Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Thursday, 9 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.09

Kritisk sårbarhet i Grafana. APT28 bak ny PRISMEX‑kampanje mot Ukraina og NATO-land. Atomic Stealer distribueres via Script Editor i nye macOS‑angrep.

Kritisk sårbarhet i Grafana

Grafana har publisert viktige sikkerhetsoppdateringer som retter to alvorlige sårbarheter (CVE‑2026‑27876 og CVE‑2026‑27880) i flere støttede versjoner. Den mest kritiske sårbarheten kan, under gitte forutsetninger, utnyttes til ekstern kodekjøring (RCE) i selv‑hostede Grafana‑instanser der SQL Expressions er aktivert og brukere har rettigheter til å kjøre spørringer mot datakilder. Dette kan gi en angriper full kontroll over Grafana‑verten. I tillegg er det identifisert en høyalvorlig sårbarhet som gjør det mulig for uautentiserte angripere å krasje Grafana‑tjenesten via ressurskrevende forespørsler (DoS).

Sårbare versjoner:

  • 12.4.2

  • 12.3.6

  • 12.2.8

  • 12.1.10

  • 11.6.14

Anbefaling:

Grafana anbefaler at alle berørte instanser oppgraderes umiddelbart til siste patch‑nivå for å redusere risiko og sikre stabil drift.

APT28 bak ny PRISMEX‑kampanje mot Ukraina og NATO-land

Den russisk‑tilknyttede trusselaktøren APT28 er knyttet til en ny målrettet phishing kampanje mot Ukraina og flere europeiske NATO‑land. Kampanjen benytter skadevaresuiten PRISMEX og har vært aktiv siden minst høsten 2025. Angrepene utnytter nylig annonserte sårbarheter som CVE‑2026‑21509 og CVE‑2026‑21513, trolig brukt som nulldagssårbarheter, og distribuerer skadevare via LNK filer.

PRISMEX kombinerer steganografi, COM‑kapring og misbruk av legitime skytjenester for kommando‑ og kontroll, og har både spionasje- og destruktiv kapasitet. Aktiviteten indikerer et strategisk fokus på forsyningskjeder og operasjonell støtte til Ukraina.

Atomic Stealer distribueres via Script Editor i nye macOS‑angrep

En ny kampanje retter seg mot macOS-brukere og distribuerer skadevaren Atomic Stealer (AMOS) ved å utnytte Script Editor som kjøreflate for ondartet kode. Angrepet bygger på kjente ClickFix‑teknikker, der brukere lokkes til falske Apple lignende nettsider med instruksjoner for å «frigjøre diskplass».

Nettstedene benytter applescript:// lenker som åpner Script Editor med forhåndsutfylt kode, noe som muliggjør kjøring av kommandoer uten direkte bruk av Terminal. Koden laster ned og kjører en Mach‑O binær som kan hente ut Keychain data, passord, nettleserdata, kryptolommebøker og systeminformasjon, og som kan etablere vedvarende tilgang via bakdør.

Kampanjen illustrerer hvordan legitime macOS komponenter kan misbrukes i sosial manipulering, og understreker behovet for tydelige retningslinjer, brukerbevissthet og bruk av offisielle Apple‑kilder ved feilsøking og systemvedlikehold.

Posted by tsoc at 12:18 0 comments

Wednesday, 8 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.08

Android zero-interaction sårbarhet muliggjør angrep uten brukerhandling. Docker sårbarhet CVE-2026-34040 lar angripere omgå autorisering og få tilgang til host. Hackere misbruker falske TradingView Premium-innlegg for å spre skadevare.

Android zero-interaction sårbarhet muliggjør angrep uten brukerhandling

En ny zero-interaction sårbarhet i Android gjør det mulig for angripere å kompromittere enheter uten at brukeren trenger å gjøre noe som helst. Angrepet kan utløses via spesiallagde meldinger eller data sendt til enheten, hvor sårbarheten i systemkomponenter håndterer innholdet automatisk og fører til kjøring av ondsinnet kode. Dette gjør angrepet spesielt farlig siden det ikke krever klikk, nedlasting eller annen brukerinteraksjon.

Sårbarheten kan gi angripere tilgang til sensitive data, meldinger og potensielt full kontroll over enheten. Den er spesielt alvorlig fordi den kan utnyttes i målrettede angrep mot enkeltpersoner eller organisasjoner, inkludert overvåkning og spionasje. Zero-interaction angrep er kjent for å være vanskelige å oppdage og stoppe med tradisjonelle sikkerhetsmekanismer.

Docker sårbarhet CVE-2026-34040 lar angripere omgå autorisering og få tilgang til host

En høy alvorlig sårbarhet i Docker Engine (CVE-2026-34040, CVSS 8.8) gjør det mulig for angripere å omgå autorisasjonsplugins (AuthZ) og oppnå tilgang til vertssystemet. Feilen skyldes en ufullstendig patch av CVE-2024-41110 og oppstår når Docker håndterer HTTP-forespørsler større enn 1 MB feil, noe som fører til at request body ikke sendes til autorisasjonspluginen. Dette kan utnyttes ved å sende en manipulert forespørsel som gjør at sikkerhetskontrollen ikke trigges, og dermed tillater opprettelse av privilegerte containere med root-tilgang til host, inkludert tilgang til sensitive data som SSH-nøkler, AWS credentials og Kubernetes-konfigurasjoner. Sårbarheten kan utnyttes med lav kompleksitet og uten brukerinteraksjon, og rammer spesielt miljøer som benytter AuthZ-plugins for sikkerhet.

Anbefaling:

Oppgrader til Docker Engine versjon 29.3.1 eller nyere umiddelbart. Begrens tilgang til Docker API til kun betrodde brukere og unngå AuthZ-plugins som er avhengige av inspeksjon av request body hvis patching ikke er mulig.

Sårbarheter:

Hackere misbruker falske TradingView Premium-innlegg for å spre skadevare

Hackere utnytter TradingView ved å publisere falske innlegg som utgir seg for å tilby “Premium” indikatorer og tradingstrategier. Disse innleggene inneholder lenker til eksterne nedlastninger som i realiteten distribuerer skadevare forkledd som legitime trading-verktøy. Når brukere laster ned og kjører filene, installeres bakdører og infostealers som gir angriperne tilgang til systemer, nettleserdata og kryptolommebøker.

Angrepene retter seg spesielt mot tradere og kryptoinvestorer, og utnytter tilliten til populære analyseverktøy og fellesskap. Skadevaren er ofte pakket i arkivfiler og krever manuell kjøring, noe som gjør sosial manipulering til en sentral del av angrepet. Kampanjen viser en økende trend der legitime plattformer misbrukes til distribusjon av malware gjennom brukergenerert innhold.

Posted by tsoc at 11:40 0 comments

Tuesday, 7 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.07

Microsoft advarer mot gruppen Storm-1175 som står bak Medusa løsepengevirus.

Microsoft advarer mot gruppen Storm-1175 som står bak Medusa løsepengevirus

Microsoft beskriver hvordan trusselaktøren Storm-1175, en gruppe kjent for å distribuere Medusa løsepengevirus, gjennomfører flere angrep mot internett eksponerte systemer. Gruppen fokuserer spesielt på å identifisere og utnytte sårbare "web-facing" applikasjoner for initiell tilgang, før de beveger seg videre i nettverket hvor de etablerer persistens og distribuerer løsepengevirus. Aktiviteten kjennetegnes av rask utnyttelse av nylig oppdagede sårbarheter og effektiv operasjonalisering av tilgang til kompromitterte miljøer.

Et eksempel av svakheter som de har utnyttet er CVE-2025-10035, en kritisk sårbarhet i GoAnywhere MFT som muliggjør uautentisert kommandoinjeksjon og fjernkjøring av kode. Storm-1175 utnyttet denne ved å manipulere lisensmekanismer for å oppnå initiell tilgang, deretter installere verktøy for vedvarende tilgang og til slutt levere Medusa løsepengeviruset. Angriperne bruker også lignende sårbarheter i offentlig eksponerte tjenester for å etablere web shells, gjennomføre lateral bevegelse og eksfiltrere data før kryptering av systemer.

Anbefaling:

Organisasjoner bør prioritere rask patching av alle internet eksponerte systemer, spesielt kritiske tjenester som filoverføringsløsninger. I tillegg bør man kontinuerlig overvåke etter tegn på kompromittering ved å blant annet ta i bruk kjente "Indicators-of-Compromise" (IoC) for trussel aktøren.

Sårbarheter:

Posted by tsoc at 12:11 0 comments

Monday, 6 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.06

Microsoft avslører nye PHP Web shells som bruker cookies for skjult fjernkjøring på Linux servere. Kritisk Fortinet-sårbarhet utnyttes aktivt - hasteoppdatering lansert. Microsoft tvinger oppgradering til Windows 11 25H2 for uadministrerte enheter.

Microsoft avslører nye PHP Web shells som bruker cookies for skjult fjernkjøring på Linux servere

Microsoft Defender Research Team har identifisert en ny teknikk der angripere bruker HTTP cookies som kontrollkanal for PHP baserte web shells på Linux servere. I stedet for tradisjonelle metoder via URL parametere eller "request body", aktiveres ondsinnet kode kun når spesifikke cookie verdier sendes, noe som gjør aktiviteten svært vanskelig å oppdage da den blander seg med normal trafikk. Web shellene benytter kraftig obfuskering og kan rekonstruere payloads dynamisk eller skrive dem til disk før eksekvering. I flere tilfeller oppnår angripere initiell tilgang via stjålne brukerdetaljer eller utnyttelse av kjente sårbarheter, og etablerer deretter persistens ved hjelp av "cron jobs" som automatisk gjenoppretter skadevare dersom den fjernes. Denne «self-healing» mekanismen sikrer vedvarende tilgang og muliggjør skjult remote code execution (RCE) over tid, samtidig som spor i logger minimeres.

Kritisk Fortinet-sårbarhet utnyttes aktivt - hasteoppdatering lansert

Fortinet har publisert en nødoppdatering for en kritisk sårbarhet (CVE-2026-35616) i FortiClient EMS som allerede blir aktivt utnyttet i angrep. Feilen skyldes manglende tilgangskontroll og gjør det mulig for uautentiserte angripere å kjøre kode via spesiallagde forespørsler.

Sårbarheten rammer versjonene 7.4.5 og 7.4.6, og over 2 000 eksponerte systemer er funnet på nettet. Problemet ble oppdaget som en såkalt zero-day og utnyttet før det ble rapportert. Fortinet oppfordrer brukere til å installere sikkerhetsoppdateringen umiddelbart eller oppgradere til kommende versjon 7.4.7 for å beskytte seg.

Sårbarheter:

Microsoft tvinger oppgradering til Windows 11 25H2 for uadministrerte enheter

Microsoft har startet en automatisk utrulling som tvinger uadministrerte Windows 11 enheter (Home og Pro) fra versjon 24H2 til 25H2, også kjent som Windows 11 2025 Update. Oppgraderingen skjer som del av en maskinlæringsbasert utrulling som vurderer enhetsklarhet, og installeres automatisk via Windows Update uten behov for brukerhandling. Bakgrunnen er at Windows 11 24H2 når "end-of-support" 13. oktober 2026, og enheter som ikke oppdateres vil miste sikkerhetsoppdateringer, feilrettinger og teknisk støtte. Oppgraderingen leveres som en liten “enablement package” på under 200 KB som aktiverer allerede installerte funksjoner, noe som gir rask installasjon med kun én omstart. Utrullingen gjelder kun enheter som ikke er administrert av IT systemer som Intune eller Endpoint Manager, og brukere kan kun midlertidig utsette oppdateringen.

Anbefaling:

Sørg for at enheter oppdateres til Windows 11 25H2 så raskt som mulig for å opprettholde sikkerhetsoppdateringer. Organisasjoner bør ha kontroll på hvilke enheter som er unmanaged og vurdere å flytte disse inn under sentral administrasjon. Brukere bør ikke utsette oppdateringen unødvendig, da dette kan føre til eksponering for kjente sårbarheter etter end-of-support.

Posted by tsoc at 12:12 0 comments

Friday, 3 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.03

Kritisk Cisco IMC sårbarhet gir admin-tilgang uten autentisering. 700 Next.js-hosts kompromittert i omfattende angrep. Claude Code-lekkasje brukt til å spre infostealer malware på GitHub.

Kritisk Cisco IMC sårbarhet gir admin-tilgang uten autentisering

Cisco har publisert sikkerhetsoppdateringer for en kritisk sårbarhet i Integrated Management Controller (IMC), sporet som CVE-2026-20093. Sårbarheten skyldes feil håndtering av passordendringsforespørsler og kan utnyttes av en uautentisert angriper via en spesiallaget HTTP-forespørsel for å omgå autentisering. Dette gjør det mulig å endre passord for alle brukere inkludert admin og deretter få full administrativ tilgang til systemet.

IMC er en out-of-band administrasjonskomponent som gir full kontroll over servere selv når operativsystemet er avslått, noe som gjør konsekvensene svært alvorlige. Cisco opplyser at det per nå ikke finnes tegn til aktiv utnyttelse, men anbefaler sterkt umiddelbar oppdatering siden det ikke finnes midlertidige tiltak.

Anbefaling:

Oppgrader til siste versjon av Cisco IMC og SSM On-Prem umiddelbart da det ikke finnes workarounds.

Sårbarheter:

700 Next.js-hosts kompromittert i omfattende angrep

En nylig rapport avslører at over 700 servere som kjører Next.js har blitt kompromittert i et koordinert angrep. Angriperne utnyttet en sårbarhet knyttet til feilkonfigurerte eller eksponerte miljøer, som gjorde det mulig å kjøre ondsinnet kode og installere bakdører. Flere av de berørte systemene ble brukt til videre angrep, inkludert kryptomining og distribusjon av skadevare. Angrepet viser hvordan moderne webapplikasjonsrammeverk kan bli mål hvis sikkerhetspraksis ikke følges nøye, spesielt rundt eksponering av administrative grensesnitt og miljøvariabler

Anbefaling:

Det anbefales å oppdatere Next.js til siste versjon og sikre at alle miljøvariabler og administrative endepunkter ikke er offentlig tilgjengelige. Videre bør man implementere autentisering på sensitive API-ruter, overvåke uvanlig trafikk og kjøre sikkerhetsskanninger for å oppdage kompromitterte systemer. Det er også viktig å bruke prinsippet om minste privilegium og sikre serverkonfigurasjoner.

Claude Code-lekkasje brukt til å spre infostealer malware på GitHub

Trusselaktører utnytter den nylige lekkasjen av Claude Code kildekode fra Anthropic til å spre infostealer malware via falske GitHub-repositorier. Lekkasjen oppstod 31. mars 2026 da rundt 513 000 linjer TypeScript kode ble eksponert gjennom en feil i en npm-pakke, noe som avslørte interne funksjoner, arkitektur og sikkerhetsmekanismer. Angripere opprettet deretter falske repositorier som utgir seg for å tilby den lekkede koden med utvidede funksjoner, men som i realiteten distribuerer Vidar infostealer sammen med GhostSocks malware via ondsinnede nedlastninger. Kampanjen utnytter høy interesse rundt lekkasjen og gjør det enkelt for utviklere å bli lurt gjennom søk og GitHub.

Anbefaling:

Unngå å laste ned eller kjøre kode fra GitHub som hevder å være lekket Claude Code, verifiser kun kilder fra offisielle kanaler, implementer Zero Trust-arkitektur, og unngå å kjøre AI-agenter med tilgang til lokale systemer på uverifisert kode

Posted by tsoc at 12:07 0 comments

Thursday, 2 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.02

Google fikser utnyttet Chrome zero-day. Cisco IMC Virtual Keyboard Video Monitor lar angripere omdirigere brukere til ondsinnede nettsider. Remcos RAT infeksjonskjede skjuler seg bak obfuskert PowerShell og legitime verktøy.

Google fikser utnyttet Chrome zero-day

Google har fikset en ny Chrome zero-day sårbarhet som de bekrefter har blitt utnyttet i angrep. Sårbarheten (CVE-2026-5281, CVSS v3 score 8,8) skyldes en use-after-free-feil i WebGPU-implementasjonen (Dawn), og kan gjøre det mulig for angripere å kjøre skadelig kode via spesiallagde nettsider, typisk gjort som del av en større angrepskjede. Google holder foreløpig tekniske detaljer tilbake for å hindre videre misbruk mens oppdateringen rulles ut. Brukere og organisasjoner oppfordres til å oppdatere Chrome umiddelbart for å beskytte seg mot potensielle angrep.

Sårbarheter:

Cisco IMC Virtual Keyboard Video Monitor lar angripere omdirigere brukere til ondsinnede nettsider

Cisco har avdekket en sårbarhet i Virtual Keyboard Video Monitor komponenten i Integrated Management Controller som gjør det mulig for en uautentisert angriper å omdirigere brukere til ondsinnede nettsider. Sårbarheten skyldes manglende validering av redirect mål i vKVM tilkoblingshåndtering, og kan utnyttes ved at brukere klikker på spesiallagde lenker. Dette kan føre til phishing og kompromittering av administrator legitimasjon, noe som igjen kan gi tilgang til kritisk infrastruktur.

Sårbarheten påvirker flere Cisco plattformer inkludert UCS B-Series, C-Series, X-Series, samt flere Cisco appliances som DNA Center og Secure Firewall Management Center. Det finnes ingen midlertidige workarounds, og kun oppdatering til fikset programvare eliminerer risikoen.

Anbefaling:

Administratorer bør oppdatere til siste tilgjengelige programvareversjon fra Cisco så raskt som mulig da det ikke finnes noen midlertidige tiltak. I tillegg bør man være oppmerksom på phishing forsøk og begrense eksponering av IMC grensesnitt der det er mulig.

Sårbarheter:

Remcos RAT infeksjonskjede skjuler seg bak obfuskert PowerShell og legitime verktøy

En pågående kampanje utnytter en avansert infeksjonskjede for å distribuere Remcos RAT, der angripere benytter obfuskert PowerShell og legitime Windows-verktøy for å unngå deteksjon. Angrepet starter typisk med phishing e-poster som inneholder ondsinnede vedlegg eller lenker, som deretter laster ned og kjører PowerShell-skript. Disse skriptene er kraftig obfuskert og brukes til å hente nyttelasten, samtidig som de utnytter legitime systemverktøy for å redusere mistanke.

Videre etablerer Remcos RAT persistens på systemet og gir angriperen full fjernkontroll, inkludert mulighet for keylogging, skjermopptak og datatyveri. Kampanjen viser en økende trend der angripere kombinerer legitime verktøy og avansert obfuskering for å omgå sikkerhetsløsninger og operere skjult over lengre

Posted by tsoc at 13:05 0 comments

Wednesday, 1 April 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.04.01

Kritisk sårbarhet i Gigabyte Control Center. Kritiske sårbarheter i Progress ShareFile. Kritisk sårbarhet i n8n.

Kritisk sårbarhet i Gigabyte Control Center

En kritisk sårbarhet i Gigabyte Control Center (CVE-2026-4415, CVSS v4 score 9,2) gjør det mulig for en angriper å skrive filer vilkårlig på systemet. Feilen skyldes mangelfull validering av input, og kan utnyttes av en angriper uten autentisering hvis en paringsfunksjon er aktivert i Control Center. Dette kan føre til kjøring av skadelig kode, eskalering av rettigheter eller full kompromittering av systemet. Sårbarheten påvirker versjon 25.07.21.01 og eldre av programvaren, og Gigabyte har gitt ut en oppdatering som fikser problemet. Brukere anbefales sterkt å oppdatere til nyeste versjon.

Sårbarheter:

Kritiske sårbarheter i Progress ShareFile

Progress Software har publisert sikkerhetsoppdateringer for ShareFile Storage Zone Controller etter at det ble avdekket kritiske sårbarheter i on‑prem‑installasjoner av løsningen. Sårbarhetene gir en angriper mulighet til å omgå autentisering, laste opp webshell og oppnå full kontroll over sårbare systemer. Patch ble gjort tilgjengelig 10. mars 2026 og bør installeres senest 2. april 2026.

Utnyttelse forutsetter at ShareFile Storage Zone Controller er tilgjengelig over nettverket, og at det benyttes en on‑prem‑installasjon i 5.x‑serien.

Følgende produkt er berørt:

  • Progress ShareFile Storage Zone Controller versjon 5.x (opp til og med 5.12.3)

Versjon 6.x samt rene SaaS‑miljøer uten egen on‑prem Storage Zone Controller er ikke påvirket.

Per nå er det ikke kjent at utnyttelseskode er offentlig tilgjengelig eller at sårbarhetene utnyttes aktivt. Det foreligger imidlertid informasjon om at en detaljert teknisk analyse, og trolig proof‑of‑concept‑kode, vil bli publisert i nær fremtid. Dette øker risikoen for rask utnyttelse betydelig.

Det anbefales derfor å identifisere eventuelle berørte installasjoner og installere tilgjengelig sikkerhetsoppdatering så snart som mulig. Oppdateringen lastes ned via Progress Software sin portal og krever innlogging.

Anbefaling:

Det anbefales at sårbare enheter oppdateres senest 2.april 2026 til versjon 5.12.4.

Kritisk sårbarhet i n8n

n8n har varslet om en kritisk sårbarhet som kan gi autentiserte brukere med tilgang til arbeidsflyter mulighet til å lese lokale filer og oppnå fjernkodekjøring (RCE) på det underliggende systemet. Sårbarheten ble offentliggjort 25. mars 2026 og er tildelt CVE‑2026‑33660 med en CVSS v4‑score på 9,4 (kritisk). Berørte installasjoner bør oppdateres senest 7. april 2026.

Utnyttelse av sårbarheten gjør det mulig å lese filer på n8n‑verten og utføre vilkårlig kode. Angrep forutsetter at angriperen er autentisert og har tillatelse til å opprette eller endre arbeidsflyter, noe som begrenser eksponeringsflaten, men samtidig gjør sårbarheten særlig relevant i miljøer med mange brukere eller delte administrasjonsrettigheter.

Følgende versjoner er sårbare:

  • n8n eldre enn 2.14.1

  • n8n eldre enn 2.13.3

  • n8n eldre enn 1.123.27

Sårbarheten er lukket i versjonene nevnt over.

Det er per nå ikke kjent at utnyttelseskode er offentlig tilgjengelig eller at sårbarheten misbrukes aktivt. Likevel vurderes det som mulig at sårbare instanser kan bli mål for angrep, ettersom n8n er et utbredt produkt. Risikoen reduseres av at angriper må ha tilgang til en bruker med rettigheter til å opprette arbeidsflyter, men dette anses ikke som tilstrekkelig risikoreduserende alene.

Anbefaling:

Identifisere berørte n8n‑installasjoner og installere tilgjengelig sikkerhetsoppdatering så snart som mulig, og senest innen 7. april 2026.

Posted by tsoc at 12:37 0 comments

Tuesday, 31 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.31

Kritisk RCE-sårbarhet i F5 BIG-IP APM aktivt utnyttet. Axios NPM-pakker kompromittert i supply-chain-angrep med RAT-skadevare.

Kritisk RCE-sårbarhet i F5 BIG-IP APM aktivt utnyttet

En kritisk sårbarhet i F5 BIG-IP APM (CVE-2025-53521) blir nå aktivt utnyttet i angrep. Den ble først klassifisert som en mindre alvorlig DoS-feil i oktober 2025. Sårbarheten er nå oppgradert til en remote code execution (RCE) sårbarhet som gjør det mulig for angripere uten innlogging å kjøre kode på sårbare systemer. Angripere har utnyttet sårbarheten til å installere webshells på enheter som ikke har installert sikkerhetsoppdateringer enda for å få vedvarende tilgang til nettverket. Det anbefales å sjekke om om en sårbar BIG-IP APM versjon har vært installert og gå over F5s IoC-liste.

Sårbarheter:

Axios NPM-pakker kompromittert i supply-chain-angrep med RAT-skadevare

Et avansert supply chain-angrep har kompromittert det svært populære JavaScript-biblioteket Axios ved å publisere ondsinnede versjoner (1.14.1 og 0.30.4) via en kapret npm-konto. Angriperne injiserte en falsk avhengighet, plain-crypto-js@4.2.1, som inneholder et postinstall script som distribuerer en kryssplattform Remote Access Trojan (RAT) for Windows, macOS og Linux. Skadevaren kommuniserer med en C2-server, laster ned sekundære payloads og sletter spor etter seg selv for å unngå deteksjon. Angrepet var nøye planlagt med forhåndsforberedte payloads og rask distribusjon til begge versjonsgrener innen minutter.

Posted by tsoc at 10:54 0 comments

Monday, 30 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.30

Citrix NetScaler under aktiv søk for CVE-2026-3055 (CVSS 9.3) . Fillesingsfeil i Smart Slider-plugin påvirker 500 000 WordPress-nettsteder. Ny Infinity Stealer-skadevare snapper opp macOS-data via ClickFix-lokkemidler. Telnyx PyPI-pakke utsatt for forsyningskjedeangrep.

Citrix NetScaler under aktiv søk for CVE-2026-3055 (CVSS 9.3)

En kritisk sårbarhet i Citrix NetScaler ADC og NetScaler Gateway, CVE‑2026‑3055 (CVSS 9.3), blir nå aktivt kartlagt av trusselaktører ifølge Defused Cyber og watchTowr. Feilen skyldes mangelfull input‑validering som kan føre til memory overread og lekkasje av sensitiv informasjon, men kan bare utnyttes dersom enheten er konfigurert som en SAML Identity Provider. Angripere analyserer nå autentiseringsmetoder via /cgi/GetAuthMethods for å avklare om systemer er sårbare. Citrix opplyser at flere versjoner før de nyeste patchene er berørt, og sikkerhetseksperter ber organisasjoner om å oppdatere umiddelbart før rekognosering går over til faktisk utnyttelse. Dette føyer seg inn i en rekke tidligere aktivt utnyttede NetScaler‑sårbarheter de siste årene.

Sårbarheter:

Fillesingsfeil i Smart Slider-plugin påvirker 500 000 WordPress-nettsteder

En sårbarhet i WordPress‑utvidelsen Smart Slider 3 gjør at autentiserte brukere med kun abonnent‑rettigheter kan lese vilkårlige filer på serveren, inkludert sensitive filer som wp-config.php. Dette kan føre til tyveri av brukerdata og i verste fall full overtakelse av nettstedet. Feilen, CVE‑2026‑3098, berører alle versjoner opp til 3.5.1.33 og skyldes manglende rettighetssjekker i pluginens eksportfunksjon. En patch ble utgitt 24. mars, men rundt 500 000 nettsteder antas fortsatt å bruke en sårbar versjon. Website‑eiere anbefales å oppdatere pluginen umiddelbart.

Sårbarheter:

Ny Infinity Stealer-skadevare snapper opp macOS-data via ClickFix-lokkemidler

Infinity Stealer er et nytt info‑stealende skadeprogram som retter seg mot macOS og bruker en Python‑payload kompilert til en ekte binærfil via Nuitka, noe som gjør analysen vanskeligere. Angrepet starter med en falsk Cloudflare‑lignende CAPTCHA (ClickFix‑teknikk) som lurer brukeren til å lime inn en Base64‑kodet kommando i Terminal for å omgå macOS‑beskyttelser. Denne kommandoen henter ned og kjører et Nuitka‑kompilert lastetrinn som igjen distribuerer hovedmalwaren. Infinity Stealer kan ta skjermbilder og stjele data fra nettlesere, macOS Keychain, kryptolommebøker og utviklerfiler. Forskere advarer om at dette viser at trusler mot macOS blir stadig mer avanserte, og brukere bør aldri kjøre Terminal‑kommandoer de ikke forstår.

Telnyx PyPI-pakke utsatt for forsyningskjedeangrep

Et forsyningskjedeangrep rammet Telnyx sitt Python SDK på PyPI, der ondsinnede versjoner (4.87.1 og 4.87.2) ble publisert med skjult bakdørkode. Den skadelige koden lastet ned malware som var kamuflert som en WAV-lydfil, noe som gjorde at angrepet var vanskeligere å oppdage. De kompromitterte pakkene er fjernet, og Telnyx bekrefter at deres egen infrastruktur ikke ble påvirket. Utviklere som har installert de berørte versjonene anbefales å nedgradere til versjon 4.87.0, anta kompromittering og dermed rotere nøkler som har vært tilgjengelige fra maskinen. Angrepet knyttes til gruppen TeamPCP, som også står bak nylige angrep mot Trivy, Checkmarx og LiteLLM.

Posted by tsoc at 12:21 0 comments

Friday, 27 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.27

CISA advarer om aktivt utnyttet Code Injection sårbarhet i Langflow.

CISA advarer om aktivt utnyttet Code Injection sårbarhet i Langflow

CISA har lagt til en kritisk sårbarhet i Langflow i sitt Known Exploited Vulnerabilities (KEV) katalog etter bekreftet aktiv utnyttelse. Sårbarheten, CVE-2026-33017, er en kritisk "code injection" sårbarhet som lar uautentiserte angripere kjøre vilkårlig kode uten gyldige brukerdetaljer.

Feilen skyldes manglende tilgangskontroll og utilstrekkelig validering i plattformens håndtering av generert kode, noe som gjør det mulig å opprette og kjøre ondartede workflows direkte i systemet. Dette er spesielt kritisk fordi Langflow brukes til å bygge og orkestrere AI og LLM baserte systemer, og kompromittering kan føre til datatyveri, manipulering av prosesser og videre angrep inn i interne nettverk.

Sårbarheten er knyttet til flere alvorlige svakheter, inkludert manglende autentisering (CWE-306) og feil håndtering av kodeinjeksjon (CWE-94 og CWE-95).

Anbefaling:

Oppdater Langflow til nyeste versjon umiddelbart dersom patch er tilgjengelig. Følg CISA sine retningslinjer og sikre systemet innen fristen 8. april 2026. Dersom oppdatering ikke er mulig, implementer kompenserende tiltak i henhold til BOD 22-01, eller vurder å deaktivere eller fjerne Langflow fra miljøet midlertidig. Overvåk systemer for uautorisert aktivitet og begrens eksponering av tjenesten mot internett.

Sårbarheter:

Posted by tsoc at 12:45 0 comments

Wednesday, 25 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.25

LiteLLM PyPI skadevare stjeler sky-, krypto-, Slack- og Discord nøkler. Falske jobbtilbud via Google Forms sprer PureHVNC malware. APT-angrep retter seg mot RDP servere for vedvarende tilgang.

LiteLLM PyPI skadevare stjeler sky-, krypto-, Slack- og Discord nøkler

LiteLLM ble nylig kompromittert etter at en angriper tok over en vedlikeholders konto og lastet opp to ondsinnede versjoner (1.82.7 og 1.82.8) på PyPi. Disse versjonene inneholder en infostealer som forsøker å hente AWS-, GCP- og GitHub-nøkler, SSH-nøkler, kryptolommebøker og en rekke andre sensitive data. Skadelig programvare samlet inn og krypterte informasjon før den blir sendt til en ekstern C2-server, og inneholdt også en tredje nyttelast designet for vedvarende tilgang. Brukere som installerte LiteLLM i dette tidsrommet uten versjonspinning, risikerer å være rammet. Det anbefales å rotere alle nøkler umiddelbart og alltid pinne avhengigheter for å forhindre automatisk installasjon av kompromitterte versjoner.

Falske jobbtilbud via Google Forms sprer PureHVNC malware

En pågående kampanje misbruker Google Forms til å spre PureHVNC Remote Access Trojan via falske jobbtilbud, prosjektforespørsler og forretningsdokumenter. Angrepet starter ved at brukere mottar en lenke til et troverdig Google Form, ofte distribuert via LinkedIn, hvor de blir bedt om å laste ned en ZIP-fil. Denne filen inneholder legitime dokumenter kombinert med ondsinnede filer som utnytter DLL hijacking for å starte en flertrinns infeksjonskjede som til slutt installerer PureHVNC.

Malwaren gir angripere full fjernkontroll over systemet, inkludert mulighet til å hente systeminformasjon, stjele data fra nettlesere, kryptolommebøker og applikasjoner som Telegram, samt installere ytterligere moduler og opprettholde vedvarende tilgang. Kampanjen skiller seg ut ved å bruke legitime tjenester som Google Forms, Dropbox og URL-forkortere for å omgå sikkerhetsmekanismer og øke troverdigheten.

APT-angrep retter seg mot RDP servere for vedvarende tilgang

Avanserte trusselaktører (APT-grupper) gjennomfører målrettede angrep mot RDP-servere ved å utnytte svake passord, feilkonfigurasjoner og manglende sikring av eksterne tilkoblinger. Angriperne bruker ofte brute force og credential stuffing for å få tilgang, før de etablerer vedvarende kontroll gjennom bakdører og legitime administrasjonsverktøy. Etter innlogging utføres rekognosering, lateral bevegelse i nettverket og installasjon av ytterligere malware eller ransomware.

Angrepene kjennetegnes ved bruk av stealth teknikker som legitime Windows verktøy, skjult trafikk og minimal synlig aktivitet for å unngå deteksjon. RDP fungerer som en kritisk inngangsport, og kompromitterte systemer brukes ofte videre til datatyveri eller som del av større angrepskampanjer.

Posted by tsoc at 12:10 0 comments

Tuesday, 24 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.24

Kritisk sårbarhet i Oracle Fusion Middleware (CVE-2026-21992). Kritisk sårbarhet i Citrix NetScaler skaper risiko for minnelekkasje og uautorisert tilgang. Trivy supply-chain attack sprer seg til Docker og GitHub-repositorier.

Kritisk sårbarhet i Oracle Fusion Middleware (CVE-2026-21992)

CVE-2026-21992 er en kritisk sårbarhet i Oracle Fusion Middleware som har fått CVSS Base Score på 9.8. Sårbarheten gjelder spesifikt Oracle Identity Manager og Oracle Web Services Manager, og kan utnyttes av en uautentisert angriper med nettverkstilgang via HTTP. Vellykket utnyttelse kan føre til kompromittering av systemet, med potensielle konsekvenser som uautorisert tilgang og påvirkning av konfidensialitet, integritet eller tilgjengelighet. Kompleksiteten ved å utnytte sårbarheten er vurdert som lav og påvirker komponentene REST WebServices og Web Services Security.

Anbefaling:

Oracle anbefaler at berørte systemer oppdateres umiddelbart med tilgjengelige sikkerhetsoppdateringer fra deres offisielle sikkerhetsvarsler. I tillegg bør organisasjoner vurdere å begrense eksponering av berørte tjenester mot internett for å redusere risikoen for utnyttelse.

Sårbarheter:

Kritisk sårbarhet i Citrix NetScaler skaper risiko for minnelekkasje og uautorisert tilgang

Citrix advarer om en kritisk sårbarhet i Citrix NetScaler ADC og Gateway (CVE-2026-3055) som skyldes en out-of-bounds read-feil. Denne kan utnyttes av uautentiserte angripere for å lese sensitiv informasjon direkte fra minnet på berørte enheter når systemet er konfigurert med SAML-Identity Provider (IDP). Dette skyldes av utilstrekkelig validering av input i NetScaler ADC og NetScaler Gateway.

Sårbarheten vurderes som kritisk, med en CVSS-score på 9.3, og kan utnyttes uten behov for autentisering.

Anbefaling:

Citrix anbefaler at alle berørte systemer oppdateres umiddelbart til versjoner som inneholder sikkerhetsfikser. Organisasjoner bør prioritere systemer som er eksponert mot internett eller bruker SAML-IDP.

Sårbarheter:

Trivy supply-chain attack sprer seg til Docker og GitHub-repositorier

Et pågående supply chain-angrep mot Trivy, et svært utbredt open source sikkerhetsverktøy fra Aqua Security har eskalert ved at angripergruppen TeamPCP har publisert ondsinnede Docker-images og kompromittert selskapets GitHub-organisasjon. Angriperne utnyttet tidligere kompromitterte legitimasjoner og mangelfull token-rotasjon for å få vedvarende tilgang, noe som gjorde det mulig å manipulere repositories og distribuere infostealer-malware via CI/CD pipelines. Spesielt ble Docker Hub-images med versjonene 0.69.5 og 0.69.6 publisert uten offisielle GitHub-releases, og inneholdt indikatorer på kompromittering.

Angrepet bygger videre på en tidligere kompromittering av Trivy sin build pipeline, hvor også versjon 0.69.4 og GitHub Actions ble manipulert. Angriperne injiserte credential-stealing kode som kunne hente ut sensitive data fra utviklingsmiljøer. Det understrekes at Docker-tags ikke er immutable, og at man derfor ikke kan stole blindt på versjonsnavn for integritet.

Anbefaling:

Organisasjoner bør umiddelbart unngå Trivy-versjonene 0.69.4, 0.69.5 og 0.69.6 og heller bruke kjente trygge versjoner som 0.69.3 eller tidligere. Det anbefales å verifisere integriteten til images via digest i stedet for tags, samt oppdatere til patched versjoner av relaterte GitHub Actions. I tillegg bør alle tokens og credentials roteres på en sikker og fullstendig måte, og systemer som kan ha vært eksponert må gjennomgås for kompromittering.

Posted by tsoc at 12:31 0 comments

Monday, 23 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.23

Trivy Supply Chain-angrep utløser selvspredende CanisterWorm på tvers av 47 npm-pakker.

Trivy Supply Chain-angrep utløser selvspredende CanisterWorm på tvers av 47 npm-pakker

Angriperne bak Trivy‑angrepet har kompromittert 47 npm‑pakker med en ny selvspredende skadevare kalt CanisterWorm. Skadevaren bruker en ICP-canister som et desentralisert kontrollpunkt for å hente kommandoer og nye payloads. Infiserte pakker installerer et Python-bakdørprogram som holder seg vedvarende via en systemd‑tjeneste. En nyere variant kan automatisk samle inn npm-tokens fra utviklere og CI‑miljøer og spre seg videre uten manuell innsats. Dette gjør at kompromitterte utviklere uvitende kan bli spredningspunkter, noe som forsterker rekkevidden dramatisk.

Posted by tsoc at 11:32 0 comments

Friday, 20 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.20

Kritisk Magento-sårbarhet muliggjør uautentisert RCE via filopplasting.

Kritisk Magento-sårbarhet muliggjør uautentisert RCE via filopplasting

Sansec beskriver en ny kritisk Magento/Adobe Commerce-sårbarhet kalt PolyShell, som lar angripere laste opp ondsinnet kode forkledd som bildefiler via REST API. Dette kan åpne opp risiko for uautentisert ekstern kjøring av kode og kontoovertakelse, avhengig av webserverkonfigurasjonen.

Nesten alle produksjonsversjoner av Magento 2 er berørt, med unntak av pre-release patch 2.4.9-alpha3 og nyere. Sansec skriver at de ikke har observert aktiv utnyttelse av denne sårbarheten, men forventer at angrep kommer til å oppstå i nær tid.

Anbefaling:

Det er foreløpig ikke utgitt en offisiell fiks for Magento versjoner i produksjon, men Sansec anbefaler blant annet å begrense tilgang til opplastingskatalogen for å hindre kjøring av potensielt ondsinnede filer.

Posted by tsoc at 12:39 0 comments

Thursday, 19 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.19

Kritisk Telnetd sårbarhet gir uautentisert root RCE i GNU InetUtils. Ubuntu sårbarhet (CVE-2026-3888) kan gi lokal root-tilgang via namespace-feil. Kritisk sårbarhet i UniFi Network Application.

Kritisk Telnetd sårbarhet gir uautentisert root RCE i GNU InetUtils

En kritisk sårbarhet i GNU InetUtils telnetd, identifisert som CVE-2026-32746 (CVSS 9.8), gjør det mulig for en uautentisert ekstern angriper å oppnå "remote code execution" (RCE) som root. Feilen skyldes en "out-of-bounds write" i håndteringen av "LINEMODE SLC suboption", som fører til buffer overflow under Telnet protokollens handshake før autentisering. Angrepet krever kun én tilkobling til port 23, uten bruk av påloggingsinformasjon eller brukerinteraksjon. Sårbarheten påvirker alle versjoner opp til og med 2.7, og det finnes foreløpig ingen patch, men en forventes innen 1. april 2026. Vellykket utnyttelse kan gi full systemkontroll og åpne for bakdører, datatyveri og videre spredning i nettverk.

Anbefaling:

Deaktiver Telnet tjenesten dersom den ikke er nødvendig. Dersom den må brukes, kjør den uten root rettigheter. Blokker port 23 både på nettverksnivå og host basert brannmur, og begrens tilgang til kun nødvendige systemer. Isoler Telnet tjenester i egne nettverkssoner. Følg med på og installer patch så snart den blir tilgjengelig.

Sårbarheter:

Ubuntu sårbarhet (CVE-2026-3888) kan gi lokal root-tilgang via namespace-feil

En ny sårbarhet i Ubuntu identifisert som CVE-2026-3888 gjør det mulig for lokale angripere å eskalere privilegier til root gjennom feil håndtering av user namespaces i Linux-kjernen. Problemet oppstår når systemet feilaktig tillater tilgang til ressurser på tvers av namespace-grenser, noe som kan utnyttes til å oppnå høyere privilegier. Sårbarheten påvirker flere Ubuntu-versjoner og krever at angriperen allerede har lokal tilgang til systemet, men gir deretter full kontroll over maskinen.

Det er publisert proof-of-concept kode som demonstrerer hvordan sårbarheten kan utnyttes i praksis, noe som øker risikoen for aktiv utnyttelse. Canonical har bekreftet problemet og har gitt ut sikkerhetsoppdateringer for berørte versjoner av Ubuntu.

Anbefaling:

Oppdater Ubuntu-systemer til nyeste sikkerhetsoppdateringer umiddelbart. Deaktiver user namespaces dersom det ikke er nødvendig i miljøet. Begrens lokal tilgang til systemer og bruk prinsippet om minste privilegium. Overvåk systemer for mistenkelig aktivitet og forsøk på privilege escalation

Sårbarheter:

Kritisk sårbarhet i UniFi Network Application

Det er oppdaget to alvorlige sikkerhetssårbarheter i UniFi Network Application fra Ubiquiti, hvor den mest kritiske har fått en CVSS-score på 10.0.

Den første sårbarheten (CVE-2026-22557) er en såkalt path traversal-feil som kan utnyttes av en angriper med nettverkstilgang. Denne gir mulighet til å lese og manipulere filer på det underliggende systemet, og i verste fall oppnå tilgang til kontoer.

Den andre sårbarheten (CVE-2026-22558) gjelder en NoSQL injection-feil. Denne krever at angriperen allerede har autentisert tilgang, men kan føre til eskalering av privilegier.

Flere versjoner av UniFi Network Application er berørt, inkludert versjon 10.1.85 og tidligere. Også release candidate-versjoner og UniFi Express-enheter er påvirket.

Ubiquiti anbefaler at brukere oppdaterer til følgende versjoner så snart som mulig:

  • UniFi Network Application 10.1.89 eller nyere

  • Release Candidate 10.2.97 eller nyere

  • UniFi Express firmware 4.0.13 eller nyere

Sårbarhetene understreker viktigheten av jevnlige oppdateringer og god tilgangskontroll i nettverksmiljøer.

Posted by tsoc at 15:30 0 comments

Wednesday, 18 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.18

Apple slipper første bakgrunnsoppdatering for sikkerhet for å fikse WebKit-sårbarhet.

Apple slipper første bakgrunnsoppdatering for sikkerhet for å fikse WebKit-sårbarhet

Apple har introdusert en ny type sikkerhetsoppdatering som installeres automatisk i bakgrunnen uten full OS oppdatering, kalt “Rapid Security Response” eller lignende mekanisme. Denne første oppdateringen adresserer en sårbarhet i WebKit, nettlesermotoren som brukes av Safari og alle nettlesere på iOS og iPadOS. Feilen kunne utnyttes gjennom ondsinnet webinnhold og føre til minnekorrupsjon eller potensielt kjøring av vilkårlig kode. Apple har ikke bekreftet aktiv utnyttelse i dette tilfellet, men lignende WebKit-sårbarheter har tidligere blitt brukt i målrettede angrep.

Oppdateringen distribueres automatisk til nyere enheter og kan installeres raskere enn tradisjonelle OS-oppdateringer. Formålet er å redusere tiden brukere er sårbare for kritiske feil, spesielt i komponenter som WebKit som eksponeres direkte via nettinnhold.

Anbefaling:

Brukere bør sørge for at automatiske oppdateringer er aktivert slik at bakgrunnsoppdateringer installeres umiddelbart. Det anbefales også å starte enheten på nytt ved behov for å sikre at oppdateringen er aktiv. Organisasjoner bør overvåke at enheter faktisk mottar disse oppdateringene og ikke kun baserer seg på tradisjonelle OS-patcher.

Posted by tsoc at 12:18 0 comments

Tuesday, 17 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.17

GlassWorm angrep bruker stjålne GitHub tokens for å tvinge skadelig programvare inn i Python repoer.

GlassWorm angrep bruker stjålne GitHub tokens for å tvinge skadelig programvare inn i Python repoer

GlassWorm kampanjen har utviklet en ny angrepsmetode kalt ForceMemo, hvor angripere bruker stjålne GitHub tokens til å få tilgang til utviklerkontoer og injisere skadelig kode i Python repositorier. Angrepet innebærer at angriperne rebaser legitime commits med ondsinnet kode og deretter force pusher dette til hovedbranchen samtidig som original commit informasjonen som melding der forfatter og dato beholdes. Dette gjør angrepet svært vanskelig å oppdage siden det ikke etterlater synlige spor som pull requests eller endringshistorikk i GitHub grensesnittet.

Kampanjen har vært aktiv siden minst 8. mars 2026, og benytter også en C2 infrastruktur knyttet til kryptotransaksjoner hvor payload URLer oppdateres hyppig. Dette er første kjente supply chain angrep som bruker denne typen historikkmanipulasjon for å skjule ondsinnede endringer.

Anbefaling:

Organisasjoner bør rotere alle GitHub tokens og andre kompromitterte brukerdetaljer umiddelbart. Det anbefales også å overvåke repositories for uautoriserte force pushes, implementere strengere tilgangskontroll og bruke sikkerhetsverktøy som kan oppdage uvanlige endringer i commit historikk. Videre bør man aktivere logging og varsling for kontoaktivitet og sikre bruk av multifaktorautentisering for utviklerkontoer.

Posted by tsoc at 12:14 0 comments

Monday, 16 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.16

Falske enterprise VPN-nettsteder brukt til å stjele VPN-legitimasjon. ClickFix-kampanjer sprer MacSync macOS-infostealer via falske AI-verktøyinstallatører.

Falske enterprise VPN-nettsteder brukt til å stjele VPN-legitimasjon

En trusselaktør identifisert som Storm-2561 distribuerer falske nedlastinger av populære enterprise VPN-klienter for å stjele VPN-legitimasjon fra brukere. Angriperne bruker SEO-forgiftning for å manipulere søkeresultater slik at brukere som søker etter VPN-klienter blir sendt til falske nettsteder som etterligner legitime leverandører som Ivanti, Cisco og Fortinet.

Den falske klienten viser et troverdig påloggingsvindu der brukeren blir bedt å oppgi VPN-brukernavn og passord. Disse opplysningene sendes så til den ondsinnede aktørens infrastruktur. I tillegg kan skadevaren stjele lokal VPN-konfigurasjon som er lagret i "connectionstore.dat" filen.

For å skjule angrepet viser installasjonsprogrammet en feilmelding etter tyveriet og viser frem instruksjoner for å laste ned den legitime VPN-klienten. Dermed kan kompromitteringen bli misforstått som en teknisk feil og gå ubemerket.

ClickFix-kampanjer sprer MacSync macOS-infostealer via falske AI-verktøyinstallatører

Tre separate ClickFix-kampanjer er avdekket som distribusjonsvektor for en macOS-informasjonstyver kalt MacSync. I motsetning til tradisjonelle utnyttelsesbaserte angrep er metoden helt avhengig av brukerinteraksjon – vanligvis i form av kopiering og kjøring av kommandoer – noe som gjør den særlig effektiv mot brukere som ikke er klar over konsekvensene av å kjøre ukjente og obfuskerte terminalkommandoer.

Det er foreløpig ukjent om kampanjene er utført av samme trusselaktør. Tre distinkte kampanjer er dokumentert:

November 2025: En kampanje som brukte OpenAI Atlas-nettleseren som lokkemat, distribuert via sponsede søkeresultater på Google, ledet brukere til en falsk Google Sites-URL med en nedlastingsknapp. Ved klikk ble det vist instruksjoner om å åpne Terminal og lime inn en kommando, som lastet ned et shellscript. Shellscriptet ba brukeren om systempassordet og kjørte deretter MacSync med brukernivå-tillatelser.

Desember 2025: En malvertising-kampanje som utnyttet sponsede lenker knyttet til søk som «how to clean up your Mac» på Google, ledet brukere til delte samtaler på det legitime OpenAI ChatGPT-nettstedet for å gi inntrykk av at lenkene var trygge. ChatGPT-samtalene omdirigerte ofrene til ondartede GitHub-inspirerte landingssider som lurte brukere til å kjøre ondartede kommandoer i Terminal.

Februar 2026: En kampanje rettet mot Belgia, India og deler av Nord- og Sør-Amerika, som distribuerte en ny variant av MacSync via ClickFix-lokkemat. Den nyeste iterasjonen støtter dynamiske AppleScript-nyttelaster og kjøring i minnet for å omgå statisk analyse, adferdsdetektion og komplisere hendelseshåndtering.

Shellscriptet som kjøres etter terminalkommandoen, kontakter en hardkodet server og henter den ondartede AppleScript-nyttelasten, og sletter samtidig spor etter datatyveriet. Den ondartede programvaren er utstyrt for å høste et bredt spekter av data fra kompromitterte enheter, inkludert legitimasjonsdata, filer, nøkkelringdatabaser og seed-fraser fra kryptovaluta-lommebøker.

Funnene indikerer at trusselaktørene tilpasser metoden for å holde seg ett skritt foran sikkerhetsverktøy, og utnytter tilliten brukere har til ChatGPT-samtaler for å overbevise dem om å kjøre ondartede kommandoer. Den nyeste varianten representerer sannsynligvis en tilpasning fra skadevare-utvikleren for å opprettholde effektiviteten mot oppdaterte OS- og programvaresikkerhetstiltak.

I de siste månedene har ClickFix-kampanjer brukt legitime plattformer som Cloudflare Pages, Squarespace og Tencent EdgeOne til å hoste falske installasjonsanvisninger for utviklerverktøy som Anthropics Claude Code. URL-ene distribueres via ondsinnte søkemotorannonser.

Brukere anbefales å utvise forsiktighet ved nedlasting av programvare, opprettholde en null-tillit-tankegang, bruke anerkjent sikkerhetsprogramvare og holde seg oppdatert på de nyeste phishing- og ClickFix-taktikkene som benyttes av ondsinnede aktører. Viktig å merke seg er at selv klarerte nettsteder kan kompromitteres og brukes mot intetanende besøkende.

Posted by tsoc at 13:47 0 comments

Friday, 13 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.13

To nye aktivt utnyttede Nulldagssårbarheter i Chrome, hasteoppdatering er sendt ut. . Apple Utgir Sikkerhetsoppdateringer for Eldre iOS Enheter etter Coruna WebKit Utnyttelse.

To nye aktivt utnyttede Nulldagssårbarheter i Chrome, hasteoppdatering er sendt ut.

Google har sendt ut en hasteoppdatering etter å ha oppdaget to alvorlige nulldagssårbarheter i Chrome som er under aktiv utnyttelse.

Den første ligger i grafikkbiblioteket Skia og kan gjøre det mulig for angripere å kjøre vilkårlig kode, mens den andre befinner seg i V8‑motoren som håndterer JavaScript. Google holder tilbake tekniske detaljer til de fleste brukerne har oppdatert.

Dette er den andre og tredje aktivt utnyttede nulldagssårbarhetene Google har fikset i Chrome så langt i 2026.

Anbefaling:

Det anbefales å oppdatere Chrome til nyeste versjon så raskt som mulig.

Apple Utgir Sikkerhetsoppdateringer for Eldre iOS Enheter etter Coruna WebKit Utnyttelse

Apple har publisert sikkerhetsoppdateringer for eldre versjoner av iOS og iPadOS etter at sårbarheten CVE-2023-43010 ble identifisert som brukt i Coruna exploit kit. Feilen ligger i WebKit og kan føre til minnekorrupsjon når ondsinnet webinnhold behandles, noe som potensielt kan åpne for videre utnyttelse av systemet. Sårbarheten ble opprinnelig fikset i iOS 17.2, iPadOS 17.2, macOS Sonoma 14.2 og Safari 17.2, men Apple har nå backportet oppdateringen til eldre enheter som ikke kan oppgraderes til nyere iOS versjoner. Oppdateringene gjelder spesielt iOS 15.8.7 / iPadOS 15.8.7 og iOS 16.7.15 / iPadOS 16.7.15, som dekker eldre enheter som blant annet iPhone 6s, iPhone 7, iPhone SE (1. generasjon), iPhone 8, iPhone X og flere iPad modeller. Samtidig inkluderer iOS 15.8.7 også patcher for ytterligere tre sårbarheter knyttet til Coruna exploit kjeden.

Anbefaling:

Oppdater iOS og iPadOS til nyeste tilgjengelige versjon for enheten så raskt som mulig. Organisasjoner bør sørge for at også eldre Apple enheter mottar tilgjengelige sikkerhetsoppdateringer, eller fases ut dersom de ikke lenger får patcher. Brukere bør også være forsiktige med å åpne ukjente lenker eller besøke mistenkelige nettsider siden WebKit sårbarheter kan utnyttes via spesiallaget webinnhold.

Posted by tsoc at 12:19 0 comments

Wednesday, 11 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.11

HPE advarer om flere alvorlige svakheter i Aruba Networking AOS-CX. Microsoft månedlig sikkerhetsoppdatering med 79 sårbarheter, Tirsdag – mars 2026.

HPE advarer om flere alvorlige svakheter i Aruba Networking AOS-CX

HPE har publisert sikkerhetsoppdateringer for flere sårbarheter i Aruba AOS-CX. Den mest alvorlige med CVSS score 9.8 kan gjøre det mulig for en uautentisert angriper å omgå autentisering i web-grensesnittet og potensielt tilbakestille admin passord. Andre sårbarheter inkluderer blant annet kommandoinjeksjon via CLI, og en åpen omdirigering sårbarhet i web-grensesnittet. Berørte versjoner er AOS-CX 10.17, 10.16, 10.13 og 10.10. Foreløpig finnes det ingen kjente aktive utnyttelser av svakhetene.

Anbefaling:

For å håndtere sårbarhetene i de berørte programvarene anbefales det å oppgradere HPE Networking AOS-CX til en av følgende versjoner: 10.17.1001+, 10.16.1030+, 10.13.1161+, 10.10.1180+.

Microsoft månedlig sikkerhetsoppdatering med 79 sårbarheter, Tirsdag – Mars 2026

Microsoft har utgitt sin månedlige sikkerhetsoppdatering for mars 2026. Denne inkluderer sikkerhetsoppdateringer som retter 79 sårbarheter som blant annet omfatter 2 offentlig avdekkede nulldagssårbarheter. Svakheten med høyest base CVSS score er CVE-2026-21536 med en score på 9.8. CVE-2026-21536 omfatter en svakhet i Microsoft Devices Pricing Program som kan tillate ekstern kjøring av kode. Det er ikke blitt avdekket noe misbruk av denne svakheten.

Anbefaling:

Microsoft anbefaler å installere disse oppdateringene så snart som mulig.

Sårbarheter:

Posted by tsoc at 11:50 0 comments

Monday, 9 March 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.03.09

Ny Variant av ClickFix Kampanje Lurer Windows brukere til å Starte Windows Terminal og Installere Lumma Infostealer. Falsk CleanMyMac nettside sprer Shub Stealer og stjeler Kryptovaluta Wallets på macOS. Falske installasjons guider for Claude Code sprer infostealer i InstallFix angrep.

Ny Variant av ClickFix Kampanje Lurer Windows brukere til å Starte Windows Terminal og Installere Lumma Infostealer

Microsoft Threat Intelligence har oppdaget en ny variant av ClickFix svindelen der angripere manipulerer Windows brukere til å starte Windows Terminal via hurtigtasten Windows + X → I og deretter lime inn en kommando som egentlig installerer malware. Kampanjen ble observert i februar 2026 og er en videreutvikling av tidligere ClickFix angrep som vanligvis brukte Win + R og Run dialogen. Ved å bruke Windows Terminal, som er et legitimt administrasjonsverktøy, prøver angriperne å unngå sikkerhetsdeteksjon siden aktiviteten ser mer normal ut i systemlogger. Kommandoen som ofrene limer inn er en sterkt kodet PowerShell kommando som starter en kompleks infeksjonskjede. I ett scenario lastes en omdøpt versjon av 7-Zip ned sammen med et komprimert malware payload som deretter etablerer persistens, legger til unntak i Microsoft Defender og samler system og nettleserdata. Til slutt installeres Lumma Stealer, en infostealer skadevare som injiserer seg i Chrome og Edge for å stjele lagrede passord og andre nettleserdata.

Anbefalinger: Brukere bør aldri kopiere og kjøre kommandoer fra nettsteder i Windows Terminal, PowerShell eller Run dialogen uten å forstå hva kommandoen gjør.

Organisasjoner bør implementere overvåking av PowerShell og terminalaktivitet, blokkere mistenkelige skript og styrke brukeropplæring rundt sosial manipulering (Social Engineering) og falske verifiseringssider.

Falsk CleanMyMac nettside sprer Shub Stealer og stjeler Kryptovaluta Wallets på macOS

Sikkerhetsforskere fra Malwarebytes har oppdaget en ny kampanje der angripere har opprettet en falsk nettside som utgir seg for å være CleanMyMac, et populært macOS optimaliseringsverktøy. Brukere som besøker siden blir lokket til å laste ned en tilsynelatende legitim installasjonsfil, men installasjonen inneholder i stedet malware. Når filen kjøres installeres Shub Stealer, en infostealer som kan hente sensitiv informasjon fra systemet, inkludert nettleserdata og lagrede legitimasjonsopplysninger. Skadevare pakken inneholder også en bakdør som spesifikt retter seg mot kryptovaluta wallets, hvor angriperne forsøker å stjele eller omdirigere kryptotransaksjoner ved å manipulere wallet relaterte data og prosesser. Kampanjen utnytter at CleanMyMac er et velkjent verktøy blant macOS brukere, noe som gjør det lettere å lure ofre til å installere programvaren uten å mistenke noe.

Falske installasjons guider for Claude Code sprer infostealer i InstallFix angrep

Sikkerhetsforskere fra Push Security har avdekket en ny sosial manipuleringsteknikk kalt InstallFix. Dette er en videreutvikling av ClickFix angrep, hvor angripere lager falske installasjonsguider for populære CLI verktøy. I kampanjen kopierer angripere installasjonssiden til Claude Code, et CLI-verktøy fra Anthropic, og distribuerer siden via sponsede Google annonser som dukker opp når brukere søker etter installasjon av verktøyet. Den falske siden er nesten identisk med den legitime og inneholder legitime lenker til den offisielle siden, men installasjonskommandoene er manipulert slik at de laster ned og kjører skadevare fra malisiøse servere.

Når brukere kopierer og kjører installasjonskommandoene i terminal eller kommandolinje, starter kommandoene blant annet Windows verktøyet mshta.exe for å hente en fjern HTA payload som installerer infostealeren Amatera. Denne skadevaren kan stjele passord, nettlesercookies, sesjonstokener og systeminformasjon. Kampanjen er vanskelig å oppdage fordi falske sider hostes på legitime plattformer som Cloudflare Pages, Squarespace og Tencent EdgeOne.

Posted by tsoc at 12:11 0 comments
Subscribe to: Comments (Atom)
 
>