Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Tuesday, 14 July 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.07.14

Russiske aktører utnytter svake rutere globalt. AI generert PowerShell skript brukt til å kartlegge Active Directory miljø.


Russiske aktører utnytter svake rutere globalt

En ny felles rådgivning fra flere vestlige etterretnings- og sikkerhetsmyndigheter advarer om at russisk statssponsede aktører, særlig knyttet til FSB Center 16, over lengre tid har utnyttet sårbare eller feilkonfigurerte nettverksenheter. Angrepene anses å være opportunistiske og retter seg mot et bredt spekter av kritisk infrastruktur globalt, inkludert energi, telekom, finans, helse og offentlig sektor.

Angriperne bruker primært omfattende scanning etter enheter med åpne eller svakt sikrede SNMP tjenester. Blir slike enheter funnet, kan aktørene hente ut konfigurasjonsfiler (ofte via TFTP) og dermed få tilgang til legitimasjon og sensitiv nettverksinformasjon. I noen tilfeller kan også kjente sårbarheter (CVE-er) i blant annet Cisco-enheter utnyttes, samt svakheter i administrasjonsgrensesnitt og funksjoner som Smart Install.

Konsekvensene anses som alvorlige: kompromitterte rutere kan gi angripere vedvarende tilgang til nettverk, muliggjøre datalekkasjer og fungere som infrastruktur for videre angrep. Aktiviteten overlapper også med metoder sett hos andre statlige trusselaktører, noe som øker kompleksiteten i deteksjon og respons.

Anbefaling:

Myndighetene anbefaler flere tiltak: deaktivere gamle protokoller (SNMPv1/v2), bruke SNMPv3 med kryptering, endre standardpassord, deaktivere usikre funksjoner som Smart Install, begrense administrasjonstilgang via ACL-er og holde firmware oppdatert. I tillegg bør organisasjoner overvåke mistenkelig aktivitet og sikre at kun nødvendige porter og tjenester er eksponert.

AI generert PowerShell skript brukt til å kartlegge Active Directory miljø

En ukjent trusselaktør har benyttet seg av et PowerShell skript som Huntress mener sannsynligvis er generert med hjelp fra kunstig intelligens for å kartlegge et Active Directory miljø. Angrepet startet med RDP tilgang til en domenetilknyttet Windows Server ved bruk av kompromitterte legitimasjoner, før verktøy ble plassert i mappen C:\ProgramData\. Skriptet identifiserte domenekontrolleren og samlet inn informasjon om brukere, datamaskiner, domener, grupper, organisatoriske enheter (OU-er) og tillitsforhold, før dataene ble lagret i en mellomlagringsmappe. Huntress beskriver skriptet som aggressivt og omfattende, med flere metoder for å finne domenekontrolleren, samt tegn som tyder på bruk av en språkmodell, inkludert skripttittel, plassholdertekst og overkonstruert kode. Etter kartleggingen brukte angriperen verktøyene s5cmd og SharpShares for å kartlegge tilgjengelige nettverksdelinger, før informasjonen ble eksportert, arkivert og sendt til en ekstern server. Angrepet viser at AI kan brukes til å raskere lage og tilpasse kjente angrepsmetoder, men teknikkene som ble brukt var basert på etablerte fremgangsmåter.

Anbefaling:

Telenor Cyberdefence anbefaler at aktivitet knyttet til RDP tilgang og Active Directory kartlegging overvåkes.

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.

 
>