Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 15 August 2025

Daglig nyhetsbrev fra Telenor Cyberdefence - 2025.08.15

Crypto24 sakdevare rammer store organisasjoner med tilpasset EDR-unngåelsesverktøy.

Crypto24 sakdevare rammer store organisasjoner med tilpasset EDR-unngåelsesverktøy

Crypto24-gruppen har nylig blitt observert i angrep mot store organsisasjoner i USA, Europa og Asia, spesielt innen finans, produksjon, underholdning og teknologi. Etter å ha fått inital tilgang så oppretter de administrative eller lokale kontoer, gjennomfører rekognosering via batch-script og setter opp vedvarende tilgang med skadelige Windosw-tjenester som "WinMainSvc" (keylogger) og "MSRuntime" (ransomware-logger). Deretter bruker de en tilpasset variant av verktøyet RealBindingEDR, som prøver å indentifisere hvilke EDR-løsninger som er tilstede. Om noen EDR-løsninger blir indentifisert, så vil den forsøke å "blinde" disse ved å deaktivere kernelhooks. Spesielt for Trend Micro kjøres en legitim avinstaller, XBCUninstaller.exe, for å fjerne Trend Vision One og unngå oppdagelse. Til slutt eksfilterer den data via Google Drive ved hjelp av WinINET.

Anbefaling:

Trend Micro har i slutten av rapporten sin delt en liste av indikatorer på kompromitering av Crypto242 skadevare som organisasjoner kan bruke for å potensielt oppdage den.

Posted by tsoc at 11:55 0 comments

Thursday, 14 August 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.08.14

Microsoft, Adobe og SAP-sårbarheter for august 2025. Fortinet advarer om FortiSIEM-sårbarhet med tidligere observert angrepskode. Kritisk sårbarhet registrert i WordPress-plugin åpner for RCE-angrep. Kritisk GitHub Copilot‑sårbarhet via prompt‑injeksjon lar angripere ta over maskiner.

Microsoft, Adobe og SAP-sårbarheter for august 2025

Microsoft har i august 2025 utgitt oppdateringer som retter 111 CVE-er, hvor 17 er kritiske (CVSS opptil 10.0) og omfatter blant annet Azure-tjenester, Microsoft 365, Windows 10/11, Windows Server og Office. Adobe har publisert 13 bulletiner med 68 CVE-er, hvorav 38 kritiske (CVSS opptil 8.7) som påvirker en rekke Creative Cloud- og Substance 3D-produkter. SAP har lansert 15 bulletiner (CVSS opptil 9.9) med kritiske feil i bl.a. SAP S/4HANA og Landscape Transformation. Flere av sårbarhetene muliggjør fjernkjøring av kode, eskalering av rettigheter og full systemkompromittering.

Anbefaling:

Oppdater berørte produkter umiddelbart, og aktiver automatisk oppdatering der det er mulig. Avinstaller ubenyttet programvare og fas ut uoppdaterbare systemer, protokoller, og tjenester. Bruk phishing-resistent MFA på alle eksternt tilgjengelige tjenester. Følg NSM Grunnprinsipper for IKT-sikkerhet.

Fortinet advarer om FortiSIEM-sårbarhet med tidligere observert angrepskode

Fortinet har utgitt en kritisk sikkerhetsadvarsel for FortiSIEM, da en OS-kommandoinjeksjonsfeil (CVE-2025-25256) med CVSS 9.8 tillater uautentiserte angripere å utføre skadelige kommandoer via CLI-forespørsler. Praktisk angrepskode for dette sikkerhetsproblemet er blitt observert av Fortinet, og sårbarheten gir ingen tydelige indikatorer på kompromiss (IoCs). Påvirkede versjoner inkluderer FortiSIEM 6.1–7.2.x.

Anbefaling:

Oppgrader FortiSIEM til en ikke-sårbar versjon: 6.7.10+, 7.0.4+, 7.1.8+, 7.2.6+, eller oppdater versjoner 6.1–7.3 som angitt. Som midlertidig løsning anbefaler Fortinet å begrense tilgang til phMonitor-porten (7900).

Sårbarheter:

Kritisk sårbarhet registrert i WordPress-plugin åpner for RCE-angrep

En kritisk sårbarhet er avdekket i pluginen Database for Contact Form 7, WPforms, Elementor forms, som påvirker alle versjoner opp til og med 1.4.3. Utnyttelse av sårbarheten (CVE‑2025‑7384) krever ingen autentisering og kan gi angripere mulighet til fjernkjøring av kode (RCE) på mer enn 70 000 WordPress-nettsteder. Sårbarhetens CVSS-score er 9,8, noe som indikerer ekstrem alvorlighetsgrad.

Anbefaling:

Oppdater pluginen til versjon 1.4.4 eller nyere umiddelbart for å beskytte nettstedet ditt mot potensielle kompromitteringer.

Sårbarheter:

Kritisk GitHub Copilot‑sårbarhet via prompt‑injeksjon lar angripere ta over maskiner

En kritisk sikkerhetssårbarhet i GitHub Copilot og Visual Studio Code — CVE‑2025‑53773 — utnyttes gjennom prompt‑injeksjon. Ved å manipulere .vscode/settings.json kan angripere aktivere den såkalte “YOLO mode” ("chat.tools.autoApprove": true), noe som fjerner alle sikkerhetsbekreftelser og gir verktøyet frihet til å kjøre shell-kommandoer og utføre vilkårlig kode på systemet

Anbefaling:

Oppdater umiddelbart til Visual Studio 2022-versjon 17.14.12 eller nyere, som inkluderer fiksen for denne sårbarheten. Implementer i tillegg strengere kontroll over konfigurasjonsfilskriving og vurder begrensning av AI-agenters tillatelser i utviklingsmiljøet.

Sårbarheter:

Posted by tsoc at 12:48 0 comments

Monday, 11 August 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.08.11

WinRAR Zero-Day utnyttet i phishing angrep av RomCom hackere.

WinRAR Zero-Day utnyttet i phishing angrep av RomCom hackere

En nylig utbedret sårbarhet i WinRAR, merket som CVE-2025-8088, har blitt utnyttet som en zero-day i phishing angrep for å installere RomCom malware. Sårbarheten tillater angripere å manipulere destinasjonssti ved utpakking av arkiver, noe som gjør det mulig å plassere kjørbare filer i oppstartsmapper. Ved neste pålogging kjøres disse programmene automatisk, og gir angriper fjernkjøringsevne. Angriperne distribuerte disse arkivene via spear-phishing e-poster som inneholdt skadelige RAR-filer. RARLAB utga en fikset versjon, WinRAR 7.13, for å adressere feilen.

Anbefaling:

Oppdater WinRAR til versjon 7.13 (eller nyere), og vær ekstra varsom med arkivfiler mottatt via e-post.

Sårbarheter:

Posted by tsoc at 11:31 0 comments

Friday, 8 August 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.08.08

Nytt EDR-killerverktøy brukt av åtte forskjellige ransomware-grupper. SonicWall finner ingen SSLVPN-zero-day angrep, og kobler ransomware-angrep til feil i 2024. Microsoft advarer om kritisk sårbarhet i hybrid Exchange-distribusjoner.

Nytt EDR-killerverktøy brukt av åtte forskjellige ransomware-grupper

En ny, sofistikert EDR-killer (Endpoint Detection and Response-killer), videreutviklet fra RansomHub sitt «EDRKillShifter», har blitt observert i angrep fra åtte ulike ransomware-grupper: RansomHub, Blacksuit, Medusa, Qilin, Dragonforce, Crytox, Lynx og INC. Verktøyet bruker en tungt obfuskert binærfil som dekodes ved kjøring og injiseres i legitime applikasjoner. Det søker etter en digitalt signert, men stjålet eller utgått sertifikat-basert driver med et fem-tegns tilfeldig navn, laster den inn i kernel-modus og utløser et BYOVD-angrep (Bring Your Own Vulnerable Driver) for å oppnå kjernesrettigheter. Driveren utgir seg for å være legitim – som CrowdStrike Falcon Sensor Driver – men deaktiverer AV/EDR-prosesser og tjenester fra en rekke leverandører, inkludert Sophos, Microsoft Defender, Kaspersky, Symantec, Trend Micro, SentinelOne, Cylance, McAfee, F-Secure, HitmanPro og Webroot. Til tross for ulike varianter i drivernavn, målte AV-er og byggkarakteristikker, benyttes HeartCrypt for pakking, og det finnes indikasjoner på deling av verktøy og kunnskap mellom konkurrenter innen ransomware-industrien

SonicWall finner ingen SSLVPN-zero-day angrep, og kobler ransomware-angrep til feil i 2024

SonicWall har bekreftet at de nylige Akira-ransomware-angrepene mot Gen 7 brannmurer med SSL-VPN aktivert ikke skyldes en ny (ukjent) zero-day-sårbarhet, men snarere utnyttelse av en allerede kjent streng tilgangskontroll-feil, CVE-2024-40766, oppdaget og utbedret i august 2024. Angrepene skyldes i stor grad migrasjon fra Gen 6 til Gen 7, der lokale brukerpassord ble overført uten å tilbakestilles – en anbefalt sikkerhetsprosedyre ble dermed ikke fulgt. Den kritiske sårbarheten ga angripere tilgang til VPN eller administrasjonsgrensesnitt, noe som førte til rask ransomware-deployering gjennom den kompromitterte SSL-VPN-tilgangen

Anbefaling:

SonicWall anbefaler umiddelbare tiltak for å begrense risikoen: Oppdater til SonicOS versjon 7.3.0 eller nyere. Tilbakestill alle lokale brukerkonto-passord som ble migrert fra Gen 6 til Gen 7 med SSL-VPN-tilgang. Deaktiver SSL-VPN hvis mulig, eller begrens tilgang via IP-whitelisting

Sårbarheter:

Microsoft advarer om kritisk sårbarhet i hybrid Exchange-distribusjoner

Microsoft har avdekket en «high-severity» sårbarhet (CVE-2025-53786, CVSS 8.0) i hybrid Exchange-distribusjoner som gjør det mulig for en angriper med admin-tilgang på en lokal Exchange-server å eskalere privilegier og få tilgang til Exchange Online uten å etterlate spor i sky-audit-logger. Feilen skyldes deling av samme service-principal mellom lokal Exchange og Exchange Online. Til tross for at det ikke er observert aktiv utnyttelse ennå, vurderer Microsoft at utnyttelsespotensialet er høyt.

Anbefaling:

Installer April 2025 Hotfix for Exchange Server eller nyere

Sårbarheter:

Posted by tsoc at 11:01 0 comments

Thursday, 7 August 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.08.07

ReVaultflaws lar hackere omgå Windows-pålogging på Dell-bærbare datamaskiner. Akira ransomware misbruker CPU-tuningverktøyet for å deaktivere Microsoft Defender. Ny Ghost Calls-taktikk misbruker Zoom og Microsoft Teams for C2-operasjoner. Fake VPN- og Spam‑Blokker‑apper knyttet til VexTrio brukt i annonsebedrageri.

ReVaultflaws lar hackere omgå Windows-pålogging på Dell-bærbare datamaskiner

En ny serie sårbarheter — kalt ReVault — har blitt oppdaget i Dell ControlVault3 (og ControlVault3⁺) firmware og tilhørende Windows-API-er. Disse påvirker over 100 modeller av Latitude- og Precision-laptoper. Sårbarhetene inkluderer to out-of-bounds-feil (CVE‑2025‑24311, CVE‑2025‑25050), et "arbitrary free"-problem (CVE‑2025‑25215), en stack-overflow (CVE‑2025‑24922), og usikker deserialisering (CVE‑2025‑24919). Ved hjelp av disse kan angripere utføre kode på firmware-nivå via legitime API-er, noe som muliggjør vedvarende tilgang selv etter OS-reinstallasjon, samt omgå Windows-pålogging og manipulere biometri (fingeravtrykk) slik at enhver finger aksepteres — alt uten å kjenne til diskpassord eller legitimasjon. (Cisco Talos via BleepingComputer)

Anbefaling:

Installer umiddelbart oppdateringer for ControlVault3/3⁺ firmware (via Dell-nettside eller Windows Update). Deaktiver fingerprint-pålogging i miljøer med høy risiko

Akira ransomware misbruker CPU-tuningverktøyet for å deaktivere Microsoft Defender

Akira‑ransomwaren misbruker en legitim Intel‑driver for CPU‑tuning kalt rwdrv.sys (tilknyttet ThrottleStop) ved å registrere den som en tjeneste for å oppnå kjernenivå (kernel‑level) tilgang. Deretter brukes en ondsinnet driver, hlpdrv.sys, som også registreres som tjeneste. Denne driveren endrer Windows Defender‑innstillinger i registret for å deaktivere antivirusbeskyttelse (DisableAntiSpyware) ved hjelp av regedit.exe. Teknikken betegnes som en BYOVD‑angrep (Bring Your Own Vulnerable Driver) og har vært observert ofte i Akira‑IR‑saker siden 15. juli 2025. GuidePoint Security har delt en YARA‑regel for hlpdrv.sys og en omfattende liste over IOCs (indikatorer på kompromiss), inkludert tjenestenavn og filbaner

Ny Ghost Calls-taktikk misbruker Zoom og Microsoft Teams for C2-operasjoner

En ny post‑exploitation metode kalt »Ghost Calls» misbruker TURN-servere i videokonferanseverktøy som Zoom og Microsoft Teams for å opprette skjult command‑and‑control‑(C2)‑trafikk via WebRTC. Teknikken bruker legitime TURN-legitimasjoner og spesialverktøy for å rekonfigurere trafikken slik at den ser ut som normal videokonferanse, og dermed omgår brannmurer, proxyer og TLS-inspeksjon. Forskningsverktøyet TURNt (tilgjengelig via GitHub) muliggjør SOCKS-proxying, port-forwarding, dataeksfiltrasjon og skjult VNC-trafikk, uten å utnytte noen sårbarheter i selve Zoom eller Teams.

Anbefaling:

Overvåk uvanlige bruksmønstre i WebRTC/TURN-trafikk, spesielt under videomøter. Legg inn filter- og inspeksjonsregler som kan identifisere unormal WebRTC‑trafikk eller proxy‑aktiviteter.

Fake VPN- og Spam‑Blokker‑apper knyttet til VexTrio brukt i annonsebedrageri

Den ondskapsfulle ad-tech-gruppen VexTrio Viper har utviklet flere falske apper – inkludert VPN-er, RAM-rensere, datingtjenester og spam-blokkere – som er publisert i App Store og Google Play under falske utviklernivåer som HolaCode, LocoMind, Hugmi, Klover Group og AlphaScale Media. Disse appene, som samlet har blitt lastet ned millioner av ganger, lurer brukere til å abonnere på tjenester som er vanskelige å avbryte, oversvømmer dem med annonser og samler inn personlig informasjon som e-postadresser. Et eksempel er appen Spam Shield block, som hevder å blokkere push-varsler, men i stedet fakturerer brukere flere ganger.

Posted by tsoc at 10:16 0 comments

Wednesday, 6 August 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.08.06

15 000 falske TikTok-butikkdomener leverer skadelig programvare og stjeler krypto via AI-drevet svindelkampanje. Cisco avslører datainnbrudd som påvirker Cisco.com-brukerkontoer.

15 000 falske TikTok-butikkdomener leverer skadelig programvare og stjeler krypto via AI-drevet svindelkampanje

Sikkerhetsforskere (CTM360) har avdekket en global kampanje, kalt “FraudOnTok” eller “ClickTok”, som opererer med over 15 000 domener som etterligner TikTok Shop (f.eks. med .shop, .top, .icu). Disse nettstedene brukes til phishing – stjeling av brukerinnlogging og betaling – og distribusjon av trojaniserte TikTok-apper. Appene inneholder SparkKitty‑malware som kan stjele lagrede nettleserdata, klippelisteinnhold og kryptovolum fra seed‑fraser via OCR og enhetsfingeravtrykk. Scammen bruker AI-genererte videoannonser og falske påvirkere til å få brukerne til å installere appene eller foreta kryptobetalinger til falske “nettbutikker”. Kampanjen har vokst raskt med tusenvis av nye domener registrert i løpet av få uker

Cisco avslører datainnbrudd som påvirker Cisco.com-brukerkontoer

Cisco har 1. august 2025 bekreftet at en ansatt ble latt lure via voice phishing (vishing), hvor en ondsinnet aktør utga seg for å være en betrodd part og fikk tilgang til en tredjeparts CRM‑instans. Gjennom dette eksporterte angriperen begrenset brukerdata fra Cisco.com‑kontoer—navn, organisasjonsnavn, adresse, Cisco‑ID, e‑postadresse, telefonnummer og metadata som kontoopprettelsesdato. Ingen passord, økonomisk informasjon, eller kundespesifikk proprietær data ble tatt. Bare én CRM‑instans ble påvirket, og Cisco bekrefter at deres interne systemer og andre CRM‑instanser ikke ble kompromittert. Bruddets rekkevidde mht. antall berørte brukere nevnes ikke. Cisco iverksatte tiltak for å stanse tilgangen umiddelbart, startet intern undersøkelse, og har varslet berørte brukere etter krav i lov. Videre tiltak inkluderer opplæring av personell i å oppdage vishing‑forsøk.

Posted by tsoc at 09:59 0 comments

Monday, 4 August 2025

Daglig Nyhetsbrev fra Telenor Sikkerhetssenter - 2025.08.04

Akira Ransomware Utnytter SonicWall VPN (Mulig Zero-Day). Angripere utnytter lenkepakkingstjenester for å stjele Microsoft 365-pålogginger. Ny Linux-bakdør Plague oppdaget.

Akira Ransomware Utnytter SonicWall VPN (Mulig Zero-Day)

I slutten av juli 2025 har Akira‑ransomware-gruppen intensivt angrepet SonicWall SSL VPN-apparater, inkludert fullt patched enheter, noe som antyder en mulig zero‑day sårbarhet i SonicOS. Angrepene startet rundt 15. juli, med flere VPN-innbrudd etterfulgt av rask kryptering og datatyveri, ofte samme dag. Autentiseringsmetoder kan inkludere kredittkort-stuffing eller stjålne VPN-legitimasjoner, men sårbarhet uavklart. Forskerne oppfordrer til midlertidig deaktivering av SSL VPN og økt overvåkning av VPN-tilgang via hosting-ASNer.

Anbefaling:

Deaktiver SonicWall SSL VPN midlertidig inntil sikkerhetsoppdatering er implementert. Installer nyeste SonicOS firmware som dekker CVE‑2024‑40766 for Gen 5, 6 og tidlig Gen 7 enheter.

Sårbarheter:

Angripere utnytter lenkepakkingstjenester for å stjele Microsoft 365-pålogginger

Forskere har avdekket en phishing-kampanje fra juni til juli 2025, hvor angripere misbruker link-wrapping tjenester fra anerkjente leverandører som Proofpoint og Intermedia for å skjule ondsinnede lenker som leder til Microsoft 365 phishing-sider. Teknikken inkluderer et multi-nivå omdirigeringskjede: først URL-forkorter (f.eks. Bitly), deretter link-wrapping fra en kompromittert konto, før brukeren ender på en falsk Microsoft-side som samler inn legitimasjonsdata. E-postene har ofte temaer som "avlyttet telefonsvarer", Microsoft Teams-dokumentdeling, eller sikker melding fra Zix, med oppfordring til å klikke gjennom link-wrap-tjenesten

Ny Linux-bakdør Plague oppdaget

Sikkerhetsforskere har oppdaget en hittil ukjent Linux-bakdør kalt Plague, som har vært aktiv i over ett år. Plague fungerer som en ondsinnet PAM-modul og gir angripere mulighet til å omgå autentisering og stjele påloggingsdetaljer. Den muliggjør også permanent SSH-tilgang til kompromitterte systemer. Malwaret benytter avansert obfuskering og manipulerer miljøvariabler for å skjule spor etter bruk og er laget for å overleve systemoppdateringer.

Posted by tsoc at 10:26 0 comments
Subscribe to: Posts (Atom)
 
>