Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 8 August 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.08.08

Nytt EDR-killerverktøy brukt av åtte forskjellige ransomware-grupper. SonicWall finner ingen SSLVPN-zero-day angrep, og kobler ransomware-angrep til feil i 2024. Microsoft advarer om kritisk sårbarhet i hybrid Exchange-distribusjoner.

Nytt EDR-killerverktøy brukt av åtte forskjellige ransomware-grupper

En ny, sofistikert EDR-killer (Endpoint Detection and Response-killer), videreutviklet fra RansomHub sitt «EDRKillShifter», har blitt observert i angrep fra åtte ulike ransomware-grupper: RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx og INC. Verktøyet bruker en tungt obfuskert binærfil som dekodes ved kjøring og injiseres i legitime applikasjoner. Det søker etter en digitalt signert, men stjålet eller utgått sertifikat-basert driver med et fem-tegns tilfeldig navn, laster den inn i kernel-modus og utløser et BYOVD-angrep (Bring Your Own Vulnerable Driver) for å oppnå kjernesrettigheter. Driveren utgir seg for å være legitim – som CrowdStrike Falcon Sensor Driver – men deaktiverer AV/EDR-prosesser og tjenester fra en rekke leverandører, inkludert Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro og Webroot. Til tross for ulike varianter i drivernavn, målte AV-er og byggkarakteristikker, benyttes HeartCrypt for pakking, og det finnes indikasjoner på deling av verktøy og kunnskap mellom konkurrenter innen ransomware-industrien

SonicWall finner ingen SSLVPN-zero-day angrep, og kobler ransomware-angrep til feil i 2024

SonicWall har bekreftet at de nylige Akira-ransomware-angrepene mot Gen 7 brannmurer med SSL-VPN aktivert ikke skyldes en ny (ukjent) zero-day-sårbarhet, men snarere utnyttelse av en allerede kjent streng tilgangskontroll-feil, CVE-2024-40766, oppdaget og utbedret i august 2024. Angrepene skyldes i stor grad migrasjon fra Gen 6 til Gen 7, der lokale brukerpassord ble overført uten å tilbakestilles – en anbefalt sikkerhetsprosedyre ble dermed ikke fulgt. Den kritiske sårbarheten ga angripere tilgang til VPN eller administrasjonsgrensesnitt, noe som førte til rask ransomware-deployering gjennom den kompromitterte SSL-VPN-tilgangen

Anbefaling:

SonicWall anbefaler umiddelbare tiltak for å begrense risikoen: Oppdater til SonicOS versjon 7.3.0 eller nyere. Tilbakestill alle lokale brukerkonto-passord som ble migrert fra Gen 6 til Gen 7 med SSL-VPN-tilgang. Deaktiver SSL-VPN hvis mulig, eller begrens tilgang via IP-whitelisting

Sårbarheter:

Microsoft advarer om kritisk sårbarhet i hybrid Exchange-distribusjoner

Microsoft har avdekket en «high-severity» sårbarhet (CVE-2025-53786, CVSS 8.0) i hybrid Exchange-distribusjoner som gjør det mulig for en angriper med admin-tilgang på en lokal Exchange-server å eskalere privilegier og få tilgang til Exchange Online uten å etterlate spor i sky-audit-logger. Feilen skyldes deling av samme service-principal mellom lokal Exchange og Exchange Online. Til tross for at det ikke er observert aktiv utnyttelse ennå, vurderer Microsoft at utnyttelsespotensialet er høyt.

Anbefaling:

Installer April 2025 Hotfix for Exchange Server eller nyere

Sårbarheter:

Posted by tsoc at 11:01 0 comments

Thursday, 7 August 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.08.07

ReVaultflaws lar hackere omgå Windows-pålogging på Dell-bærbare datamaskiner. Akira ransomware misbruker CPU-tuningverktøyet for å deaktivere Microsoft Defender. Ny Ghost Calls-taktikk misbruker Zoom og Microsoft Teams for C2-operasjoner. Fake VPN- og Spam‑Blokker‑apper knyttet til VexTrio brukt i annonsebedrageri.

ReVaultflaws lar hackere omgå Windows-pålogging på Dell-bærbare datamaskiner

En ny serie sårbarheter — kalt ReVault — har blitt oppdaget i Dell ControlVault3 (og ControlVault3⁺) firmware og tilhørende Windows-API-er. Disse påvirker over 100 modeller av Latitude- og Precision-laptoper. Sårbarhetene inkluderer to out-of-bounds-feil (CVE‑2025‑24311, CVE‑2025‑25050), et "arbitrary free"-problem (CVE‑2025‑25215), en stack-overflow (CVE‑2025‑24922), og usikker deserialisering (CVE‑2025‑24919). Ved hjelp av disse kan angripere utføre kode på firmware-nivå via legitime API-er, noe som muliggjør vedvarende tilgang selv etter OS-reinstallasjon, samt omgå Windows-pålogging og manipulere biometri (fingeravtrykk) slik at enhver finger aksepteres — alt uten å kjenne til diskpassord eller legitimasjon. (Cisco Talos via BleepingComputer)

Anbefaling:

Installer umiddelbart oppdateringer for ControlVault3/3⁺ firmware (via Dell-nettside eller Windows Update). Deaktiver fingerprint-pålogging i miljøer med høy risiko

Akira ransomware misbruker CPU-tuningverktøyet for å deaktivere Microsoft Defender

Akira‑ransomwaren misbruker en legitim Intel‑driver for CPU‑tuning kalt rwdrv.sys (tilknyttet ThrottleStop) ved å registrere den som en tjeneste for å oppnå kjernenivå (kernel‑level) tilgang. Deretter brukes en ondsinnet driver, hlpdrv.sys, som også registreres som tjeneste. Denne driveren endrer Windows Defender‑innstillinger i registret for å deaktivere antivirusbeskyttelse (DisableAntiSpyware) ved hjelp av regedit.exe. Teknikken betegnes som en BYOVD‑angrep (Bring Your Own Vulnerable Driver) og har vært observert ofte i Akira‑IR‑saker siden 15. juli 2025. GuidePoint Security har delt en YARA‑regel for hlpdrv.sys og en omfattende liste over IOCs (indikatorer på kompromiss), inkludert tjenestenavn og filbaner

Ny Ghost Calls-taktikk misbruker Zoom og Microsoft Teams for C2-operasjoner

En ny post‑exploitation metode kalt »Ghost Calls» misbruker TURN-servere i videokonferanseverktøy som Zoom og Microsoft Teams for å opprette skjult command‑and‑control‑(C2)‑trafikk via WebRTC. Teknikken bruker legitime TURN-legitimasjoner og spesialverktøy for å rekonfigurere trafikken slik at den ser ut som normal videokonferanse, og dermed omgår brannmurer, proxyer og TLS-inspeksjon. Forskningsverktøyet TURNt (tilgjengelig via GitHub) muliggjør SOCKS-proxying, port-forwarding, dataeksfiltrasjon og skjult VNC-trafikk, uten å utnytte noen sårbarheter i selve Zoom eller Teams.

Anbefaling:

Overvåk uvanlige bruksmønstre i WebRTC/TURN-trafikk, spesielt under videomøter. Legg inn filter- og inspeksjonsregler som kan identifisere unormal WebRTC‑trafikk eller proxy‑aktiviteter.

Fake VPN- og Spam‑Blokker‑apper knyttet til VexTrio brukt i annonsebedrageri

Den ondskapsfulle ad-tech-gruppen VexTrio Viper har utviklet flere falske apper – inkludert VPN-er, RAM-rensere, datingtjenester og spam-blokkere – som er publisert i App Store og Google Play under falske utviklernivåer som HolaCode, LocoMind, Hugmi, Klover Group og AlphaScale Media. Disse appene, som samlet har blitt lastet ned millioner av ganger, lurer brukere til å abonnere på tjenester som er vanskelige å avbryte, oversvømmer dem med annonser og samler inn personlig informasjon som e-postadresser. Et eksempel er appen Spam Shield block, som hevder å blokkere push-varsler, men i stedet fakturerer brukere flere ganger.

Posted by tsoc at 10:16 0 comments

Wednesday, 6 August 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.08.06

15 000 falske TikTok-butikkdomener leverer skadelig programvare og stjeler krypto via AI-drevet svindelkampanje. Cisco avslører datainnbrudd som påvirker Cisco.com-brukerkontoer.

15 000 falske TikTok-butikkdomener leverer skadelig programvare og stjeler krypto via AI-drevet svindelkampanje

Sikkerhetsforskere (CTM360) har avdekket en global kampanje, kalt “FraudOnTok” eller “ClickTok”, som opererer med over 15 000 domener som etterligner TikTok Shop (f.eks. med .shop, .top, .icu). Disse nettstedene brukes til phishing – stjeling av brukerinnlogging og betaling – og distribusjon av trojaniserte TikTok-apper. Appene inneholder SparkKitty‑malware som kan stjele lagrede nettleserdata, klippelisteinnhold og kryptovolum fra seed‑fraser via OCR og enhetsfingeravtrykk. Scammen bruker AI-genererte videoannonser og falske påvirkere til å få brukerne til å installere appene eller foreta kryptobetalinger til falske “nettbutikker”. Kampanjen har vokst raskt med tusenvis av nye domener registrert i løpet av få uker

Cisco avslører datainnbrudd som påvirker Cisco.com-brukerkontoer

Cisco har 1. august 2025 bekreftet at en ansatt ble latt lure via voice phishing (vishing), hvor en ondsinnet aktør utga seg for å være en betrodd part og fikk tilgang til en tredjeparts CRM‑instans. Gjennom dette eksporterte angriperen begrenset brukerdata fra Cisco.com‑kontoer—navn, organisasjonsnavn, adresse, Cisco‑ID, e‑postadresse, telefonnummer og metadata som kontoopprettelsesdato. Ingen passord, økonomisk informasjon, eller kundespesifikk proprietær data ble tatt. Bare én CRM‑instans ble påvirket, og Cisco bekrefter at deres interne systemer og andre CRM‑instanser ikke ble kompromittert. Bruddets rekkevidde mht. antall berørte brukere nevnes ikke. Cisco iverksatte tiltak for å stanse tilgangen umiddelbart, startet intern undersøkelse, og har varslet berørte brukere etter krav i lov. Videre tiltak inkluderer opplæring av personell i å oppdage vishing‑forsøk.

Posted by tsoc at 09:59 0 comments

Monday, 4 August 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.08.04

Akira Ransomware Utnytter SonicWall VPN (Mulig Zero-Day). Angripere utnytter lenkepakkingstjenester for å stjele Microsoft 365-pålogginger. Ny Linux-bakdør Plague oppdaget.

Akira Ransomware Utnytter SonicWall VPN (Mulig Zero-Day)

I slutten av juli 2025 har Akira‑ransomware-gruppen intensivt angrepet SonicWall SSL VPN-apparater, inkludert fullt patched enheter, noe som antyder en mulig zero‑day sårbarhet i SonicOS. Angrepene startet rundt 15. juli, med flere VPN-innbrudd etterfulgt av rask kryptering og datatyveri, ofte samme dag. Autentiseringsmetoder kan inkludere kredittkort-stuffing eller stjålne VPN-legitimasjoner, men sårbarhet uavklart. Forskerne oppfordrer til midlertidig deaktivering av SSL VPN og økt overvåkning av VPN-tilgang via hosting-ASNer.

Anbefaling:

Deaktiver SonicWall SSL VPN midlertidig inntil sikkerhetsoppdatering er implementert. Installer nyeste SonicOS firmware som dekker CVE‑2024‑40766 for Gen 5, 6 og tidlig Gen 7 enheter.

Sårbarheter:

Angripere utnytter lenkepakkingstjenester for å stjele Microsoft 365-pålogginger

Forskere har avdekket en phishing-kampanje fra juni til juli 2025, hvor angripere misbruker link-wrapping tjenester fra anerkjente leverandører som Proofpoint og Intermedia for å skjule ondsinnede lenker som leder til Microsoft 365 phishing-sider. Teknikken inkluderer et multi-nivå omdirigeringskjede: først URL-forkorter (f.eks. Bitly), deretter link-wrapping fra en kompromittert konto, før brukeren ender på en falsk Microsoft-side som samler inn legitimasjonsdata. E-postene har ofte temaer som "avlyttet telefonsvarer", Microsoft Teams-dokumentdeling, eller sikker melding fra Zix, med oppfordring til å klikke gjennom link-wrap-tjenesten

Ny Linux-bakdør Plague oppdaget

Sikkerhetsforskere har oppdaget en hittil ukjent Linux-bakdør kalt Plague, som har vært aktiv i over ett år. Plague fungerer som en ondsinnet PAM-modul og gir angripere mulighet til å omgå autentisering og stjele påloggingsdetaljer. Den muliggjør også permanent SSH-tilgang til kompromitterte systemer. Malwaret benytter avansert obfuskering og manipulerer miljøvariabler for å skjule spor etter bruk og er laget for å overleve systemoppdateringer.

Posted by tsoc at 10:26 0 comments
Subscribe to: Posts (Atom)
 
>