Vi gjør oppmerksom på at informasjonen gitt i denne bloggen er ferskvare og således kan inneholde feil. Aksjoner som gjøres på grunnlag av denne er på eget ansvar. Telenor tar ikke ansvar for innhold gitt i eksterne lenker.

Friday, 3 July 2026

Daglig nyhetsbrev fra Telenor Cyberdefence - 2026.07.03

AI agent automatiserer ransomware angrep ved å utnytte Langflow sårbarhet. Microsoft 365 phishingpanel bruker OAuth enhet kode flyt. AsynkRAT kampanje bruker DLL sidelasting og ScreenConnect for skjult ekstern tilgang. AsyncRAT kampanje misbruker TryCloudflare tunneler og Python skript for levering av skadevare.


AI agent automatiserer ransomware angrep ved å utnytte Langflow sårbarhet

Sysdigs Threat Research Team har identifisert det de mener er det første ransomware angrepet som ble gjennomført fra start til slutt av en AI agent, omtalt som JADEPUFFER. Angrepet startet med utnyttelse av CVE-2025-3248, en sårbarhet i Langflow som muliggjør uautentisert fjernkjøring av Python kode. Etter inntrengningen kartla AI agenten systemet, hentet ut API nøkler, skylagringslegitimasjon, databasetilganger og andre hemmeligheter, etablerte vedvarende tilgang og kompromitterte en MySQL database og en Nacos instans. Agenten utnyttet deretter CVE-2021-29441 og en standard signeringsnøkkel i Nacos for å opprette en administratorkonto og overta tjenesten. Til slutt krypterte den alle Nacos konfigurasjoner, slettet databasetabeller og etterlot et ransomware krav, men lagret aldri krypteringsnøkkelen, noe som gjorde gjenoppretting umulig selv ved betaling. Ifølge Sysdig var det nye ved hendelsen ikke de enkelte teknikkene, men at en AI agent autonomt gjennomførte hele angrepskjeden uten kontinuerlig menneskelig styring.

Anbefaling:

Oppdater Langflow til en versjon som retter CVE-2025-3248, unngå å eksponere Langflow og Nacos mot internett, endre standard signeringsnøkler i Nacos og lagre hemmeligheter i en dedikert secrets manager.

Microsoft 365 phishingpanel bruker OAuth enhet kode flyt

Et phishingpanel kalt ARToken misbruker Microsofts OAuth enhet kode flyt for å få tilgang til Microsoft 365 kontoer uten å stjele passord. Angrepet starter med en phishing epost som utgir seg for å komme fra en reell leverandør og leder mottakeren til en falsk arbeidsflate som viser en enhetskode. Offeret blir bedt om å skrive inn koden på den ekte Microsoft siden for enhetspålogging, hvorpå panelets bakende henter et gyldig tilgangstoken. Ifølge artikkelen kan angriperen deretter lese epost, sende meldinger fra den kompromitterte kontoen og opprette innboksregler som skjuler eller videresender spor etter innbruddet. ARToken deler infrastruktur, kode og bakendemønstre med EvilTokens plattformen. Forskere har knyttet den bredere operasjonen til rundt 500 Cloudflare Workers domener og mer enn 2 000 phishing sider. Indikatorer på kompromittering inkluderer den hardkodede operatør IDen 84eb384d-cd3e-4c90-a283-c960ce557913 og LocalStorage nøkkelen artoken_jwt.

AsynkRAT kampanje bruker DLL sidelasting og ScreenConnect for skjult ekstern tilgang

En skadevarekampanje distribuerer AsyncRAT gjennom falske installasjonsprogrammer for populære gratisprogrammer via mer enn 90 falske nedlastingssider. Angrepet bruker DLL sidelasting ved å kombinere en legitim Microsoft signert kjørbar fil med den ondsinnede bibliotekfilen install.res.1033.dll, slik at skjult kode kjøres samtidig som det ekte programmet installeres. Kampanjen installerer deretter ScreenConnect, oppretter PowerShell skript som legger til unntak i Microsoft Defender og deaktiverer User Account Control, før en VBScript fil dekoder en skjult nyttelast med en XOR nøkkel og laster den inn i minnet. Nyttelasten injiseres i RegAsm.exe ved hjelp av process hollowing, og en planlagt oppgave kalt MasterPackager.Updater sørger for vedvarende tilgang hvert andre minutt, også etter omstart. Infrastrukturanalysen viser to hovedklynger fordelt på tre IP adresser, med domener registrert fra oktober 2025 og aktivitet frem til slutten av mars 2026, mens mange av de falske nettstedene fortsatt er tilgjengelige. Ifølge artikkelen gir AsyncRAT angriperne mulighet til å stjele legitimasjon og opprettholde langvarig tilgang til både hjemme og bedriftssystemer

AsyncRAT kampanje misbruker TryCloudflare tunneler og Python skript for levering av skadevare

En AsyncRAT kampanje bruker phishing eposter med fakturatema som leder ofre til en Dropbox lenke som starter en flerstegs infeksjonskjede. Nedlastingen inneholder en Internet Shortcut fil som kobler til et TryCloudflare underdomene, hvor en LNK fil starter PowerShell og JavaScript som henter videre skript og en Python pakke. Python skriptet load.py bruker biblioteket ctypes til å allokere minne, opprette tråder og laste shellcode direkte i minnet som en del av prosessinjeksjonen. Et falskt PDF dokument vises samtidig for å redusere mistanke, mens AsyncRAT installeres i bakgrunnen og gir angriperne fjernstyring av systemet. Ifølge forskerne gjør bruken av Dropbox, TryCloudflare og skjulte Python komponenter det vanskeligere å oppdage og blokkere angrepet fordi det benytter legitim skyinfrastruktur

No comments:

Post a Comment

Retningslinjer for kommentarer
Alle kommentarer vil bli gjennomlest før de blir publisert. Kommentarer som er usaklige, har støtende eller upassende innhold vil bli slettet av moderator.

 
>