Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2023.10.19

SpyNote Android-malware spres via falske vulkanutbruddsalarm. Nordkoreanske hackere utnytter kritisk TeamCity-feil. Nord-Koreanske hackergrupper utnytter sårbarhet i JetBrains' TeamCity.

---

SpyNote Android-malware spres via falske vulkanutbruddsalarm

SpyNote Android-skadevaren har blitt observert utnyttet i angrep rettet mot Italia, gjennom en falsk offentlig varslingstjeneste kalt "IT-alert". Den falske tjenesten advarer om forestående vulkanutbrudd og oppfordrer besøkende til å installere en app for å holde seg oppdatert. Når Android-brukere forsøker å laste ned appen, installeres SpyNote-skadevaren på enheten deres. Denne skadevaren brukes blant annet til tyveri av brukerinformasjon og innhenting av informasjon fra bank-, kryptovaluta- og sosiale medieapplikasjoner. SpyNote-skadevaren ble opprinnelig dokumentert i 2022 og har nå utviklet seg til sin tredje versjon, som selges til cyberkriminelle. Etter en kildekodelekkasje økte påvisningen av SpyNote malware betydelig. For å beskytte seg mot slike trusler, bør man unngå å laste ned APK-filer fra kilder utenfor Play-butikken med mindre man stoler på utgiveren.

Referanser:

https://www.bleepingcomputer.com/news/security/spynote-android-malware-spreads-via-fake-volcano-eruption-alerts/

Nord-Koreanske hackergrupper utnytter sårbarhet i JetBrains' TeamCity

Flere hackergrupper tilknyttet Nord-Koreas regjering retter seg mot en sårbarhet i JetBrains' produkt TeamCity, som brukes av utviklere for å teste og utveksle programvarekode før lansering. De to hackergruppene Diamond Sleet og Onyx Sleet har ifølge Microsoft utnyttet denne sårbarheten, kjent som CVE-2023-42793. JetBrains utga en utbedring 20. september, men offentliggjøring av tekniske detaljer har ført til utnyttelse av flere ransomware-grupper. Forskere fra PRODRAFT oppdaget over 1,200 sårbare servere som ikke hadde blitt oppdatert.

Referanser:

https://therecord.media/teamcity-vulnerability-targeted-by-nk-hackers