FBI advarer om russiske hackere som utnytter Cisco-sårbarhet i kritisk infrastruktur. PDF Editor By AppSuite – Uønsket Applikasjon. Kinesiske hackere utnyttet nulldagssårbarhet i Commvault.
FBI advarer om russiske hackere som utnytter Cisco-sårbarhet i kritisk infrastruktur
FBI og Cisco Talos har gått ut med advarsler om en pågående cyber-etterretningskampanje utført av russiske hackere tilknyttet FSBs Center 16-enhet (kjent som både Static Tundra, Berserk Bear, Dragonfly m.fl.). Over de siste tolv månedene har de utnyttet den syv år gamle og kritiske sårbarheten CVE-2018-0171 i Cisco IOS- og IOS XE-programvare (Smart Install-funksjonen), og rettet angrep mot tusenvis av nettverksenheter i kritisk infrastruktur globalt. Målet har vært å hente konfigurasjonsfiler og – i enkelte tilfeller – modifisere dem for å oppnå vedvarende uautorisert tilgang og gjennomføre rekognosering, særlig mot industrielle kontrollsystemer. Angrepene har rammet sektorer som telekommunikasjon, høyere utdanning og produksjon, og har forekommet i Nord-Amerika, Asia, Afrika, Europa, inkludert Ukraina og dets allierte. Cisco anbefaler sterk patching eller deaktivering av Smart Install, og FBI understreker faren ved bruk av utdatert og uoppdatert nettverksutstyr.
PDF Editor By AppSuite – Uønsket Applikasjon
PDF Editor By AppSuite, tilsynelatende et verktøy for PDF-redigering (visning, konvertering, utfylling, sammenslåing, signering og komprimering), viser seg å være et uønsket program med typiske kjennetegn for nettleserkapring (browser hijacker). Installasjonen endrer standard søkemotor til Yahoo gjennom en omdirigerings-URL (search-redirect.com) – en falsk søkemotor som kan samle data og føre brukere til upålitelige nettsteder. Den kan også vise påtrengende annonser, redusere nettleser- og systemytelse, og overvåke nettleseraktivitet. Brukere bør unngå å installere programmet og fjerne det umiddelbart dersom det er til stede.
Anbefalinger:
Avinstaller PDF Editor By AppSuite via Kontrollpanel (Windows) eller Dra til søpla (macOS).
Fjern tilhørende nettleserendringer i Googles Chrome, Firefox, Safari og Edge: fjern utvidelser knyttet til søkemotoren, tilbakestill nettleserens hjem, ny fane- og søkeinnstillinger.
Gjennomfør systemskanning med pålitelig antivirusverktøy, eksempelvis Combo Cleaner – merk at dette krever lisens, men tilbys med 7-dagers gratis prøveperiode av RCS LT, PCRisk sin moderselskap.
Forebygging: Last kun ned programvare fra offisielle nettsider eller verifiserte app-butikker, velg alltid "Custom"/avansert installasjon for å unngå bundling, unngå klikk på mistenkelige annonser, og hold system og apper oppdatert.
Kinesiske hackere utnyttet nulldagssårbarhet i Commvault
En kinesisk statssponset hackergruppe kjent som Silk Typhoon (også kalt Murky Panda) utnyttet en hittil ukjent (zero-day) sårbarhet i Commvault Web Server (CVE-2025-3928) for å få tilgang til kunders Azure- og Metallic (M365 backup) miljøer. Sårbarheten, med CVSS-skår 8.7, tillot en angriper med gyldige brukerrettigheter å installere webshells og tilrane seg applikasjonshemmeligheter. Commvault ble varslet av Microsoft 20. februar 2025, og rapporterte at kun "et lite antall kunder" var påvirket, uten at det forelå bevis for kompromittering av selve backupdataene. Sårbarheten er senere lappet, og Commvault roterte berørte legitimasjoner og styrket overvåkning. CISA har ført CVE-2025-3928 opp i sin katalog for Known Exploited Vulnerabilities (KEV).
Anbefalinger:
Installer siste sikkerhetsoppdateringer for Commvault Web Server umiddelbart.
Roter applikasjonshemmeligheter og klienthemmeligheter mellom Azure og Commvault minst hver 90. dag.
Implementer Conditional Access-policyer for Microsoft 365, Dynamics 365 og Azure AD, med restriksjon til godkjente IP-områder.
Overvåk Azure/Entra ID- og Commvault-innloggingslogger for uvanlige aktiviteter, spesielt endringer i service-principal-legitimasjon.
Utfør IoC-basert jakt med bruk av indikatorer delt av Commvault, inkludert webshells, skript og mistenkelige autentiseringsforsøk.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.