Microsoft mener at Peach Sandstorms hovedmål er innsamling av etterretning til støtte for iranske statsinteresser. Gruppen bruker passord-spraying mot tusenvis av systemer for å få initiell tilgang, de prøver altså å logge på med vanlige passord mot mange forskjellige kontoer. Kampanjen bruker en kombinasjon av offentlig tilgjengelige og tilpassede verktøy for kartlegging og laterale bevegelser innen kompromitterte miljøer. Noen inntrenginger har resultert i dataeksfiltrering.
Referanser
https://www.microsoft.com/en-us/security/blog[...]

Fortinet har sluppet oppdateringer for flere produkter

Fortinet har sluppet oppdateringer for FortiOS, FortiProxy og FortiWeb for å utbedre to svakheter (CVE-2023-29183 og CVE-2023-34984). Svakhetene gjør det mulig å omgå XSS- og CSRF-beskyttelse.
Referanser
https://www.cisa.gov/news-events/alerts/2023/[...] https://www.fortiguard.com/psirt/FG-IR-23-106 https://www.fortiguard.com/psirt/FG-IR-23-068

2023.09.14 - Nyhetsbrev

NSA og føderale partnere har sluppet rådgivning rundt trusler fra Deepfakes. Strømnettet til asiatisk land var kompromittert i seks måneder. Sårbarheter i Cisco IOS XR.

NSA og føderale partnere har sluppet rådgivning rundt trusler fra Deepfakes

NSA har sluppet en PDF-rapport med en gjennomgang av Deepfakes og hvordan organisasjoner kan forsvare seg mot denne trusselen. Deepfakes er media som er generert eller manipulert ved hjelp av maskinlæring/AI. Ofte blir for eksempel ansikter, stemme eller ord manipulert for å få frem et falskt budskap.
Referanser
https://www.nsa.gov/Press-Room/Press-Releases[...]

Strømnettet til asiatisk land var kompromittert i seks måneder

Symantec har sluppet en rapport om et cyber-innbrudd i strømnettet til et uspesifisert land i Asia. Innbruddet varte i seks måneder og ble utført ved hjelp av malware kalt ShadowPad, en videreutvikling av PlugX. Recorded Future mener at innbruddet kan knyttes til departementet for intern sikkerhet i Kina. Rapporten inneholder en oversikt over teknikker brukt av aktøren, samt IoCer.
Referanser
https://symantec-enterprise-blogs.security.co[...] https://therecord.media/power-grid-asian-nati[...]

Sårbarheter i Cisco IOS XR

Nkom CSIRT melder at Cisco i går publiserte sin peridiske oppdatering for IOS XR. Oppdateringen mitigerer en rekke sårbarheter knyttet til omgåelse en rekke ulike tilgangs- og rettighets-kontroller. EkomCERT ønsker spesielt å fremheve sårbarheten CVE-2023-20236 knyttet til ACL basert egress filtrering av trafikk i MPLS-forbindelser, samt en sårbarheten CVE-2023-20191 knyttet til iPXE boot hvor en angriper kan installere fra et ikke-verifisert installasjonsmedia (image).
Referanser
https://sec.cloudapps.cisco.com/security/cent[...]

2023.09.13 - Nyhetsbrev

Microsoft patcher 66 svakheter i september, 2 utnyttes aktivt. Adobe retter aktivt utnyttet svakhet i Adobe Reader/Acrobat. Mozilla patcher kritisk WebP-svakhet i Firefox og Thunderbird. Microsoft: Ransomware-tilgangsmegler kaprer kontoer via Microsoft Teams.

Adobe retter kritisk aktivt utnyttet svakhet i Adobe Reader/Acrobat

Adobe har advart om zero-day-angrep som påvirker deres mye brukte produkter Adobe Acrobat og Reader. I disse angrepene utnytter hackere en sårbarhet som kan utnyttes eksternt, kjent som CVE-2023-26369, som kan føre til kjøring av vilkårlig kode. Adobe bekrefter at denne sårbarheten allerede er blitt aktivt utnyttet i begrensede angrep. Selskapet har lansert oppdateringer som en del av "Patch Tuesday" for å adressere denne sårbarheten. De retter også flere feil i andre Adobe-produkter, inkludert Adobe Connect og Adobe Experience Manager (AEM).
Referanser
https://www.securityweek.com/adobe-says-criti[...]

Mozilla patcher kritisk WebP-svakhet i Firefox og Thunderbird

I de siste dagene har både Apple og Google patchet svakheter i dekoding av WebP-bilder i diverse produkter. Nå har Mozilla også sluppet oppdateringer for Firefox og Thunderbird. Svakhetene ble først oppdaget av Citizen Lab i forbindelse med at de ble brukt av NSO Group i deres Pegasus spyware i aktive angrep mot Apple-produkter. Svakheten utnyttes aktivt, så vi angriper snarlig patching!
Referanser
https://thehackernews.com/2023/09/mozilla-rus[...]

Microsoft: Ransomware-tilgangsmegler phisher kontoer via Microsoft Teams

Microsoft rapporterer at en trusselgruppe kjent som Storm-0324, som er kjent for å jobbe med flere ransomware-grupper, har skiftet fokus til phishing-angrep ved hjelp av Microsoft Teams for å få tilgang ferske kontoer hos bedrifter. Gruppen tok antageligvis i bruk den nye metoden i juli ved hjelp av et verktøy kalt TeamsPhisher for å utnytte et sikkerhetsproblem i Microsoft Teams. Verktøyet har gjort det mulig for trusselaktører å omgå restriksjoner på filtrering av innkommende filer i Teams fra eksterne tenants. Microsoft mente først at dette ikke var et stort problem, men har nå implementert flere tiltak etter at svakheten har blitt aktivt utnyttet. Eksterne brukere blir nå klart identifisert som eksterne og brukeren må aktivt takke ja for å svare på en innkommende chat.
Referanser
https://www.bleepingcomputer.com/news/securit[...] https://www.microsoft.com/en-us/security/blog[...]

Microsoft patcher 66 svakheter i september, 2 utnyttes

Denne måneden gir Microsoft ut oppdateringer for 66 sårbarheter. Blant disse er 5 vurdert som kritiske, og 2 blir allerede utnyttet aktivt, ifølge Microsoft. En av sårbarhetene som blir aktivt utnyttet er Microsoft Streaming Service Proxy Elevation of Privilege (CVE-2023-36802). Dersom denne sårbarheten utnyttes vellykket, kan en angriper oppnå SYSTEM-privilegier. CVSS-scoren for denne sårbarheten er 6,8. Den andre utnyttede sårbarheten er Microsoft Word Information Disclosure (CVE-2023-36761), som eksponerer NTLM-hashene når forhåndsvisningspanelet i Outlook brukes. Det har vært en del svakheter av denne typen de siste månedene, og det anbefales å sperre for utgående trafikk på port 445 for å forhindre denne typen informasjons-lekkasje. Blant de kritiske sårbarhetene er det en sårbarhet for fjernkjøring av kode (RCE) i Internet Connection Sharing (ICS) (CVE-2023-38148). Denne høyrisiko-sårbarheten gir uautoriserte angripere muligheten til å kjøre kode eksternt uten brukerinteraksjon eller spesielle privilegier. Den har den høyeste CVSS-scoren for måneden, med 8,8. Den nest høyeste CVSS-scoren for denne måneden er knyttet til en RCE-sårbarhet som påvirker Visual Studio (CVE-2023-36793). For å utnytte denne sårbarheten må en angriper overtale en bruker til å åpne en ondsinnet utviklingspakkefil i Visual Studio, og den har en CVSS-score på 7,8.
Referanser
https://isc.sans.edu/diary/30214 https://msrc.microsoft.com/update-guide/

2023.09.12 - Nyhetsbrev

Google haste-oppdaterer Chrome etter at svakhet blir aktivt utnyttet.

Google haste-oppdaterer Chrome etter at svakhet blir aktivt utnyttet

Google slapp i går en haste-oppdatering til Chrome utenom vanlig utgivelses-syklus. Det blir rettet én svakhet i dekoding av "WebP"-bildeformatet, som allerede blir utnyttet i aktive angrep. Svakheten ble oppdaget og rapportet til Google av Citizen Lab ved Universitetet i Toronto, den samme gruppen som oppdaget de kritiske svakhetene i iOS forrige uke. Vi anbefaler å patche så fort som mulig!
Referanser
https://thehackernews.com/2023/09/google-rush[...] https://chromereleases.googleblog.com/2023/09[...]

2023.09.11 - Nyhetsbrev

Kritisk sårbarhet i Cisco Broadworks. Fire svakheter har blitt rettet i Notepad pluss pluss.

Kritisk sårbarhet i Cisco Broadworks

HelseCERT opplyser at Cisco har publisert et varsel om en kritisk sårbarhet i CiscoBroadworks. Utnyttelse av sårbarheten lar en angriper omgå autentisering. Sårbarheten, CVE-2023-20238, har fått en CVSS score på 10 (Kritisk). Patch er tilgjengelig og vi anbefaler at man oppdaterer så fort som mulig.
Referanser
https://sec.cloudapps.cisco.com/security/cent[...]

Fire svakheter har blitt rettet i Notepad++

Notepad++ har blitt gitt ut i ny versjon for å mitigere totalt fire svakheter. En av dem er kategorisert som alvorlig (CVE-2023-40031, CVSS-score 7.8). Denne omhandler at Notepad++ er sårbare for heap buffer write overflow i `Utf8_16_Read::convert`. Dette kan føre til arbitrary code execution. De andre svakhetene er: CVE-2023-40036, CVSS-score 5.5, CVE-2023-40164, CVSS-score 5.5, CVE-2023-40166, CVSS-5.5.
Referanser
https://notepad-plus-plus.org/downloads/v8.5.7/

2023.09.08 - Nyhetsbrev

Ny zero-click zero-day svakhet i Apple-produkter utnyttes i angrep. Det blir alvor - Telenors årlige sikkerhetsrapport. Jobbsvindel: Fått melding om lettjente penger? Pass på! Storbritannia og USA sanksjonerer 11 russere knyttet til den beryktede Trickbot-gruppen. Aktiv nordkoreansk kampanje rettet mot sikkerhetsforskere.

Ny zero-click zero-day svakhet i Apple-produkter utnyttes i angrep

Apple-enheter angripes gjennom to nye svakheter kalt BLASTPASS som lar angripere ta kontroll over sårbare enheter uten at brukeren trenger å foreta deg noe eller har mulighet for å oppdage det. Svakheten utnyttes mot iPhones ved å sende en iMessage til offerets enhet med et spesielt PassKit-vedlegg. Det er CitizenLab som har oppdaget de nye svakhetene etter at de har sett dem i bruk av NSO Group i deres Pegasus spyware. Apple har sluppet følgende oppdateringer for å utbedre feilene: macOS Ventura 13.5.2, iOS 16.6.1, iPadOS 16.6.1 og watchOS 9.6.2 Vi anbefaler alle å installere patcher så fort som mulig.
Referanser
https://support.apple.com/en-us/HT213905 https://support.apple.com/en-us/HT213906 https://citizenlab.ca/2023/09/blastpass-nso-g[...] https://www.bleepingcomputer.com/news/securit[...]

Det blir alvor - Telenors årlige sikkerhetsrapport

En mer krevende sikkerhetspolitisk situasjon stiller skjerpede krav til digital motstandskraft. Kritisk infrastruktur er langt mer utsatt enn tidligere. Betydningen av dette er fokus i årets utgave av rapporten Digital Sikkerhet.
Referanser
https://www.mynewsdesk.com/no/telenor/pressre[...] https://www.telenor.no/om/digital-sikkerhet/2023/

Jobbsvindel: Fått melding om lettjente penger? Pass på!

Frister det med mange tusen kroner i lønn hver dag – med bare en times innsats? Dette fantastiske jobbtilbudet har de siste dagene kommet via iMessage til svært mange norske iPhone-eiere. Telenors sikkerhetsavdeling kontaktet svindlerne for å lære mer om svindlernes fremgangsmåte og mål!
Referanser
https://www.online.no/sikkerhet/svindel-falsk[...]

Storbritannia og USA sanksjonerer 11 russere knyttet til den beryktede Trickbot-gruppen

Myndighetene i USA og Storbritannia har innført sanksjoner mot elleve russiske statsborgere som angivelig er knyttet til Trickbot-malwaren og Conti ransomware-operasjonene. Disse grupperingene er anklaget for å ha stjålet over 180 millioner dollar globalt. I en felles innsats har det amerikanske justisdepartementet også avslørt tiltalepunkter mot syv av individene. Sanksjonene inkluderer reiseforbud og frysing av eiendeler, med mål om å forstyrre aktivitetene til disse cyberkriminelle som trives med anonymitet. Ved å avsløre deres identiteter, ønsker myndighetene å hindre deres operasjoner og å beskytte enkeltpersoner, bedrifter og institusjoner mot deres ondsinnede aktiviteter.
Referanser
https://therecord.media/eleven-russians-trick[...]

Aktiv nordkoreansk kampanje rettet mot sikkerhetsforskere

I januar 2021 avslørte Googles Threat Analysis Group (TAG) en nordkoreansk regjeringsstøttet cyberkampanje rettet mot sikkerhetsforskere som brukte nulldagssårbarheter. I løpet av de siste to og et halvt årene har TAG sporet og forstyrret lignende kampanjer. Nylig oppdaget de en ny kampanje, som benytter minst én aktiv nulldags-sårbarhet som blir brukt mot sikkerhetsforskere. Den berørte leverandøren jobber med en oppdatering. Angriperne bygger først tillit hos forskere på sosiale medieplattformer som Twitter (nå X) før de flytter til krypterte meldingsapper for å sende ondsinnede filer. Når den er utnyttet, samler koden data og sender den til angriperne.
Referanser
https://blog.google/threat-analysis-group/act[...]

2023.09.07 - Nyhetsbrev

Microsoft har konkludert med hvordan de mistet signeringssertifikatet sitt. Android sikkerhetsoppdatering fikser zero-day svakhet. Ny Chrome 116 utbedrer alvorlige sårbarheter. W3LL phishing-kit har kompromittert tusenvis av Microsoft 365-kontoer. Oppsummering av nyhetsbildet innen datasikkerhet for august 2023.

Microsoft har konkludert med hvordan de mistet signeringssertifikatet sitt

Microsoft kunngjorde 11. juli at den Kina-tilknyttede aktøren Storm-0558 hadde fått tilgang til et av deres signerings-sertifikater. Dette hadde blitt brukt for å signere tilgangsnøkler som igjen ble brukt for å få tilgang til epost-kontoene til myndighetspersoner i USA. Microsoft har foretatt en teknisk gjennomgang av hendelsen og har nå en teori om hvordan trusselaktøren fikk tilgang til sertifikatet. En maskin i et beskyttet miljø brukt for signering krasjet i april 2021 og en minnedump ble skrevet til disken. Normalt vil sensitiv informasjon som signeringsnøkler og passord bli slettet fra minnedumpen, men på grunn av en bug ble den private nøkkelen brukt til signering inkludert i filen. Filen ble deretter flyttet til et mer åpent miljø for nærmere analyse, uten at det ble oppdaget at den private nøkkelen var inkludert. På et senere tidspunkt har så trusselaktøren kompromittert en personlig konto tilhørende en Microsoft-ansatt med tilgang til dette miljøet med minnedumpen. Det antas så at trusselaktøren har lastet ned og analysert filen og har funnet den private nøkkelen, som så har blitt brukt til å signere tilgangsnøkler. Siden det er lang tid siden hendelsene har ikke Microsoft loggfiler som kan gi dem full innsikt. De kan derfor ikke garantere at alt er korrekt i beskrivelsen, men dette er den mest sannsynlige bakgrunnen for hendelsen.
Referanser
https://msrc.microsoft.com/blog/2023/09/resul[...]

Android sikkerhetsoppdatering fikser zero-day svakhet

Google kunngjorde på tirsdag at Androids sikkerhetsoppdateringer for september 2023 inneholder retting av 32 sårbarheter, inkludert en som har blitt utnyttet i angrep. Denne sårbarheten, kalt CVE-2023-35674, er beskrevet som en alvorlig sårbarhet som tillater utvidede privilegier i Androids rammeverkskomponent, uten behov for ekstra rettigheter eller brukerinteraksjon.
Referanser
https://www.securityweek.com/android-zero-day[...]

Ny Chrome 116 oppdatering håndterer alvorlige sårbarheter

Google lanserer Chrome 116 som fikser fire alvorlige sårbarheter som ble rapportert av eksterne bidragsytere. Disse sårbarhetene kunne tillate angripere å forårsake tjenesteavbrudd, kjøre vilkårlig kode eller forfalske URL-strengen. Oppdateringen er tilgjengelig for macOS, Linux og Windows, og det er foreløpig ukjent hvor store belønninger de rapporterende bidragsyterne vil motta. Google bekrefter de så langt ikke har observert noen aktive angrep som utnytter disse sårbarhetene.
Referanser
https://www.securityweek.com/chrome-116-updat[...]

W3LL phishing-kit har kompromittert tusenvis av Microsoft 365-kontoer

Trusselaktøren W3LL har utviklet et phishing-kit som kan omgå flerfaktorautentisering og har kompromittert over 8 000 Microsoft 365-kontoer. Dette verktøyet har blitt brukt i over 850 phishing-kampanjer rettet mot mer enn 56 000 kontoer i løpet av ti måneder. W3LL betjener et fellesskap av cyberkriminelle og tilbyr verktøy som dekker hele prosessen for å kompromittere epostkontoer tilhørende bedrifter (BEC). Dette har ført til betydelige økonomiske tap for ofrene og viser hvor sofistikerte angrepene kan være, selv for kriminelle med begrensede tekniske ferdigheter.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

Oppsummering av nyhetsbildet innen datasikkerhet for august 2023

Vi har publisert en oppsummering av nyhetsbildet innen datasikkerhet for august 2023. Denne måneden skriver vi blant annet om at myndigheter fra flere land har tatt ned Qakbot-nettverket.
Referanser
https://telenorsoc.blogspot.com/2023/09/oppsu[...]

2023.09.06 - Nyhetsbrev

Det har vært et rolig døgn.

Det er ingen nye saker siden sist.

2023.09.05 - Nyhetsbrev

Hackere retter seg mot IT helpdesk for å få Super Admin, deaktiver MFA.

Hackere retter seg mot IT helpdesk for å få Super Admin, deaktiver MFA

Okta har advart om angrep som benytter sosial manipulering seg mot IT-kundestøtte hos amerikanske kunder. Angriperne forsøkte å lure kundestøtte til å tilbakestille multifaktorautentisering for høyt privilegerte brukere. Angriperne hadde tilgang til passord for privilegerte kontoer eller kunne manipulere autentiseringsflyten gjennom Active Directory (AD) før de ringte. Etter vellykket kompromittering av en Super Admin-konto, brukte de anonymiserende proxytjenester og fjernet multifaktorautentisering for noen kontoer. Okta anbefaler en rekke tiltak for å beskytte admin-kontoer mot slike angrep.
Referanser
https://www.bleepingcomputer.com/news/securit[...]

2023.09.04 - Nyhetsbrev

Nordkoreanske hackere misbruker PyPI(Pyhton Package Index) ved å laste opp falske VMware pakker.

Nordkoreanske hackere misbruker PyPI (Pyhton Package Index) ved å laste opp falske VMware-pakker

Nordkoreanske Lazarus-hackere har lastet opp skadelige pakker på PyPI (Python Package Index) ved å utgi én av dem som en VMware vSphere connector-modul ved navn vConnector. Pakkene ble lastet opp i begynnelsen av august, hvor VMConnect, som var rettet mot IT-profesjonelle, hadde 237 nedlastinger før den ble fjernet. Ytterligere pakker som "ethter", "quantiumbase", "tablediter", "request-plus" og "requestspro" ble også oppdaget som del av denne skadelige kampanjen. Sikkeerhetsselskapet ReversingLabs tilskriver angrepet til en undergruppe av Lazarus kalt Labyrinth Chollima. Hackernes tilnærming inkluderte å etterligne populære programvareprosjekter og legge til "plus" eller "pro" i navnene for å lokke brukere til å laste ned de falske pakkene. De skadelige pakkene laster opp diverse sensitive data fra de infiserte maskinene, muligens for å plukke ut interessante ofre for videre utnyttelse.
Referanser
https://www.bleepingcomputer.com/news/securit[...] http://