Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 17 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.17

Anubis ransomware legger til destruktiv "wiper" for permanent sletting av filer. Over 46 000 Grafana-instanser utsatt for konto-overtakelsefeil.

Anubis ransomware legger til destruktiv "wiper" for permanent sletting av filer

Anubis, en relativt ny ransomware-as-a-service (RaaS) aktør har implementert en ny “wipe mode” (aktiveres via /WIPEMODE-parameter). Dette destruerer filinnholdet og setter filstørrelsen til 0 KB, slik at ingen gjenoppretting er mulig selv om løsepengene betales. Denne funksjonen intensiverer presset på ofre gjennom en kombinert modell av kryptering (med .anubis-utvidelse) og dataødeleggelse. Angrepene starter med spear-phishing, etterfølges av privilegie-eskalering, sletting av shadow copies, drap av tjenester, kryptering (ECIES), og wiper-funksjon. Operatørene har også etablert en affiliate-struktur med ulike inntektsandeler (80 % kryptering, 60 % data-utpressing, 50 % initial tilgang).

Over 46 000 Grafana-instanser utsatt for konto-overtakelsefeil

En kritisk open-redirect-sårbarhet (CVE-2025-4123), oppdaget av Alvaro Balada, rammer en rekke Grafana-installasjoner. Feilen tillater at angripere sender brukere til en skadelig plugin som kan utføre JavaScript, kapre brukersesjoner på tvers av internett-tilgjengelige Grafana-tjenere (36 % av ~129 000), endre kontoopplysninger og utløse SSRF dersom Image Renderer-plugin er aktivert .

Sårbarheter:

Posted by tsoc at 13:10 0 comments

Monday, 16 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.16

Trend Micro retter seks kritiske sårbarheter i Apex Central og Endpoint Encryption PolicyServer. Over 80 000 Microsoft Entra ID‑kontoer er blitt målrettet under angrep ved bruk av TeamFiltration.

Trend Micro retter seks kritiske sårbarheter i Apex Central og Endpoint Encryption PolicyServer

Den 10. juni 2025 har Trend Micro utgitt oppdateringer som adresserer seks kritiske sårbarheter i Apex Central og Endpoint Encryption (TMEE) PolicyServer. Dette inkluderer flere fjern driver feil og en autentiseringsomgåelse. Alle sårbarhetene kan utnyttes før autentisering, og lar angripere kjøre kode som "SYSTEM" eller "NETWORK SERVICE". Det er ingen kjente utnyttelser i offentligheten, men raske oppdateringer anbefales likevel.

Anbefaling:

Det anbefales å oppgradere TMEE PolicyServer til versjon 6.0.0.4013 (Patch 1 Update 6), installere Patch B7007 for Apex Central 2019 (On‑Prem), gjennomgå fjerntilgang og perimetersikkerhet, og anvende tilleggsbeskyttelse som IPS-regler.

Over 80 000 Microsoft Entra ID‑kontoer er blitt målrettet under angrep ved bruk av TeamFiltration

En ny kontoovertakelse-kampanje også kjent som UNK_SneakyStrike, har siden desember 2024 utført massive "password spray" angrep mot over 80 000 Microsoft Entra ID‑kontoer i mer enn 100 skytjenesteleietakere. Angrepene brukte verktøyet TeamFiltration, som utnytter Microsoft Teams API og AWS‑servere for å identifisere brukernavn, prøve vanlige passord, få tilgang til OneDrive, Outlook og Teams, og forblir i skyen uten å utløse varsler.

Anbefaling:

Det anbefales å bruke unike og sterke passord i kombinasjon med flerfaktorautentisering (MFA). I tillegg bør man overvåke innlogginger, og implementere retningslinjer for betinget tilgang for å blokkere risikofylte innlogginger.

Posted by tsoc at 12:52 0 comments

Friday, 13 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.13

Password‑spraying attacks target 80 000 Microsoft Entra ID‑kontoer.

Password‑spraying attacks target 80 000 Microsoft Entra ID‑kontoer

Hackere fra gruppen UNK_SneakyStrike har siden desember 2024 benyttet det offentlige rammeverket TeamFiltration for passordsprøyteangrep mot mer enn 80 000 Microsoft Entra ID-kontoer i hundrevis av organisasjoner. Angrepene skjer i bølger med opptil 16 500 kontoer per dag. TeamFiltration kartlegger brukere, sprøyter passord, eksfilerer data og legger inn bakdører via O365/EntraID. Angrepene identifiseres blant annet ved en sjelden user-agent, OAuth-klient‑ID-er, utdatert Secureworks FOCI-snapsjott, og trafikk via AWS og Office 365 Basic-kontoer. Angrepene har resultert i flere konto-overtakelser.

Anbefaling:

Blokker IP-adresser som er listet som kompromitterte i IOC‑seksjonen. Opprett overvåkingsregler for bruk av TeamFiltration sin user‑agent‑streng. Aktiver MFA på alle brukerkontoer. Implementer og håndhev OAuth 2.0. Bruk betinget tilgang (Conditional Access Policies) i Microsoft Entra ID for å begrense tilganger og sikring.

Posted by tsoc at 12:45 0 comments

Thursday, 12 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.12

Brute‑force angrep mot Apache Tomcat administrasjonspaneler. Ny Secure Boot sårbarhet lar angripere installere Bootkit skadevare – oppdater nå!.

Brute‑force angrep mot Apache Tomcat administrasjonspaneler

En koordinert kampanje startet 5. juni 2025, hvor omtrent 400 unike, onde IP-adresser fra blant annet DigitalOcean infrastruktur gjennomfører brute‑force forsøk mot eksponerte Apache Tomcat Manager‑grensesnitt. Angrepene utgjør en bred, opportunistisk trusselprofil og fungerer som en tidlig varselsignal om mulig fremtidig utnyttelse

Anbefaling:

Sikre at Tomcat Manager‑grensesnitt kun er tilgjengelig fra localhost eller gjennom VPN/firewall. Innfør sterke autentiseringsmekanismer, unngå standard eller lette passord. Overvåk logger for uvanlige innloggingsforsøk, og blokker mistenkelige/frekvente IP‑adresser. Hold Tomcat oppdatert med siste sikkerhetsfikser, inkludert patch for CVE‑2025‑24813

Ny Secure Boot sårbarhet lar angripere installere Bootkit skadevare – oppdater nå!

En ny Secure Boot omgåelse, CVE‑2025‑3052, avdekket 10. juni 2025, gjør det mulig for angripere med administratorrettigheter å slå av Secure Boot beskyttelsen på PC-er og servere. Sårbarheten skyldes en legitim "BIOS flaske utility" signert med Microsofts UEFI sertifikat, som kan manipulere variabler i NVRAM («gSecurity2») og dermed deaktivere sikkerhetsmekanismer. Dette åpner for installasjon av Bootkit skadevare som kan overleve OS reinstallasjoner.

Posted by tsoc at 14:18 0 comments

Wednesday, 11 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.11

Microsoft Juni 2025 Patch retter 1 utnyttet zero-day og 66 sårbarheter.

Microsoft Juni 2025 Patch retter 1 utnyttet zero-day og 66 sårbarheter

Microsofts sikkerhetsoppdateringer for juni 2025 adresserer totalt 66 sårbarheter, inkludert én aktivt utnyttet zero-day (CVE-2025-33053) og én annen offentlig kjent svakhet (CVE-2025-33073). Blant disse er 10 klassifisert som kritiske, hvorav 8 er fjernkodekjøringsfeil (RCE) og 2 tillater eskalering av privilegier. Den aktivt utnyttede svakheten (CVE-2025-33053) er en RCE-feil i Windows WebDAV, brukt i målrettede angrep. Den andre fremhevede sårbarheten (CVE-2025-33073) gjelder SMB og lokal privilegieeskalering, som kan gi SYSTEM-rettigheter ved utnyttelse.

Fordeling av sårbarhetene er: 25 for fjernkodekjøring, 13 for eskalering av privilegier, 17 for informasjonslekkasje, 6 for tjenestenekt, 3 for sikkerhetsomgåelse og 2 for spoofing

Oppdateringene påvirker alle støttede versjoner av Windows 10, Windows 11 og Windows Server.

Anbefaling:

Microsoft anbefaler umiddelbar installasjon av de nyeste sikkerhetsoppdateringene via Windows Update eller Microsoft Update Catalog. Organisasjoner bør også vurdere å aktivere SMB-signering midlertidig for å mitigere risikoen fra CVE-2025-33073 før full utrulling. Sørg for omstart etter installasjon for at oppdateringene skal tre i kraft.

Posted by tsoc at 10:14 0 comments

Tuesday, 10 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.10

Aktivt NPM angrep: 16 React Native-pakker i GlueStack ble kompromittert over natten.

Aktivt NPM angrep: 16 React Native-pakker i GlueStack ble kompromittert over natten

Den 6. juni 2025 ble et forsyningskjedeangrep oppdaget mot React Native relaterte pakker i "@react-native-aria" økosystemet. Ondsinnet kode ble lagt til i blant annet versjon 0.2.10 av "@react-native-aria/focus", og spredte seg raskt til femten andre pakker med over én million samlet ukentlige nedlastninger. Koden installerer en Remote Access Trojan (RAT) og forsøker vedvarende infeksjon via manipulering av path ("%LOCALAPPDATA%\Programs\Python\Python3127") og kommuniserer utgående trafikk til IP-ene 136.0.9[.]8 og 85.239.62[.]36.

De involverte pakkene og deres versjoner er følgende:
react-native-aria/button 0.2.11
react-native-aria/checkbox 0.2.11
react-native-aria/combobox 0.2.10
react-native-aria/disclosure 0.2.9
react-native-aria/focus 0.2.10
react-native-aria/interactions 0.2.17
react-native-aria/listbox 0.2.10
react-native-aria/menu 0.2.16
react-native-aria/overlays 0.3.16
react-native-aria/radio 0.2.14
react-native-aria/switch 0.2.5
react-native-aria/toggle 0.2.12
react-native-aria/utils 0.2.13
gluestack-ui/utils 0.1.17
react-native-aria/separator 0.2.7
react-native-aria/slider 0.2.13

Anbefaling:

Vi anbefaler å undersøke om de påvirkede pakkene er installert i dine prosjekter gjennom lokale moduler og package-lock.json. Man bør også slette potensielt persistente backdoor filer i Python-path på Windows, da man kan være kompromitert om disse versjonene er i bruk. I tillegg til at man bør oppdatere eller erstatte påvirkede pakker med sikre versjoner eller alternative moduler.

Posted by tsoc at 15:13 0 comments

Friday, 6 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.06

Google Avslører Vishing-gruppen UNC6040 som Retter Seg mot Salesforce med Falsk Data Loader-app. FBI: Play-ransomware har kompromittert 900 ofre, inkludert kritiske organisasjoner. Kritisk Cisco ISE Autentiseringsomgåelsesfeil Berører Skyimplementeringer på AWS, Azure og OCI.

Google Avslører Vishing-gruppen UNC6040 som Retter Seg mot Salesforce med Falsk Data Loader-app

Google har avslørt en økonomisk motivert trusselgruppe kalt UNC6040, som spesialiserer seg på vishing-angrep for å kompromittere organisasjoners Salesforce-installasjoner. Angriperne utgir seg for å være IT-supportpersonell og bruker telefonbasert sosial manipulering for å lure ansatte til å godkjenne en modifisert versjon av Salesforce's Data Loader-app, ofte under et annet navn som "My Ticket Portal". Dette gir dem uautorisert tilgang til Salesforce-miljøet, hvor de kan stjele data og bevege seg lateralt til andre plattformer som Okta, Workplace og Microsoft 365. I noen tilfeller har gruppen også utført utpressing måneder etter det første innbruddet, og hevdet tilknytning til den kjente hackergruppen ShinyHunters for å øke presset på ofrene.

FBI: Play-ransomware har kompromittert 900 ofre, inkludert kritiske organisasjoner

FBI, i samarbeid med CISA og det australske cybersikkerhetssenteret, har oppdatert sin rådgivning om Play-ransomware, også kjent som Playcrypt. Siden juni 2022 har gruppen kompromittert omtrent 900 organisasjoner globalt, inkludert kritisk infrastruktur i Nord-Amerika, Sør-Amerika og Europa. Dette er en tredobling fra tidligere rapporter i oktober 2023. Angriperne benytter rekompilert skadevare for å unngå deteksjon og har i noen tilfeller kontaktet ofre via telefon for å presse dem til å betale løsepenger. De utnytter også sårbarheter i fjernovervåkingsverktøy som SimpleHelp, spesielt CVE-2024-57727, for å få innledende tilgang til systemer.

Sårbarheter:

Kritisk Cisco ISE Autentiseringsomgåelsesfeil Berører Skyimplementeringer på AWS, Azure og OCI

Cisco har utgitt sikkerhetsoppdateringer for å rette en kritisk sårbarhet i Identity Services Engine (ISE), identifisert som CVE-2025-20286 med en CVSS-score på 9.9. Feilen, som skyldes bruk av statiske legitimasjoner i skyimplementeringer på AWS, Azure og Oracle Cloud Infrastructure (OCI), kan tillate uautentiserte, eksterne angripere å få tilgang til sensitiv data, utføre begrensede administrative operasjoner, endre systemkonfigurasjoner eller forstyrre tjenester. Sårbarheten påvirker spesifikke versjoner av Cisco ISE (3.1 til 3.4) avhengig av skyplattformen. Cisco er klar over eksistensen av en proof-of-concept (PoC) exploit, men det er ingen indikasjoner på aktiv utnyttelse i det fri.

Anbefaling:

Kjør kommandoen "application reset-config ise" for å tilbakestille brukerpassord til nye verdier. Vær oppmerksom på at denne handlingen vil tilbakestille Cisco ISE til fabrikkonfigurasjon.

Sårbarheter:

Posted by tsoc at 12:49 0 comments

Thursday, 5 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.05

Chaos RAT skadevare angriper Windows og Linux via falske nedlastinger av nettverksverktøy. Ondsinnede PyPI, npm og Ruby pakker avslørt i pågående angrep på åpen kildekode forsyningskjeder.

Chaos RAT skadevare angriper Windows og Linux via falske nedlastinger av nettverksverktøy

En ny variant av det åpne kildekode-baserte fjernstyringsverktøyet Chaos RAT, skrevet i Golang, har blitt brukt i angrep mot både Windows- og Linux systemer. Ifølge Acronis distribueres malwaret ved å lokke brukere til å laste ned et falskt nettverksverktøy, spesielt rettet mot Linux miljøer. Når installert, kobler Chaos RAT seg til en ekstern server og kan utføre handlinger som å åpne reverserte shell, laste opp/ned, slette filer, ta skjermbilder, samle systeminformasjon og kontrollere maskinen. Malwaret opprettholder persistens ved å modifisere "/etc/crontab" for å hente malwaret periodisk. Den nyeste versjonen, 5.0.3, ble utgitt 31. mai 2024. Admin-panelet til Chaos RAT hadde tidligere sårbarheter (CVE-2024-30850 og CVE-2024-31839) som tillate kommandoinjeksjon og XSS-angrep, men disse er nå adressert.

Ondsinnede PyPI, npm og Ruby pakker avslørt i pågående angrep på åpen kildekode forsyningskjeder

Flere ondsinnede pakker er nylig oppdaget i de åpne kildekode repositoriene PyPI, npm og RubyGems. Disse pakkene er designet for å stjele krypto valutamidler, slette hele kodebaser og eksfiltrere Telegram API tokens. Trusselaktører har utnyttet typosquatting og kloning av populære biblioteker for å infiltrere utviklingsmiljøer og CI/CD pipelines. Eksempler inkluderer RubyGems som etterligner "fastlane-plugin-telegram" for å omdirigere Telegram trafikk gjennom en C2-server, npm pakken "xlsx-to-json-lh" som kan slette prosjektfiler ved en spesifikk kommando, og flere npm pakker som stjeler majoriteten av midler fra krypto lommebøker. Disse funnene understreker de vedvarende truslene mot forsyningskjeden i åpen kildekode økosystemer.

Posted by tsoc at 12:18 0 comments

Wednesday, 4 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.04

CISA Advarer om Utnyttelse av Kritisk Sårbarhet i ConnectWise ScreenConnect. Kritiske Sårbarheter i HPE StoreOnce Kan Gi Full Systemtilgang. Falske DocuSign- og Gitcode-nettsider Sprer NetSupport RAT via Multi-Stage PowerShell-angrep. Kritisk 10 År Gammel Roundcube-sårbarhet Tillater Kjøre Ondsinnet Kode. Ondsinnede RubyGems Utgir Seg for Fastlane – Stjeler Telegram API-data.

CISA Advarer om Utnyttelse av Kritisk Sårbarhet i ConnectWise ScreenConnect

CISA har utstedt en advarsel om aktiv utnyttelse av en nylig patchet sårbarhet i ConnectWise ScreenConnect, identifisert som CVE-2025-3935. Sårbarheten tillater potensielt fjernkjøring av kode på servere via ViewState-injeksjon, forutsatt at angriperen har tilgang til maskinnøkler. Denne sårbarheten er knyttet til en nylig sikkerhetshendelse hos ConnectWise, mistenkt å være en statssponset operasjon. I tillegg advarer CISA om fire andre aktivt utnyttede sårbarheter i ASUS-rutere og Craft CMS, inkludert CVE-2021-32030, CVE-2023-39780, CVE-2024-56145 og CVE-2025-35939. Disse sårbarhetene varierer i alvorlighetsgrad fra medium til kritisk og kan føre til autentiseringsomgåelse og fjernkjøring av kode. CISA har lagt til alle fem sårbarhetene i sin Known Exploited Vulnerabilities (KEV) Catalog og krever at føderale byråer implementerer anbefalte tiltak eller slutter å bruke de berørte produktene innen 23. juni 2025

Kritiske Sårbarheter i HPE StoreOnce Kan Gi Full Systemtilgang

Hewlett Packard Enterprise (HPE) har utgitt sikkerhetsoppdateringer for å tette åtte sårbarheter i deres StoreOnce-løsning for datalagring og sikkerhetskopiering. Den mest alvorlige, CVE-2025-37093 (CVSS 9.8), tillater autentiseringsomgåelse i alle versjoner før 4.3.11. Feilen stammer fra feil implementering av maskinens autentiseringsalgoritme, som gjør det mulig for angripere å få uautorisert tilgang og potensielt kombinere dette med andre feil for å utføre fjernkjøring av kode, få tilgang til sensitiv informasjon, og slette filer med root-rettigheter. Sårbarhetene ble rapportert til HPE i oktober 2024 av en anonym forsker gjennom Zero Day Initiative.

Falske DocuSign- og Gitcode-nettsider Sprer NetSupport RAT via Multi-Stage PowerShell-angrep

En ny kampanje utnytter falske nettsider som etterligner Gitcode og DocuSign for å lure brukere til å kjøre ondsinnede PowerShell-skript som installerer NetSupport RAT – et legitimt administrasjonsverktøy brukt som fjernstyringsskadelig programvare (RAT). Angrepet skjer gjennom flerstegs-skriptkjeder som inkluderer clipboard-forgiftning og sosial manipulering via CAPTCHA. Skriptene henter ytterligere nyttelaster fra domener som tradingviewtool[.]com og docusign.sa[.]com, og gir vedvarende tilgang via filer som wbdims.exe og jp2launcher.exe. Teknikken minner om tidligere SocGholish-kampanjer og benytter utbredte metoder for å omgå oppdagelse.

Kritisk 10 År Gammel Roundcube-sårbarhet Tillater Kjøre Ondsinnet Kode

En kritisk sårbarhet i Roundcube Webmail (CVE-2025-49113) med CVSS-score 9.9 tillater post-autentisert ekstern kjøring av vilkårlig kode via PHP object deserialization. Feilen finnes i _from-parameteren i upload.php, og rammer alle versjoner før 1.5.10 og 1.6.11. Oppdaget av FearsOff og senere verifisert av Positive Technologies, gir sårbarheten enkle muligheter for kompromittering av systemer med tilgang, og har høy risiko gitt Roundcubes tidligere misbruk av nasjonale trusselaktører som APT28. Patch er tilgjengelig i versjon 1.5.10 og 1.6.11.

Sårbarheter:

Ondsinnede RubyGems Utgir Seg for Fastlane – Stjeler Telegram API-data

To ondsinnede RubyGems-pakker som etterligner det legitime Fastlane-pluginet, har blitt brukt til å omdirigere Telegram API-trafikk til en angripers server for å stjele sensitiv informasjon som bot-tokens, meldingsdata og påloggingsinformasjon. De falske pakkene – fastlane-plugin-telegram-proxy og fastlane-plugin-proxy_teleram – er fortsatt tilgjengelige på RubyGems. De har identisk funksjonalitet med den ekte pakken, men sender data til en Cloudflare Worker-kontrollert proxy. Angrepet ble oppdaget av Socket, som anbefaler å fjerne pakkene umiddelbart, rotere alle bot-tokens, og blokkere trafikk til *.workers[.]dev.

Posted by tsoc at 13:10 0 comments

Tuesday, 3 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.03

Ny Chrome Zero-Day utnyttes aktivt; Google utgir nødoppdatering.

Ny Chrome Zero-Day utnyttes aktivt; Google utgir nødoppdatering

Google har utgitt en nødoppdatering for å rette en alvorlig sårbarhet i Chrome, identifisert som CVE-2025-5419. Denne feilen, med en CVSS score på 8.8, er en "out-of-bounds" lesing og skriving i V8 JavaScript og WebAssembly motoren, som kan føre til "heap" korrupsjon når en bruker besøker en spesiallaget HTML side. Sårbarheten ble rapportert av Clement Lecigne og Benoît Sevens fra Google Threat Analysis Group den 27. mai 2025, og en konfigurasjonsendring ble rullet ut til den stabile versjonen av Chrome neste dag. Google bekrefter at sårbarheten allerede er utnyttet i det fri. Dette er den andre aktivt utnyttede Zero-Day sårbarheten i Chrome som er blitt patchet i år, etter CVE-2025-2783.

Posted by tsoc at 12:21 0 comments

Monday, 2 June 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.06.02

Ny PumaBot-botnett bryter seg inn i enheter ved å brute-force SSH-legitimasjon. Interlock ransomwaregruppen bruker ny NodeSnake RAT mot universiteter. Safari brukere utsatt for avanserte fullskjermangrep via Fullscreen API.

Ny PumaBot-botnett bryter seg inn i enheter ved å brute-force SSH-legitimasjon

En ny Linux-basert botnet-malware kalt PumaBot, skrevet i Go, er oppdaget. Den bruker brute-force angrep på SSH-legitimasjon for å kompromittere innebygde IoT-enheter, spesielt overvåknings- og trafikkameraer. PumaBot mottar en liste over målrettede IP-adresser fra sin kommando- og kontrollserver (C2) og forsøker å logge inn via port 22. Den sjekker etter "Pumatronix"-strengen for å identifisere spesifikke enheter. Ved vellykket innlogging, samler den systeminformasjon, installerer sin hovedfil i /lib/redis, setter opp en systemd-tjeneste for vedvarende tilgang, og injiserer sin egen SSH for å opprettholde kontroll over enheten.

Interlock ransomwaregruppen bruker ny NodeSnake RAT mot universiteter

Interlock-ransomwaregruppen har begynt å bruke en ny fjernstyrings trojaner (RAT) kalt NodeSnake for å oppnå vedvarende tilgang til universitetsnettverk. NodeSnake, skrevet i JavaScript og kjørt via Node.js, etablerer persistens ved å opprette en falsk registeroppføring kalt 'ChromeUpdater' som etterligner Google Chrome oppdateringer. Den benytter PowerShell eller CMD skript for å opprette denne oppføringen. Angrepene starter med phishing e-poster som inneholder ondsinnede lenker eller vedlegg som fører til infeksjon med NodeSnake. To varianter av NodeSnake ble observert i angrep mot britiske universiteter i januar og mars 2025, noe som indikerer aktiv utvikling av skadevaren. Interlock gruppen har tidligere brukt 'ClickFix' angrep som utgir seg for å være IT-verktøy for å oppnå initial infeksjon og nettverksinfiltrasjon.

Safari brukere utsatt for avanserte fullskjermangrep via Fullscreen API

En nylig oppdaget svakhet i Apples Safari nettleser gjør det mulig for angripere å utnytte Fullscreen API til å gjennomføre såkalte "fullscreen browser-in-the-middle" (BitM) angrep. Ved å manipulere nettleseren til å gå i fullskjermmodus uten tydelig varsling, kan angripere skjule adressefeltet og presentere en falsk innloggingsside som ser legitim ut. Dette gjør det vanskelig for brukere å oppdage at de blir lurt. Safari skiller seg fra andre nettlesere som Chrome og Firefox ved at den ikke gir klare indikasjoner når fullskjermmodus aktiveres, noe som øker risikoen for slike angrep.

Posted by tsoc at 12:15 0 comments
Subscribe to: Posts (Atom)
 
>