En-klikks sårbarhet i Microsoft 365 Copilot muliggjør datatyveri via e-post. Kinesiske hackere misbrukte Google Workspace-regler for å stjele forsknings- og forsvarsrelaterte e-poster. Nord-Korea med målrettede angrep mot utviklere og automatiserte arbeidsflyter.
En-klikks sårbarhet i Microsoft 365 Copilot muliggjør datatyveri via e-post
En kritisk sårbarhet (CVE-2026-42824) i Microsoft 365 Copilot kunne ha gjort det mulig for angripere å hente ut sensitive data som e‑poster, filer og MFA‑koder via ett enkelt klikk på en legitim Microsoft‑lenke. Angrepet, kalt SearchLeak, utnyttet en kombinasjon av flere feil, inkludert prompt injection, for å få Copilot til å hente og eksfiltrere data uten brukerinteraksjon. Sårbarheten er nå rettet av Microsoft, og det finnes ingen indikasjoner på aktiv utnyttelse. Hendelsen illustrerer økt risiko knyttet til AI‑integrasjoner og behovet for strengere datastyring og overvåkning.
Gjennomgå og implementer Microsofts oppdaterte sikkerhetsmekanismer for Microsoft 365 Copilot og overvåk bruk av eksternt innhold i Copilot-arbeidsflyter.
Kinesiske hackere misbrukte Google Workspace-regler for å stjele forsknings- og forsvarsrelaterte e-poster
En Kina-tilknyttet spionasjegruppe kalt UNC6508 oppholdt seg i nordamerikanske medisinske, akademiske og militære forskningsmiljøer i over ett år og stjal sensitiv e-postkommunikasjon. Innledende tilgang ble oppnådd gjennom kompromitterte eksternt eksponerte REDCap-servere ("sikker" nettapplikasjon for å bygge og administrere nettbaserte spørreskjemaer og databaser), hvor skadevaren INFINITERED ble installert for å opprettholde tilgang, samle inn brukernavn og passord, og fungere som en bakdør. INFINITERED modifiserte REDCap-systemfiler, gjeninnsatte seg selv ved oppgraderinger, lagret innloggingsdata kryptert i databasen og mottok kommandoer via HTTP-cookies. Etter å ha oppnådd administrative rettigheter misbrukte gruppen Google Workspace sin funksjon for innholdsregler («content compliance rules») ved å opprette en regel som overvåket nær 150 nøkkelord og automatisk sendte kopier av treffende e-poster til en Gmail-konto kontrollert av angriperne. Metoden krevde ingen egen skadevare på e-postsystemet og genererte ikke unormal nettverkstrafikk fordi den benyttet innebygde funksjoner i Google Workspace. Aktiviteten er observert fra september 2023 til november 2025, og målene inkluderte forsvarsrelatert forskning, geopolitikk, avansert teknologi, offensive cyberprogrammer og medisinsk forskning.
Oppdater og fjern gamle REDCap-versjoner, gjennomgå Google Workspace-regler for videresending/BCC til eksterne adresser, kontroller administrasjonslogger for regelendringer, jakt på indikatorer knyttet til INFINITERED og innfør phishing-resistent MFA på administratorkontoer.
Nord-Korea med målrettede angrep mot utviklere og automatiserte arbeidsflyter
Nordkoreanske trusselaktører gjennomfører en omfattende phishingkampanje (bl.a. UNK_DeadDrop) rettet mot utviklere, der ofre lokkes med falske jobbtilbud eller forespørsler om kodegjennomgang.
E‑postene peker til tilsynelatende legitime GitHub‑repos som, når de åpnes i verktøy som VS Code eller Cursor, automatisk kjører skjult kode og installerer skadevare.
Angrepet utnytter utviklerverktøy og arbeidsflyt som leveransekanal, og gir angriperne tilgang til kryptolommebøker, legitimasjon og andre sensitive data.
Aktiviteten har tydelige likhetstrekk med MITRE‑gruppen Contagious Interview (G1052), som er kjent for å målrette utviklere for økonomisk gevinst og etterretning.
Telenor anbefaler å alltid verifisere kilder før du åpner ukjente repositories, begrense automatisk kjøring av oppgaver i utviklingsverktøy, og overvåk bruk av tredjeparts kode og extensions tett.
No comments:
Post a Comment
Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.