Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 10 January 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.01.10

Ny versjon av Banshee Stealer unngår deteksjon. Mulig datainnbrudd hos Gravy Analytics kan lekke posisjonsdata om norske borgere.

Ny versjon av Banshee Stealer unngår deteksjon

En ny versjon av Banshee Stealer har de siste to månedene unngått deteksjon ved å bruke en strengkrypteringsalgoritme som også benyttes av Apples XProtect. Banshee, som er designet for å stjele informasjon fra macOS-systemer, ble først oppdaget i midten av 2024 og tilbød seg som en stealer-as-a-service for kriminelle.

Kildekoden til Banshee Stealer ble lekket på XSS-forumene i november 2024, noe som førte til at prosjektet ble stengt for offentligheten. Lekkasjen åpnet for andre malware-utviklere å forbedre det eksisterende verktøyet.

Ifølge Check Point Research, som oppdaget en av de nye variantene, gjør den nye krypteringsmetoden at Banshee kan skjule seg blant vanlige prosesser og fremstå som legitim, samtidig som den stjeler sensitiv informasjon fra infiserte systemer. En annen endring er at skadevaren ikke lenger unngår systemer den identifiserer som russiske.

Mulig datainnbrudd hos Gravy Analytics kan lekke posisjonsdata om norske borgere

Gravy Analytics, som er et selskap som spesialiserer seg på posisjonsdata fra mobiltelefoner, har angivelig blitt utsatt for et stort datainnbrudd som kan ramme millioner av personer globalt. Hackerne påstår å ha stjålet store mengder sensitiv informasjon, inkludert nøyaktige GPS-koordinater, tidsstempler og bevegelseshistorikk, noe som kan føre til alvorlige personvernbrudd. Blant de berørte dataene finnes det detaljer om 146.000 norske mobilenheter som potensielt kan avsløre personlige bevegelsesmønstre. Hackerne har publisert et utrag av dataen de påstår å ha stjålet som har blitt vurdert som ekte av flere eksperter. Et generelt tiltak som anbefales er å være restriktiv i hvilke tillatelser man gir applikasjoner.

Posted by tsoc at 12:58 0 comments

Thursday, 9 January 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.01.09

Over 4 000 bakdører kapret ved registrering av utløpte domener. Ivanti advarer om ny Connect Secure-sårbarhet utnyttet i zero-day-angrep.

Over 4 000 bakdører kapret ved registrering av utløpte domener

Over 4 000 forlatte, men fremdeles aktive web-bakdører ble overtatt da sikkerhetsforskere registrerte utløpte domener som kontrollerte dem. Blant de kompromitterte systemene var servere til myndigheter, universiteter og offentlige etater. Ved å kjøpe utløpte adresser, hindret forskerne at ondsinnede aktører kunne ta over domenene og misbruke dem videre. Disse bakdørene – blant annet r57shell, c99shell og “China Chopper” – gir inntrengere fjerntilgang til offerets systemer.

Som et forebyggende tiltak overlot WatchTowr Labs ansvaret for domenene til The Shadowserver Foundation, som sender trafikken videre til en server hos dem (sink-hole). Dermed stanser og registrerer de potensielt skadelige aktiviteter og sikrer at bakdørene ikke blir misbrukt på nytt.

Ivanti advarer om ny Connect Secure-sårbarhet utnyttet i zero-day-angrep

Ivanti varsler at angripere har utnyttet en kritisk sårbarhet (CVE-2025-0282) i Connect Secure for å installere skadevare på sårbare enheter. Feilen er en buffer-overflow som gjør det mulig for uvedkommende å kjøre kode fra eksternt ståsted.

Ivanti har allerede utgitt oppdatering i firmware versjon 22.7R2.5, mens tilsvarende fikser for Policy Secure og Neurons for ZTA ikke kommer før 21. januar 2025. Selskapet anbefaler å slette konfigurasjon (factory reset) før oppgradering, dersom skanninger avdekker kompromittering. En tilhørende svakhet (CVE-2025-0283) kan misbrukes til å eskalere privilegier lokalt, men er foreløpig ikke observert i aktive angrep.

Anbefaling:

Oppdater til firmwareversjon 22.7R2.5

Posted by tsoc at 13:45 0 comments

Wednesday, 8 January 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.01.08

Kinesiske hackere har brutt seg inn i Charter og Windstream-nettverk. Malicious nettleserutvidelser er den neste fronten for identitetangrep. CISA flagger kritiske feil i Mitel- og Oracle-systemer midt i aktiv utnyttelse. Casio avslører at data fra 8 500 personer ble eksponert i oktober ransomware-angrep.

Kinesiske hackere har brutt seg inn i Charter og Windstream-nettverk

Kinesiske statssponserte hackere, kjent som Salt Typhoon, har brutt seg inn i flere amerikanske telekommunikasjonsnettverk, inkludert Charter Communications, Windstream og Consolidated Communications. De har fått tilgang til sensitive data som tekstmeldinger, talemeldinger og samtaler. Etter disse hendelsene har CISA anbefalt end-to-end kryptering for å beskytte kommunikasjon.

Malicious nettleserutvidelser er den neste fronten for identitetangrep

En nylig kampanje utnyttet ondsinnede nettleserutvidelser, som kompromitterte data fra 2,6 millioner brukere globalt. Angriperne stjal informasjonskapsler og autentiseringstokener via utvidelser, inkludert Facebook-cookies. Over 35 utvidelser ble påvirket, og flere er fortsatt under undersøkelse. Risikofylte utvidelser har tilgang til sensitiv informasjon som passord og nettleserdata.

CISA flagger kritiske feil i Mitel- og Oracle-systemer midt i aktiv utnyttelse

U.S. Cybersecurity and Infrastructure Security Agency (CISA) la denne uken tre sårbarheter i Mitel MiCollab og Oracle WebLogic Server til sin liste over Kjente Utnyttede Sårbarheter (KEV), etter å ha fått bevis på aktiv utnyttelse. Sårbarhetene inkluderer:

  • CVE-2024-41713 (CVSS 9.1): En sårbarhet i Mitel MiCollab som kan gi en angriper uautorisert tilgang.

  • CVE-2024-55550 (CVSS 4.4): En sårbarhet i Mitel MiCollab som tillater en autentisert angriper med administratortilgang å lese filer.

  • CVE-2020-2883 (CVSS 9.8): En sårbarhet i Oracle WebLogic Server som kan utnyttes av en uautorisert angriper med nettverkstilgang.

Casio avslører at data fra 8 500 personer ble eksponert i oktober ransomware-angrep

Casio har bekreftet at et ransomware-angrep i oktober 2024 førte til lekkasje av personopplysninger for 8 500 personer, inkludert ansatte, forretningspartnere og en liten gruppe kunder. Angrepet ble utført av Underground ransomware-gruppen som krevde løsepenger, men Casio nektet å betale. Eksponerte data omfatter blant annet ansattes personlige informasjon, kunders leveringsdata og interne dokumenter. Det ble ikke lekket betalingsinformasjon.

Posted by tsoc at 12:02 0 comments

Tuesday, 7 January 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.01.07

Rolig døgn

Posted by tsoc at 14:00 0 comments

Monday, 6 January 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.01.06

Rolig helg.

Posted by tsoc at 14:10 0 comments
Subscribe to: Posts (Atom)
 
>