SOC-bloggen

Bloggen avsluttes – her finner du oss videre

2026-03-05T14:14:00.000+01:00

Takk til alle som har fulgt med på denne bloggen. Vi informerer om at vi nå velger å avslutte månedsvise publiseringer her på telenorsoc.blogspot.com. Merk at våre daglige nyhetsbrev fortsatt vil bli publisert på denne siden.

For å sikre at våre følgere og partnere får den mest relevante informasjonen på en samlet plass, vil vi fremover bruke følgende kanaler:

Kvartalsrapporter: Overordnet informasjon, trender og viktige nyhetssaker vil bli inkludert i våre faste kvartalsrapporter.
Aktuelle saker: Løpende nyheter og dagsaktuelle sikkerhetssaker vil få bred dekning via våre øvrige etablerte kommunikasjonskanaler og nettsider.

Vi takker for følget!

Med vennlig hilsen, Telenor Cyberdefence

Situasjonsrapport - desember 2025

2026-01-05T08:33:00.005+01:00

Alvorlige hendelser

I desember håndterte Telenor Cyberdefence 14 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 23 i forrige periode.

DDoS-angrep
Det var 25 bekreftede DDoS-angrep denne måneden, ned fra 53 i desember. 8 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 8,52 Gbps og varte i 3 timer. Det største angrepet observert i denne perioden var på 63,1 Gbps og varte i 3 dager. IP Fragmentation var den mest brukte angrepsvektoren denne perioden.

Nyhetsoppsummering
Sårbarheten React2Shell (React / Next.js) — identifisert som CVE-2025-55182 — tillater en angriper å kjøre vilkårlig kode på servere med bare én HTTP-forespørsel, uten autentisering. Den rammer server-komponenter og applikasjoner bygget med React/Next.js som bruker React Server Components. Sikkerhetsanalytikere melder at over 75 000 internet-eksponerte IP-adresser er sårbare, og at mer enn 30 organisasjoner allerede er kompromittert. Angripere, inkludert statstilknyttede grupper med bånd til Kina, har brukt sårbarheten til å kjøre shell-kommandoer, laste ned bakdører (som Vshell), droppere (som Snowlight) og stjele credentials, særlig på cloud-miljøer som AWS.

CISA og NSA advarer om BRICKSTORM skadevare mot VMware ESXi og Windows miljø. Nye fellesråd fra CISA, NSA og Canadian Centre for Cyber Security advarer om at malware kampanjen BRICKSTORM aktivt angriper virtuelle miljøer basert på VMware vSphere (ESXi / vCenter) og Windows. BRICKSTORM er en Go basert bakdør med avansert “tradecraft”: Den integrerer seg dypt i virtualiseringsinfrastruktur, benytter DNS-over-HTTPS (DoH), WebSocket + TLS kryptering for C2 trafikk, og kan etablere “rogue” virtuelle maskiner, stjele VM snapshots for å hente kredentialer, samt klone og kjøre usynlige VM-er.

Fortinet, Ivanti og SAP har utgitt kritiske sikkerhetsoppdateringer for å tette sårbarheter som kan føre til autentiseringsomgåelse og fjernkjøring av kode. Fortinet har rettet feil i FortiOS, FortiWeb, FortiProxy og FortiSwitchManager (CVE-2025-59718 og CVE-2025-59719, CVSS 9.8) knyttet til mangelfull verifisering av kryptografiske signaturer, og anbefaler midlertidig å deaktivere FortiCloud SSO-login. Ivanti har fikset en alvorlig XSS sårbarhet i Endpoint Manager (CVE-2025-10573, CVSS 9.6) som kan gi angripere kontroll over administratorøkter, samt tre andre høy-risiko feil. SAP har publisert en oppdateringer for 14 sårbarheter. Denne inkludert blant annet tre kritiske (bl.a. CVE-2025-42880, CVSS 9.9) som muliggjør kodeinjeksjon og deserialisering.

Avanserte phishing-kits bruker KI og omgår MFA for å stjele legitimasjon i stor skala. Fire nye phishing‑kits – BlackForce, GhostFrame, InboxPrime AI og Spiderman – har blitt identifisert og brukes til å stjele brukerlegitimasjon i stor skala. BlackForce kan utføre Man‑in‑the‑Browser‑angrep for å fange opp både passord og engangskoder og dermed omgå flere faktor‑autentisering (MFA). GhostFrame bruker en skjult iframe i tilsynelatende harmløse sider for å lure brukere til falske påloggingssider. InboxPrime AI automatiserer phishing‑kampanjer ved hjelp av kunstig intelligens som genererer svært overbevisende e‑poster for å unngå filtrering. Spiderman gir mulighet for phishing mot europeiske banker og tjenester med realistiske replikaer av innloggingssider og kan fange både legitimasjon, 2FA‑koder og andre sensitive data. Disse kitene gjør det enklere og billigere for cyberkriminelle å lansere sofistikerte angrep.

Cisco har varslet om en kritisk nulldagssårbarhet (CVE-2025-20393) i Cisco AsyncOS, som aktivt utnyttes av en avansert trusselaktør med tilknytning til Kina (UAT-9686). Angrepene utnytter en kritisk sårbarhet i "Cisco Secure Email Gateway" og "Secure Email and Web Manager". Dette gir trusselaktørene mulighet til å kjøre kommandoer med root-rettigheter på de berørte systemene. Sårbarheten har CVSS-score 10.0 og skyldes feil i inputvalidering. Exploitering krever at Spam Quarantine-funksjonen er aktivert og eksponert mot internett.

Hackere utnytter kritiske sårbarheter i flere Fortinet-produkter (CVE-2025-59718 og CVE-2025-59719) for å oppnå uautorisert administrativ tilgang og hente ut konfigurasjonfiler. Sårbarhetene skyldes feil i validering av kryptografiske signaturer i SAML-meldinger ved bruk av FortiCloud SSO, som ikke er standard, men aktiveres automatisk ved registrering via FortiCare. Angrepene som er observert siden 12. desember har resultert i eksfiltrering av konfigurasjonfiler som kan avsløre nettverkstruktur og hashed passord.

Sikkerhetsbyrået CISA har lagt sårbarheten CVE-2025-6218 som er en "path-traversal" feil i WinRAR for Windows til sin liste over kjente utnyttede sårbarheter (KEV), etter bekreftede angrep. Feilen kan utnyttes til å plassere filer i sensitive kataloger (for eksempel oppstartsmappen i Windows), og dermed kjører kode med brukerprivilegier uten at det kreves høyere privilegier. Sårbarheten ble fikset i WinRAR versjon 7.12 (juni 2025). Ifølge rapporter har trusselaktører som GOFFEE / Paper Werewolf, Bitter APT (APT-C-08 / Manlinghua) og Gamaredon brukt feilen i målrettede phishing kampanjer for å distribuere ondsinnet programvare, inkludert trojanere og bakdører som etablerer persistens.

Situasjonsrapport - november 2025

2025-12-16T14:13:00.002+01:00

Alvorlige hendelser

I november håndterte Telenor Cyberdefence 23 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 20 i forrige periode.

DDoS-angrep
Det var 53 bekreftede DDoS-angrep denne måneden, ned fra 58 i oktober. 21 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 6,43 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 42,2 Gbps og varte i 2 timer. Misbruk av DNS stod for 66% av angrepene.

Nyhetsoppsummering
JustisCERT varsler at Apple 3. november 2025 har publisert sikkerhetsoppdateringer som retter omfattende sårbarheter i en rekke Apple produkter: 56 sårbarheter i iOS og iPadOS 26.1, 105 i macOS Tahoe 26.1, 60 i macOS Sequoia 15.7.2, 49 i macOS Sonoma 14.8.2, 29 i tvOS 26.1, 32 i watchOS 26.1, 43 i visionOS 26.1, 21 i Safari 26.1 og 2 i Xcode 26.1.

Cybersecurity and Infrastructure Security Agency (CISA) har sendt ut et varsel om en kritisk fjernkjøringsfeil i CentOS Web Panel som nå aktivt utnyttes av angripere. Den berørte sårbarheten spores som CVE-2025-48703 og gjør det mulig for uautentiserte angripere (som kjenner et gyldig brukernavn) å kjøre vilkårlige shell kommandoer på en sårbar CWP instans.

Cisco har utgitt sikkerhetsoppdateringer for en kritisk sårbarhet i Unified Contact Center Express (UCCX) som gjør det mulig for en uautentisert angriper å laste opp manipulerte filer, omgå autentisering, kjøre vilkårlig kode eller eskalere til root-privilegier via Java RMI. Sårbarheten rammer UCCX uavhengig av hvordan enheter er konfigurert, og har fått kode CVE-2025-20354 med CVSS 9.8. Cisco anbefaler umiddelbar oppgradering til fiksede versjoner da det ikke finnes andre "workarounds".

En omfattende driftsfeil hos internettinfrastrukturleverandøren Cloudflare inntraff tirsdag 18. november 2025 rundt klokken 12:30 norsk tid. Feilen førte til at mange brukere opplevde ustabilitet eller fullstendig nedetid på flere nettsteder i flere timer og ble møtt med feilmeldingen "Internal server error - Error code 500". Feilen ble rettet etter omtrent tre timer. Cloudflare har selv identifisert årsaken som en latent feil (latent bug) i et system som håndterer bot-trafikk. I følge Cloudflare var det en rutinemessig konfigurasjonsendring som førte til at en automatisk generert konfigurasjonsfil vokste seg større enn forventet og utløste en krasj i programvaren. De understreker at dette ikke var et cyberangrep.

Amazon avslører angrep som utnyttet sårbarheter i Cisco ISE og Citrix NetScaler som zero-day. En avansert trusselaktør har brukt to hittil ukjente (zero day) sårbarheter i Citrix NetScaler ADC/Gateway og Cisco Identity Services Engine (ISE) og ISE Passive Identity Connector for å levere spesiallaget skadelig programvare. Amazon’s trusselintelligens team oppdaget utbrudd via sin “MadPot” honeypot infrastruktur hvor de så uautentisert fjernkjøring og innlogging¬ omgåelse mot disse produktene. Sårbarhetene ble senere offentliggjort og patchet, men aktøren hadde allerede utnyttet dem via web‐shell med Java refleksjon og brukte DES kryptering og uvanlig HTTP-header autentisering for å unngå deteksjon.

I september 2025 ble en selvrepliserende orm flagget som skadevare for leverandørkjedeangrep. Angrepet, kalt "Shai-Hulud" (etter sandormene i Dune-universet), påvirket over 500 npm-pakker (node package manager) og hadde som hovedmål å tilegne seg innloggingsinformasjon og annen hemmelig informasjon fra utviklere. 24.november 2025 gikk det ut informajson om at en orm med lignende egenskaper som Shai-Hulud hadde blitt observert. JavaScript pakkesystemet npm, som brukes av Node.js, ble rammet av skadevarekampanjen som har fått tilnavnet "Sha1-Hulud: The Second Coming." På det meste skal over 1000 npm-pakker være rammet, blant annet populære fra Postman, ENS, AsyncAPI, PostHog og Zapier. Ormen kamufleres som en trojaner og under installasjon av en kompromittert pakke vil ormen også installere seg selv og søke etter innloggingsdetaljer til blant annet GitHub, skytjenester som AWS, Azure og GCP, og npm.   Om ormen lykkes, publiseres informasjonen på et offentlig GitHub-repo med offerets konto. Den forsøker også å spre seg selv ved å misbruke npm-innlogging til å infisere pakker offeret har ansvar for. Per 24.november 2025 melder Wiz (https://www.wiz.io) om mer at mer enn 350 unike brukere og over 25 000 repoer er påvirket av skadevaren.

Microsoft planlegger å oppdatere sikkerheten for Entra ID-autentisering slik at eksterne script-injeksjonsangrep (som cross-site scripting / XSS) blir blokkert. Fra midten til slutten av oktober 2026 vil innlogging via nettleser på adresser som begynner med login.microsoftonline.com bare tillate skript fra Microsoft-støttede CDN-domener og inline-skript fra betrodde Microsoft-kilder.

Situasjonsrapport - oktober 2025

2025-12-16T13:55:00.001+01:00

Alvorlige hendelser

I oktober håndterte Telenor Cyberdefence 20 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 16 i forrige periode.

DDoS-angrep
Det var 58 bekreftede DDoS-angrep denne måneden, ned fra 69 i september. 18 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 9,96 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 84,7 Gbps og varte i 10 minutter. Misbruk av DNS stod for 64% av angrepene.

Nyhetsoppsummering
Ny digitalsikkerhetslov i Norge. Den nye digitalsikkerhetsloven i Norge trer i kraft 1. oktober 2025 og skal styrke beredskapen mot digitale trusler. Loven gjelder for virksomheter som leverer samfunnskritiske og viktige tjenester, og den pålegger strengere krav til risikohåndtering, sikkerhetstiltak, varsling av hendelser og tilsyn. NSM får et utvidet ansvar som tilsynsmyndighet, og loven bygger på EUs NIS2-direktiv.

Angrepskampanje mot SonicWall VPN brukere. Angrepene er observert av Huntress og de rapporterte at så mange som 100 brukere over 16 miljøer var kompromittert mellom 4.-10. oktober. Huntress sier videre at de ikke har funnet bevis for at det er en sammenheng mellom kompromittering og datalekkasjen fra SonciWall VPN fra 17. september i år. "Fordi disse filene inneholder svært sensitiv informasjon, er de krypterte, og legitimasjonene og hemmelighetene inni dem er individuelt kryptert med AES-256-algoritmen."

F5 Networks bekreftet et alvorlig datainnbrudd der statssponsede aktører stjal kildekode og informasjon om upubliserte sårbarheter i BIG-IP produkter. Angriperne hadde vedvarende tilgang i minst 12 måneder, trolig via BRICKSTORM skadevare tilknyttet kinesiske UNC5221. Selv om ingen kundedata eller systemer som CRM ble kompromittert, kan eksfiltrert sårbarhetsinformasjon brukes til målrettede angrep. CISA har utstedt en nød direktiv som pålegger amerikanske byråer å sikre og oppdatere F5 produkter innen 22. oktober 2025.

Det amerikanske byrået Cybersecurity and Infrastructure Security Agency (CISA) advarer om at en høy alvorlig sårbarhet i Microsoft Windows SMB Client (CVE 2025 33073) nå utnyttes aktivt. Sårbarheten gjør det mulig for en angriper med gyldige autentiseringsdetaljer å overtale et offer til å koble tilbake til en ondsinnet applikasjon, noe som kan gi angriperen SYSTEM privilegier på målsystemet. CISA har nå lagt sårbarheten inn i sin “Known Exploited Vulnerabilities” katalog.

Klopatra, ny Android-banktrojan med opprinnelse i Tyrkia. Klopatra er et nytt Android Remote Access Trojan (RAT) / banking-trojan som bruker kommersiell kodebeskyttelse for å forsinke analyse. Skadevaren leveres via en «dropper» kamuflert som en IPTV-app og utfører handlinger som å stjele legitimasjon og utføre nattlige banktransaksjoner. Det er blitt observert målrettede angrep mot europeiske finansmål, med hovedfokus i Spania og Italia hvor det er flere tusen infiserte enheter.

CISA advarer om aktiv utnyttelse av den kritiske sårbarheten CVE-2025-54253 (CVSS 10.0) i Adobe Experience Manager. Versjon 6.5.23 og eldre er rammet. Sårbarheten skyldes en feilkonfigurasjon som lar angripere omgå autentisering og muliggjør kjøring av vilkårlig kode uten brukerinteraksjon. Dette er en sårbarhet fra april som Adobe har rettet den 9. august, men mange systemer har enda ikke blitt patchet og CISA ser nå aktiv utnyttelse av denne. Det anbefales å patche umiddelbart om dette ikke allerede er gjort.

JustisCERT varsler at det er avdekket et stort antall sårbarheter i programvare fra både Atlassian og Oracle. Atlassian har rettet 14 sårbarheter, mens Oracle har utbedret hele 374 sårbarheter i sin kvartalsvise «Critical Patch Update». Angrepsflaten vurderes som stor, og flere av sårbarhetene har en CVSS-score på opptil 9,8 av 10, noe som indikerer svært høy risiko for kompromittering dersom systemene ikke oppdateres.

Situasjonsrapport - september 2025

2025-10-24T13:27:00.000+02:00

Alvorlige hendelser

I september håndterte Telenor Cyberdefence 16 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 17 i forrige periode.

DDoS-angrep
Det var 69 bekreftede DDoS-angrep denne måneden, opp fra 37 i august. 25 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 5,02 Gbps og varte i 16 minutter. Det største angrepet observert i denne perioden var på 59,7 Gbps og varte i 8 minutter. Misbruk av DNS stod for 85% av angrepene.

Nyhetsoppsummering
Amazon Web Services sitt trusselintelligens team har oppdaget og stoppet en vannhulls-kampanje utført av den russiske statssponsede aktøren APT29. Angriperne kompromitterte legitime nettsider og injiserte skjult JavaScript som omdirigerte omtrent 10% av besøkende til ondsinnede domener som etterlignet Cloudflare sider. Hensikten var å lure brukere til å autorisere angriper kontrollerte enheter via Microsofts enhetskode autentisering. Kampanjen benyttet teknikker som Base64 koding, tilfeldig omdirigering, bruk av cookies for å unngå gjentatt omdirigering, samt hurtig bytte av infrastruktur ved forstyrrelser. Amazon isolerte berørte EC2 instansene, samarbeidet med Cloudflare og Microsoft, og stengte ned de ondsinnede domenene.

I slutten av august 2025 ble det observert to markante bølger av nettverksskanninger rettet mot Cisco ASA enheter, hovedsakelig omkring innloggingsportaler og Telnet/SSH, med opptil 25 000 unike IP-adresser involvert. Den andre bølgen 26. august ble drevet av et brasiliansk bot-nett med cirka 17 000 IP-er. Skanningene brukte "Chrome-lignende" brukeragenter, noe som tyder på felles opprinnelse. Disse skanningene kan både være forsøk på å utnytte allerede kjente, patchede sårbarheter, men fungerer ofte som rekognoseringsaktivitet før nye sårbarheter offentliggjøres. Systemadministratorer rådes til å oppdatere ASA enheter, innføre MFA ved ekstern tilgang, skjule eller ikke eksponere ASA innlogging portaler, og bruke VPN, reverse proxy eller tilgangs gateway med geo blokkering og rate limiting for beskyttelse.

Microsoft har fikset en kritisk sårbarhet i Entra ID (tidligere Azure Active Directory), sporet som CVE-2025-55241 (CVSS 10.0). Feilen lå i valideringen av service-to-service tokens via den utdaterte Azure AD Graph API, som gjorde det mulig å utgi seg for enhver bruker på tvers av tenants. Dette kunne gi full kompromittering av tjenester som SharePoint Online, Exchange Online og Azure-ressurser. Sårbarheten har blitt fikset av Microsoft, uten behov for kundetiltak.

Cisco har utgitt sikkerhetsoppdateringer for å fikse en alvorlig Zero-day sårbarhet (CVE-2025-20352) i IOS og IOS XE. Feilen ligger i SNMP subsystemet og kan utnyttes via spesiallagde SNMP pakker over IPv4/v6. Alle SNMP versjoner er påvirket. Angripere med lave privilegier kan forårsake DoS (tjenestenekt), mens de med høyere privilegier kan oppnå full kontroll over sårbare systemer. Cisco bekrefter at sårbarheten allerede er utnyttet i angrep etter kompromittering av lokale administratorbrukere. Det finnes for tiden ingen midlertidig løsning annet enn å installere sikkerhetsoppdateringene Cisco har utgitt.

Tre nye Zero-day sårbarheter i Cisco ASA og FTD (CVE-2025-20333, CVSS 9.9, CVE-2025-20363, CVSS 9.0 og CVE-2025-20362, CVSS 6.5) blir aktivt utnyttet i pågående angrep. Sårbarhetene gjør det mulig for angripere å kjøre kode som root på sårbare enheter og å omgå autentisering via manipulerte HTTP forespørsler. Sårbarheten CVE-2025-20363 påvirker også Cisco IOS. NCSC anbefaler å installere nye sikkerhetsoppdateringer samt å følge Ciscos anbefalinger og har hevet pulsen til to: forhøyet fare. I USA har CISA utstedt et nød direktiv (ED 25-03) som pålegger føderale etater å gjennomføre tiltak innen 24 timer.

Akira ransomware angriper fortsatt SonicWall SSL VPN enheter, og forskere har oppdaget at angriperne klarer å logge inn på kontoer selv med OTP (One-Time Password) basert MFA aktivert. Angrepene knyttes til tidligere sårbarhet (CVE-2024-40766), hvor stjålne påloggingsinformasjon og OTP seeds trolig fortsatt misbrukes. Arctic Wolf observerer at angriperne får flere OTP utfordringer før vellykket innlogging, noe som antyder kompromitterte MFA seeds eller alternative metoder for å generere gyldige koder. Etter innbrudd beveger de seg raskt i nettverket, angriper blant annet Veeam backup-servere og bruker BYOVD (Bring Your Own Vulnerable Driver) teknikker for å deaktivere sikkerhetsprogramvare.

Situasjonsrapport - august 2025

2025-10-24T13:08:00.001+02:00

Alvorlige hendelser

I august håndterte Telenor Cyberdefence 17 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 7 i juli.

DDoS-angrep
Det var 37 bekreftede DDoS-angrep denne måneden, opp fra 27 i juli. 19 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 16,6 Gbps og varte i 18 minutter. Det største angrepet observert i denne perioden var på 244 Gbps og varte i 16 minutter. Misbruk av DNS stod for 94% av angrepene.

Nyhetsoppsummering
Fortinet har utgitt en kritisk sikkerhetsadvarsel for FortiSIEM, da en OS-kommandoinjeksjonsfeil (CVE-2025-25256) med CVSS 9.8 tillater uautentiserte angripere å utføre skadelige kommandoer via CLI-forespørsler. Praktisk angrepskode for dette sikkerhetsproblemet er blitt observert av Fortinet, og sårbarheten gir ingen tydelige indikatorer på kompromiss (IoCs). Påvirkede versjoner inkluderer FortiSIEM 6.1–7.2.x.

En kritisk sikkerhetssårbarhet i GitHub Copilot og Visual Studio Code — CVE‑2025‑53773 — utnyttes gjennom prompt‑injeksjon. Ved å manipulere .vscode/settings.json kan angripere aktivere den såkalte “YOLO mode” ("chat.tools.autoApprove": true), noe som fjerner alle sikkerhetsbekreftelser og gir verktøyet frihet til å kjøre shell-kommandoer og utføre vilkårlig kode på systemet

Crypto24-gruppen har nylig blitt observert i angrep mot store organsisasjoner i USA, Europa og Asia, spesielt innen finans, produksjon, underholdning og teknologi. Etter å ha fått inital tilgang så oppretter de administrative eller lokale kontoer, gjennomfører rekognosering via batch-script og setter opp vedvarende tilgang med skadelige Windosw-tjenester som "WinMainSvc" (keylogger) og "MSRuntime" (ransomware-logger). Deretter bruker de en tilpasset variant av verktøyet RealBindingEDR, som prøver å indentifisere hvilke EDR-løsninger som er tilstede.

Cisco har varslet om en kritisk remote code execution (RCE)-sårbarhet i RADIUS-subsystemet til Secure Firewall Management Center (FMC). Sårbarheten, identifisert som CVE-2025-20265, har fått den maksimale alvorlighetsscoren 10.0. En uautentisert og ekstern angriper kan sende spesiallaget input under RADIUS-autentiseringsfasen, enten via web- eller SSH-grensesnitt der RADIUS er aktivert, og dermed oppnå vilkårlig kjøring av shell-kommandoer med forhøyede rettigheter. Cisco har utgitt gratis sikkerhetsoppdateringer via vanlige kanaler for kunder med gyldig servicekontrakt.

FBI og Cisco Talos har gått ut med advarsler om en pågående cyber-etterretningskampanje utført av russiske hackere tilknyttet FSBs Center 16-enhet (kjent som både Static Tundra, Berserk Bear, Dragonfly m.fl.). Over de siste tolv månedene har de utnyttet den syv år gamle og kritiske sårbarheten CVE-2018-0171 i Cisco IOS- og IOS XE-programvare (Smart Install-funksjonen), og rettet angrep mot tusenvis av nettverksenheter i kritisk infrastruktur globalt.

PDF Editor By AppSuite, tilsynelatende et verktøy for PDF-redigering (visning, konvertering, utfylling, sammenslåing, signering og komprimering), viser seg å være et uønsket program med typiske kjennetegn for nettleserkapring (browser hijacker). Installasjonen endrer standard søkemotor til Yahoo gjennom en omdirigerings-URL (search-redirect.com) – en falsk søkemotor som kan samle data og føre brukere til upålitelige nettsteder. Den kan også vise påtrengende annonser, redusere nettleser- og systemytelse, og overvåke nettleseraktivitet. Brukere bør unngå å installere programmet og fjerne det umiddelbart dersom det er til stede.

Citrix oppdaterer tre NetScaler svakheter, bekrefter aktiv utnyttelse av CVE-2025-7775. Den 26. august 2025 har Citrix adressert tre alvorlige sårbarheter i "NetScaler ADC" og "NetScaler Gateway," inkludert CVE-2025-7775, som er under aktiv utnyttelse.

Situasjonsrapport - juli 2025

2025-08-11T11:45:00.001+02:00

Alvorlige hendelser

I juli håndterte Telenor Cyberdefence 7 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 18 i juni.

DDoS-angrep
Det var 27 bekreftede DDoS-angrep denne måneden, ned fra 68 i juni. 16 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 7,95 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 35,4 Gbps og varte i 24 timer. Misbruk av DNS stod for 82% av angrepene.

Nyhetsoppsummering
Grafana Labs har gitt ut en kritisk sikkerhetsoppdatering for Image Renderer‑pluginen (og Synthetic Monitoring Agent) etter åtte Chromium sårbarheter ble oppdaget og utnyttet via bug bounty. Fire av disse (CVE‑2025‑5959, CVE‑2025‑6191, CVE‑2025‑6192 med score 8.8 og CVE‑2025‑6554 med score 8.1) gjør det mulig med fjernkodekjøring, ukontrollert minnetilgang eller heap‑korrupsjon via ondsinnet HTML. Brukere oppfordres til å oppdatere til Image Renderer ≥ 3.12.9 og Synthetic Agent ≥ 0.38.3 umiddelbart. Grafana Cloud og Azure Managed Grafana er allerede oppdatert.

CitrixBleed2 (CVE-2025-5777) er en alvorlig sårbarhet i Citrix NetScaler-enheter som lar angripere hente ut minneinnhold og stjele brukersesjoner ved hjelp av feilformede innloggingsforespørsler. Sårbarheten ligner på den tidligere CitrixBleed-feilen fra 2023 og er enkel å utnytte. Selv om Citrix hevder at det ikke finnes bevis for aktiv utnyttelse, har sikkerhetsforskere funnet indikasjoner på det motsatte. Det er sterkt anbefalt å installere tilgjengelige sikkerhetsoppdateringer.

Sårbarheter i produkter fra Atlassian, Oracle og Broadcom (VMware). JustisCERT varsler den 16. juli 2025 om alvorlige sårbarheter i produkter fra Atlassian, Oracle og Broadcom (VMware). Atlassian publiserte 15. juli 2025 hele 20 nye CVE‑numre med CVSS-scoringer mellom 7.2 og 8.8, og har rukket å lansere oppdateringer for alle støttede produkter.

Microsoft har utgitt nødoppdateringer for to aktive null-dag-sårbarheter, CVE-2025-53770 og CVE-2025-53771, som er blitt utnyttet i “ToolShell”-angrep mot lokale SharePoint-servere. Angrepene har rammet titalls organisasjoner verden over, med påvist utnyttelse siden 18. juli.

Sårbarheter i Apple‑produkter og i SonicWall SonicOS. Apple har rettet til sammen 29 sårbarheter i iOS og iPadOS 18.3, 17 i iPadOS 17.7.4, 61 i macOS Sequoia 15.3, 41 i macOS Sonoma 14.7.3, 31 i macOS Ventura 13.7.3, samt flere i Safari, tvOS, visionOS og watchOS.

Situasjonsrapport - juni 2025

2025-08-11T10:44:00.001+02:00

Alvorlige hendelser

I juni håndterte Telenor Cyberdefence 18 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 7 i mai.

DDoS-angrep
Det var 68 bekreftede DDoS-angrep denne måneden, ned fra 69 i mai. 46 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 11,1 Gbps og varte i 16 minutter. Det største angrepet observert i denne perioden var på 262 Gbps og varte i 9 minutter. Misbruk av DNS, sammen med IP fragmentering, stod for 80% av angrepene.

Nyhetsoppsummering
Interlock-ransomwaregruppen har begynt å bruke en ny fjernstyrings trojaner (RAT) kalt NodeSnake. NodeSnake, skrevet i JavaScript og kjørt via Node.js, etablerer persistens ved å opprette en falsk registeroppføring kalt 'ChromeUpdater' som etterligner Google Chrome oppdateringer. Den benytter PowerShell eller CMD skript for å opprette denne oppføringen. Angrepene starter med phishing e-poster som inneholder ondsinnede lenker eller vedlegg som fører til infeksjon med NodeSnake.

CISA har utstedt en advarsel om aktiv utnyttelse av en nylig patchet sårbarhet i ConnectWise ScreenConnect, identifisert som CVE-2025-3935. Sårbarheten tillater potensielt fjernkjøring av kode på servere via ViewState-injeksjon, forutsatt at angriperen har tilgang til maskinnøkler. Denne sårbarheten er knyttet til en nylig sikkerhetshendelse hos ConnectWise, mistenkt å være en statssponset operasjon.

FBI, i samarbeid med CISA og det australske cybersikkerhetssenteret, har oppdatert sin rådgivning om Play-ransomware, også kjent som Playcrypt. Siden juni 2022 har gruppen kompromittert omtrent 900 organisasjoner globalt, inkludert kritisk infrastruktur i Nord-Amerika, Sør-Amerika og Europa.

Password‑spraying attacks target 80 000 Microsoft Entra ID‑kontoer. Hackere fra gruppen UNK_SneakyStrike har siden desember 2024 benyttet det offentlige rammeverket TeamFiltration for passordsprøyteangrep mot mer enn 80 000 Microsoft Entra ID-kontoer i hundrevis av organisasjoner. Angrepene skjer i bølger med opptil 16 500 kontoer per dag. TeamFiltration kartlegger brukere, eksfilerer data og legger inn bakdører via O365/EntraID.

Anubis, en kjent ransomware-as-a-service (RaaS) aktør har implementert en ny “wipe mode”. Dette destruerer filinnholdet og setter filstørrelsen til 0 KB, slik at ingen gjenoppretting er mulig selv om løsepengene betales. Denne funksjonen intensiverer presset på ofre gjennom en kombinert modell av kryptering (med .anubis-utvidelse) og dataødeleggelse. Angrepene starter med spear-phishing, etterfølges av privilegie-eskalering, sletting av shadow copies, kryptering (ECIES), og wiper-funksjon.

Cloudflare avverget i midten av mai 2025 et nytt rekordangrep av typen distribuert tjenestenekt (DDoS) rettet mot en hosting-leverandørs IP. Angrepet nådde en topp på 7,3 Tbps og sendte totalt 37,4 TB trafikk på bare 45 sekunder—det tilsvarer cirka 9 350 HD-filmer. Trafikken kom fra over 122 000 IP-adresser i 161 land, fordelt over 5 433 autonome systemer, med hoveddeler fra Brasil og Vietnam. Angrepet benyttet flere vektorer, først og fremst UDP-flood (99,996 %), men inkluderte også refleksjonsangrep som QOTD, Echo, NTP, Portmap og RIPv1. Cloudflare håndterte angrepet automatisk gjennom Magic Transit og sitt distribuerte anycast-nettverk uten behov for menneskelig intervensjon.

Situasjonsrapport - mai 2025

2025-06-17T09:39:00.000+02:00

Alvorlige hendelser

I mai håndterte Telenor Cyberdefence 7 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 9 i april.

DDoS-angrep
Det var 69 bekreftede DDoS-angrep denne måneden, opp fra 65 i april. 38 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 11,9 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 360 Gbps og varte i 60 minutter. Misbruk av DNS, sammen med IP fragmentering, stod for 70% av angrepene.

Nyhetsoppsummering
Ivanti har utgitt sikkerhetsoppdateringer for å adressere to sårbarheter i Endpoint Manager Mobile (EPMM). Disse sårbarhetene, som involverer autentiseringsomgåelse og fjernkodekjøring, har blitt utnyttet i begrensede angrep. Sårbarhetene stammer fra to integrerte open-source biblioteker, hvis navn ikke er offentliggjort. Ivanti bemerker at risikoen reduseres betydelig dersom API-tilgang allerede filtreres via innebygd Portal ACLs-funksjonalitet eller en ekstern webapplikasjonsbrannmur. Kun den lokale EPMM-løsningen er berørt; Ivanti Neurons for MDM og andre produkter påvirkes ikke.

Ny Active Directory sårbarhet i Windows Server 2025. En alvorlig sårbarhet i Windows Server 2025, relatert til den nye funksjonen delegated Managed Service Account (dMSA), gjør det mulig for angripere å eskalere privilegier og overta rettigheter til hvilken som helst Active Directory (AD) bruker. Sårbarheten, oppdaget av Akamai forsker Yuval Gordon, utnytter en feil i hvordan tillatelser håndteres under migrering av eksisterende service-kontoer til dMSA. Selv om dMSA ikke er i aktiv bruk, er sårbarheten til stede i alle domener med minst én Windows Server 2025 domenekontroller. Angrepet, kalt "BadSuccessor", krever kun en tilsynelatende ufarlig tillatelse på en organisatorisk enhet for å gjennomføres.

Windows RDP tillater innlogging med utgåtte passord. Microsoft har bekreftet at Remote Desktop Protocol (RDP) tillater brukere å logge inn med tidligere gyldige passord, selv etter at de er endret eller tilbakekalt. Dette skyldes at Windows lagrer en lokal, kryptert kopi av passordet, og ved RDP-innlogging sjekkes dette mot den lokale cachen i stedet for å validere passordet online. Dermed kan angripere med gamle legitimasjoner fortsatt få tilgang via RDP, selv om passordet er endret i skyen. Microsoft anser dette som en designbeslutning, ikke en sikkerhetssårbarhet, og har ingen planer om å endre oppførselen.

Nytt sikkerhetsverktøy fra AWS medførte alvorlig sikkerhetsrisiko. AWS lanserte verktøyet Account Assessment for AWS Organizations for å forbedre sikkerhetsinnsikt, men introduserte med seg en alvorlig sårbarhet. Offisiell dokumentasjon anbefaler å installere verktøyets "hub"-rolle i mindre sikre kontoer, noe som åpnet for privilegie-eskalering til høysensitive miljøer som produksjon og administrasjonskontoer. Feilen ble oppdaget av sikkerhetsforskere og rapportert til AWS, som deretter oppdaterte veiledningen for å redusere risiko. Hendelsen viser hvor lett tillitsmekanismer i skyinfrastruktur kan feiltolkes – selv av leverandøren selv.

Kina-tilknyttede APT-er utnytter SAP for å kompromittere kritiske systemer globalt. En kritisk sårbarhet i SAP NetWeaver Visual Composer, identifisert som CVE-2025-31324, blir aktivt utnyttet av flere kinesiske statssponsede trusselaktører. Sårbarheten tillater uautentisert filopplasting, noe som gir angripere mulighet til å utføre fjernkodekjøring (RCE). Over 581 SAP NetWeaver-installasjoner er bekreftet kompromittert, med bakdører installert via webskall. Angrepene retter seg mot kritisk infrastruktur som gassdistribusjonsnettverk, vann- og avfallshåndteringssystemer i Storbritannia, medisinsk utstyrsproduksjon og olje- og gasselskaper i USA, samt statlige departementer i Saudi-Arabia. Angriperne bruker ulike verktøy som KrustyLoader, SNOWLIGHT, VShell og GOREVERSE for å opprettholde vedvarende tilgang og utføre ytterligere ondsinnede aktiviteter.

Situasjonsrapport - april 2025

2025-05-09T10:39:00.000+02:00

Alvorlige hendelser

I april håndterte Telenor Cyberdefence 9 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 12 i mars.

DDoS-angrep
Det var 65 bekreftede DDoS-angrep denne måneden, ned fra 69 i mars. 49 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 17,3 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 120 Gbps og varte i 9 minutter. Misbruk av DNS, sammen med IP fragmentering, stod for brorparten av angrepene.

Nyhetsoppsummering
Phishing-plattformen 'Lucid' står bak bølge av iOS- og Android-SMS-angrep. Lucid' er en phishing-as-a-service (PhaaS) plattform operert av den kinesiske cyberkriminelle gruppen 'XinXin' siden midten av 2023. Den har rettet seg mot 169 enheter i 88 land ved å sende sofistikerte meldinger via iMessage (iOS) og RCS (Android). Plattformen selges til andre trusselaktører gjennom et abonnementsbasert modell, som gir tilgang til over 1 000 phishing-domener, automatisk genererte phishing-nettsteder og avanserte spamming-verktøy.

Cisco advarer om en kritisk sårbarhet i Cisco Smart Licensing Utility (CSLU) som eksponerer en innebygd bakdør i form av en administratorkonto. Denne sårbarheten, identifisert som CVE-2024-20439, lar uautentiserte angripere logge inn på upatchede systemer med administrative rettigheter via CSLU-applikasjonens API. Selv om Cisco utbedret feilen i september 2024, ble det i mars 2025 oppdaget forsøk på utnyttelse av sårbarheten i det fri. Angripere har også kombinert denne sårbarheten med en annen kritisk feil, CVE-2024-20440, som tillater tilgang til loggfiler med sensitiv informasjon. Begge sårbarhetene krever at CSLU-applikasjonen er startet, da den ikke kjører i bakgrunnen som standard.

Ivanti har avslørt en kritisk sårbarhet (CVE-2025-22457) med en CVSS-score på 9.0, som påvirker Connect Secure, Policy Secure og ZTA Gateways. Sårbarheten er en stack-basert buffer overflow som tillater uautentiserte angripere å utføre vilkårlig kode eksternt. Google-eide Mandiant observerte utnyttelse av denne sårbarheten i midten av mars 2025, hvor angripere distribuerte en minnebasert minnebasert "dropper" kalt TRAILBLAZE og en passiv bakdør ved navn BRUSHFIRE. Disse verktøyene etablerer vedvarende bakdørstilgang på kompromitterte enheter, noe som potensielt muliggjør brukerinformasjons tyveri, dataeksfiltrering mm.

Fortinet har oppdaget at trusselaktører utnytter tidligere kjente og nå patchede sårbarheter—inkludert CVE-2022-42475, CVE-2023-27997 og CVE-2024-21762—for å opprette en symbolsk lenke (symlink) mellom brukerfil- og rotfilsystemene i FortiGate-enheter. Denne symlinken, plassert i en mappe brukt for språkfiler i SSL-VPN, gir angriperne vedvarende lesetilgang til konfigurasjonsfiler, selv etter at de opprinnelige sårbarhetene er tettet. SSL-VPN-brukere er spesielt utsatt, mens de som aldri har aktivert denne funksjonen ikke er berørt. Fortinet har utgitt oppdateringer for FortiOS som automatisk fjerner slike symlinker og forhindrer at SSL-VPN-serveren distribuerer dem.

Microsoft Entra-kontolåsing forårsaket av feil med bruker token logging. Microsoft bekreftet at en intern feil i deres loggsystem førte til at mange brukere av Microsoft Entra ID opplevde kontolåsinger i helgen 19.–20. april 2025. Feilen oppsto da systemet ved en glipp logget faktiske bruker-refresh-tokens i stedet for kun metadata. Da Microsoft senere forsøkte å rette opp dette ved å ugyldiggjøre tokenene, ble det automatisk utløst sikkerhetsvarsler om lekkede legitimasjons-opplysninger. Dette førte til at kontoer ble låst, noe som skapte problemer for mange brukere. Microsoft har rettet feilen og informert berørte kunder, og jobber med tiltak for å forhindre lignende hendelser i fremtiden.

Cisco har utgitt sikkerhetsoppdateringer for å rette en alvorlig sårbarhet i Webex-appen, identifisert som CVE-2025-20236. Denne sårbarheten skyldes utilstrekkelig validering av input når Webex behandler invitasjonslenker til møter. Angripere kan utnytte dette ved å sende spesiallagde møteinvitasjonslenker som får brukere til å laste ned vilkårlige filer. Ved å klikke på slike lenker kan angripere kjøre vilkårlige kommandoer med brukerens privilegier. Sårbarheten påvirker alle operativsystemer og systemkonfigurasjoner der Webex-appen er installert.

Situasjonsrapport - mars 2025

2025-04-22T10:43:00.000+02:00

Alvorlige hendelser

I mars håndterte Telenor Cyberdefence 12 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 11 i februar.

DDoS-angrep
Det var 69 bekreftede DDoS-angrep denne måneden, opp fra 60 i februar. Over halvparten av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 17,1 Gbps og varte i 17 minutter. Det største angrepet observert i denne perioden var på 421 Gbps og varte i 18 minutter. Misbruk av DNS stod for brorparten av angrepene.

Nyhetsoppsummering
CISA informerer om at Windows- og Cisco-sårbarheter blir aktivt utnyttet. CISA har advart amerikanske føderale byråer om å sikre sine systemer mot angrep som utnytter sårbarheter i Cisco- og Windows-systemer. Den første sårbarheten (CVE-2023-20118) tillater angripere å utføre vilkårlige kommandoer på flere Cisco VPN-rutere. Selv om denne sårbarheten krever gyldige administrative legitimasjoner, kan angripere oppnå dette ved å kombinere den med CVE-2023-20025, som gir root-privilegier. Den andre sårbarheten (CVE-2018-8639) er en Win32k-privilegiumeskaleringsfeil som lokale angripere kan utnytte for å kjøre vilkårlig kode i kjernemodus, endre data eller opprette falske kontoer med fulle brukerrettigheter.

Hacking-gruppen 'Dark Storm' tar på seg ansvaret for DDoS-angrep på X. Den 10. mars 2025 opplevde det sosiale medieplattformen X (tidligere Twitter) betydelige tjenesteavbrudd globalt, noe som påvirket både mobil- og desktopbrukere. Elon Musk, eier av X, uttalte at plattformen ble utsatt for et "massivt cyberangrep" utført med betydelige ressurser, muligens av en stor, koordinert gruppe eller en nasjon. Det pro-palestinske hacktivistkollektivet Dark Storm hevdet ansvar for angrepet, og delte skjermbilder og lenker som bevis på deres DDoS-angrep mot X. Som respons aktiverte X DDoS-beskyttelsestjenester fra Cloudflare for å håndtere angrepet.

Ny SuperBlack løsepengevirus utnytter Fortinet autentiseringsomgåelses-sårbarheter. En ny løsepengevirus kalt 'SuperBlack', operert av en aktør kjent som 'Mora_001', utnytter to autentiseringsomgåelses-sårbarheter i Fortinets produkter: CVE-2024-55591 og CVE-2025-24472. Disse sårbarhetene, avslørt av Fortinet i henholdsvis januar og februar 2025, tillater uautorisert tilgang til FortiGate-brannmurer. 'SuperBlack' ble oppdaget i slutten av januar 2025, med angrep som startet så tidlig som 2. februar 2025.

Kritiske sårbarheter i Cisco Smart Licensing Utility nå utnyttet i angrep. To kritiske sårbarheter i Cisco Smart Licensing Utility (CSLU), identifisert som CVE-2024-20439 og CVE-2024-20440, blir nå aktivt utnyttet i angrep. CVE-2024-20439 er en statisk legitimasjonssårbarhet som kan tillate uautentiserte, eksterne angripere å få administrative rettigheter på sårbare systemer. CVE-2024-20440 er en informasjonslekkasjesårbarhet som kan eksponere sensitive data gjennom spesiallagde HTTP-forespørsler. Disse sårbarhetene ble opprinnelig oppdaget under intern sikkerhetstesting og påvirker kun systemer der CSLU er aktivt startet av brukeren.

Hackere bruker PowerShell og legitime Microsoft-applikasjoner for å distribuere skadelig programvare. Cyberkriminelle utnytter i økende grad PowerShell og legitime Microsoft-verktøy i såkalte “fileless” angrep, som gjør det vanskeligere for tradisjonelle antivirusprogrammer å oppdage truslene. Ved å misbruke verktøy som BITS (Background Intelligent Transfer Service), kan angripere laste ned og kjøre skadelig programvare uten å etterlate filer på disken.

Situasjonsrapport - februar 2025

2025-03-10T19:01:00.006+01:00

Alvorlige hendelser

I februar håndterte TSOC 11 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 7 i januar.

DDoS-angrep
Det var 60 bekreftede DDoS-angrep denne måneden, ned fra 67 i januar. 36 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8.512 Gbps og varte i 34 minutter. Det største angrepet observert i denne perioden var på 86.3 Gbps og varte i 41minutter. Misbruk av DNS stod for brorparten av angrepene.

Nyhetsoppsummering
VMware har utgitt oppdateringer for fem sårbarheter i Aria Operations og Aria Operations for Logs (versjon 8.x), hvorav to regnes som høy risiko. De alvorligste sårbarhetene kan la angripere skaffe seg utvidede rettigheter via informasjonslekkasje og krever ikke administratorrettigheter for å utnytte. Sårbarhetene omfatter også mulighet for lagret XSS og en sårbarhet omfatter dårlig tilgangskontroll som gir ikke-administrative brukere en potensielt høyere tilgang enn tiltenkt.

Microsoft advarer om at angripere utnytter eksponerte ASP.NET-nøkler til å distribuere skadelig programvare. Microsoft har oppdaget at angripere utnytter statiske ASP.NET-maskinnøkler funnet på nettet til å utføre kodeinjeksjonsangrep via ViewState. Disse nøklene, som ofte hentes fra offentlige kodeplattformer, brukes til å generere ondsinnede ViewStates med gyldig message authentication code (MAC). Når slike ViewStates sendes via POST-forespørsler, dekrypterer og validerer ASP.NET Runtime dem. Dette kan gi angriperne mulighet til å kjøre vilkårlig kode på målets IIS-webserver. I desember 2024 observerte Microsoft et tilfelle der en angriper brukte en offentlig kjent maskinnøkkel til å levere Godzilla-rammeverket, som har funksjoner for kommandoeksekvering og injeksjon av shellkode.

Apple har utgitt nødoppdateringer for å rette en nulldagssårbarhet (CVE-2025-24200) som har blitt utnyttet i målrettede og svært sofistikerte angrep. Sårbarheten tillot fysiske angripere å deaktivere USB-begrenset modus på låste enheter, noe som potensielt åpnet for uautorisert uthenting av informasjon. USB-begrenset modus, introdusert i iOS 11.4.1, blokkerer USB-tilbehør fra å opprette en datatilkobling hvis enheten har vært låst i over en time. Sårbarheten er nå adressert i iOS 18.3.1 og iPadOS 18.3.1 med forbedret tilstandshåndtering.

Fortinet advarer om en ny autentiseringsomgåelses-sårbarhet (CVE-2025-24472) i FortiOS og FortiProxy, som angripere aktivt utnytter for å få super-administratorrettigheter på sårbare enheter. Sårbarheten gjør det mulig å opprette falske brukere, manipulere brannmurregler og få tilgang til interne nettverk via SSL VPN. Angrepene har pågått siden november 2024, ifølge Arctic Wolf Labs, som har observert scanning, rekognosering, konfigurasjonsendringer og lateral bevegelse i kompromitterte systemer.

To sikkerhetssårbarheter har blitt oppdaget i OpenSSH som kan føre til Man-in-the-Middle (MitM) og Denial-of-Service (DoS) angrep under visse betingelser. Begge sårbarhetene er adressert i OpenSSH versjon 9.9p2, utgitt 18. februar 2025.

Palo Alto PAN-OS har en kritisk sårbarhet (CVE-2025-0108) i administrasjonsgrensesnittet, som lar angripere omgå autentisering og kjøre visse PHP-script. Sårbarheten har en CVSS-score på 8.8 og utnyttes allerede aktivt, ifølge CISA. Angripere kan potensielt hente ut sensitiv informasjon som brannmurkonfigurasjon, VPN-brukere, sertifikater og nøkler. Internetteksponerte enheter bør tas av nett og oppdateres. Øvrige sårbare enheter bør oppdateres. Administrasjonsgrensesnitt bør ikke eksponeres på internett, men sikres med VPN, IP-hvitelister eller lignende.

CISA og FBI rapporterer at angripere som benytter Ghost løsepengevirus har infiltrert ofre i over 70 land siden tidlig 2021. De rammede sektorene inkluderer kritisk infrastruktur, helsevesen, offentlig sektor, utdanning, teknologi, produksjon samt en rekke små og mellomstore bedrifter. Angriperne utnytter kjente sårbarheter i utdatert programvare og fastvare. Gruppen benytter ulike navn og varianter av løsepengevirus, inkludert Cring.exe, Ghost.exe, ElysiumO.exe og Locker.exe, og endrer ofte filendelser og innholdet i løsepengebrevene for å unngå deteksjon.

Situasjonsrapport - januar 2025

2025-02-14T08:54:00.001+01:00

Alvorlige hendelser

I januar håndterte TSOC 7 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 16 i desember.

DDoS-angrep
Det var 67 bekreftede DDoS-angrep denne måneden, opp fra 45 i desember. 46 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 22.2 Gbps og varte i 26 minutter. Det største angrepet observert i denne perioden var på 845 Gbps og varte i 22 minutter. Misbruk av DNS stod for brorparten av angrepene.

Nyhetsoppsummering

Kritisk sårbarhet i Windows BitLocker utnyttet
En ny kritisk sårbarhet i BitLocker (CVE-2025-21210) tillater angripere med fysisk tilgang å manipulere krypterte data, og tvinge Windows til å skrive ukrypterte data (som passord og nøkkelmateriale) til disk. Angrepet utnytter en feil i hvordan crash-dump konfigurasjoner håndteres. Microsoft har utgitt en oppdatering for å hindre utnyttelse.

Mulig datainnbrudd hos Gravy Analytics kan lekke posisjonsdata om norske borgere
Gravy Analytics, som er et selskap som spesialiserer seg på posisjonsdata fra mobiltelefoner, har angivelig blitt utsatt for et stort datainnbrudd som kan ramme millioner av personer globalt. Hackerne påstår å ha stjålet store mengder sensitiv informasjon, inkludert nøyaktige GPS-koordinater, tidsstempler og bevegelseshistorikk, noe som kan føre til alvorlige personvernbrudd. Blant de berørte dataene finnes det detaljer om 146.000 norske mobilenheter som potensielt kan avsløre personlige bevegelsesmønstre. Hackerne har publisert et utrag av dataen de påstår å ha stjålet som har blitt vurdert som ekte av flere eksperter. Et generelt tiltak som anbefales er å være restriktiv i hvilke tillatelser man gir applikasjoner.

Kinesiske hackere har brutt seg inn i Charter og Windstream-nettverk
Kinesiske statssponserte hackere, kjent som Salt Typhoon, har brutt seg inn i flere amerikanske telekommunikasjonsnettverk, inkludert Charter Communications, Windstream og Consolidated Communications. De har fått tilgang til sensitive data som tekstmeldinger, talemeldinger og samtaler. Etter disse hendelsene har CISA anbefalt end-to-end kryptering for å beskytte kommunikasjon.

Ivanti advarer om ny Connect Secure-sårbarhet utnyttet i zero-day-angrep
Ivanti varsler at angripere har utnyttet en kritisk sårbarhet (CVE-2025-0282) i Connect Secure for å installere skadevare på sårbare enheter. Feilen er en buffer-overflow som gjør det mulig for uvedkommende å kjøre kode fra eksternt ståsted. En tilhørende svakhet (CVE-2025-0283) kan misbrukes til å eskalere privilegier lokalt, men er foreløpig ikke observert i aktive angrep.

Alvorlige sårbarheter i Palo Alto brannmurer lar angripere omgå Secure Boot på hardware
En ny rapport fra Eclypsium avslører alvorlige sårbarheter i Palo Alto Networks-brannmurer som gjør det mulig for angripere å omgå Secure Boot, utnytte feil på hardwarenivå og få høyere privilegier for å opprettholde tilgang i nettverk. Tre modeller PA-3260, PA-1410 og PA-415, er undersøkt og rammes av kjente svakheter som BootHole, PixieFail og LogoFAIL som kan føre til at angripere får kjøre vilkårlig kode. Funnene peker på mangler i Palo Altos oppdateringer som gjør at enhetene framdeles er sårbare for angrep.

PoC frigitt for zero-day sårbarhet i Fortinet
En Proof-of-Concept (PoC)-utnyttelse har blitt offentliggjort for CVE-2024-55591, en kritisk nulldagssårbarhet i Fortinet-produkter. Sårbarheten gjør det mulig for angripere å kompromittere systemer eksternt, noe som setter titusenvis av enheter i fare.

Hackere utnytter RDP-protokollen for å få tilgang til Windows-systemer og fjernstyre nettlesere
Cyberkriminelle utnytter sårbarheter i Remote Desktop Protocol (RDP) for å oppnå uautorisert tilgang til Windows-systemer og fjernkontrollere nettlesere. Angriperne bruker ofte brute-force-angrep på svake passord eller kjøper tilgang via mørkenettmarkeder. Etter å ha fått tilgang, kan de kapre aktive RDP-økter, bevege seg lateralt i nettverket og rekonstruere brukeraktivitet, inkludert nettleserinteraksjoner, ved hjelp av verktøy som Mimikatz og BMC-Tools.

Situasjonsrapport - desember 2024

2025-01-15T09:53:00.003+01:00

Alvorlige hendelser
I desember håndterte TSOC 16 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 14 i november.

DDoS-angrep
Det var 45 bekreftede DDoS-angrep denne måneden, ned fra 107 i november. 32 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8.59 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 46.5 Gbps og varte i et døgn.

Nyhetsoppsummering
Interpol har ledet en global politiaksjon kalt Operation HAECHI-V, som involverte myndigheter fra 40 land mellom juli og november 2024. Operasjonen resulterte i pågripelse av mer enn 5.500 mistenkte cyberkriminelle og beslagleggelse av over 400 millioner dollar i virtuelle og forskjellige lands valutaer. Blant resultatene var en felles aksjon fra koreanske og kinesiske myndigheter som avviklet en omfattende voice phishing-gruppe som hadde forårsaket tap på 1,1 milliarder dollar for over 1.900 ofre. Interpol har også advart mot en ny svindelteknikk kalt "USDT Token Approval Scam", der kriminelle gir seg ut for å være potensielle romantiske partnere for å lure ofre til å gi dem full tilgang til sine krypto-lommebøker.

En hacker har publisert detaljer om over 760 000 ansatte fra kjente selskaper som Bank of America, Koch, Nokia, JLL, Xerox, Morgan Stanley og Bridgewater på et hackingforum. Dataene stammer trolig fra fjorårets MOVEit-angrep, der en zero-day sårbarhet i Progress Softwares filoverføringsprogramvare ble utnyttet. Den russisk-knyttede ransomware-gruppen Cl0p antas å stå bak angrepet. De lekkede dataene inkluderer navn, e-postadresser, telefonnumre, ansatt-IDer, stillingstitler og navn på ledere.

Økt samarbeid mellom mobiloperatørene i Norge fører til at det blokkeres flere svindelforsøk. Alle mobiloperatørene i Norge har allerede systemer på plass for å blokkere svindelforsøk fra egne nummer. Tidligere i år sendte Nasjonal kommunikasjonsmyndighet (Nkom) brev til Telenor, Telia og Ice og ba dem styrke samarbeidet for å stoppe enda flere svindelforsøk

Oasis Securitys forskningsteam avdekket en kritisk sårbarhet i Microsofts implementering av tofaktorautentisering (MFA) som tillot angripere å omgå den og få uautorisert tilgang til brukerkontoer. Sårbarheten utnyttet manglende "rate limiting" og et tidsvindu på 3 minutter for å gjette en 6-sifret kode fra en autentiseringsapp. Dette gjorde det mulig å utføre et stort antall gjetninger på kort tid uten å varsle brukeren, eller uten at systemet hindret forsøkene. I snitt tok det rundt 70 minutter å logge inn på en konto med 6-sifret kode som andre faktor. Microsoft har løst problemet ved å innføre strengere "rate limiting" etter et visst antall mislykkede forsøk.

NSM kom i desember ut med en anbefaling om at virksomheter går over til passnøkler (passkeys) eller andre FIDO2-implementasjoner for autentisering. Årsaken er at aktører i økende grad tar seg forbi tradisjonell flerfaktorautentisering. NSM har registrert en rekke phishingkampanjer der målet er økonomisk vinning, ofte via fakturasvindel. Kampanjene lar seg gjennomføre fordi virksomheter ikke påkrever phishingresistent autentisering. NSM anbefaler å prioritere implementering av phishingresistent autentisering på Microsoft 365 og andre skyløsninger, samt identitetsløsninger og internetteksponerte tjenester. Prioriter spesielt utsatte brukere som økonomiansvarlige, ledere og systemadministratorer ved gradvis utrulling.

I en internasjonal aksjon kalt "Operation PowerOFF" har politiet stengt 27 plattformer som tilbyr DDoS-angrep. Aksjonen koordineres av Europol og involverer 15 land. Målet er å holde både tilbydere og brukere av slike tjenester ansvarlige. Tre administratorer bak plattformene er arrestert, og over 300 brukere er identifisert for videre etterforskning. Julehøytiden har historisk være en en periode med økt risiko for DDoS-angrep. Motivene bak angrepene varierer fra økonomisk vinning til ideologiske årsaker.

Situasjonsrapport - november 2024

2024-12-09T09:25:00.001+01:00

Alvorlige hendelser
I november håndterte TSOC 14 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 9 i oktober.

DDoS-angrep
Det var 107 bekreftede DDoS-angrep denne måneden, ned fra 142 i oktober. 67 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 11.7 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 208 Gbps og varte i 10 minutter. Ingen av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
I starten av november gikk det rykter om en kritisk svakhet i administrasjons-grensesnittet til brannmurer fra Palo Alto, som allerede 8. november ga ut rådgivning til kundene om kun å gi tilgang til admin-grensesnittet fra godkjente enheter. Den 18. november ga Palo Alto ut patcher og informasjon om to svakheter, som allerede hadde vært utnyttet i målrettede angrep. Den ene svakheten (CVE-2024-0012) lå i admin-grensesnittet og kunne gi administrator-tilgang til angripere med nettverkstilgang til enheten, uten å ha konto på enheten. Den andre svakheten (CVE-2024-9474) ble også allerede utnyttet i angrep. Denne lot en vanlig bruker av brannmuren utføre kommandoer som root-brukeren. Overvåkingsplattformen Shadowserver meldte i forbindelse med at patchene ble gitt ut at over 8700 admin-grensesnitt var eksponert mot nettet, til tross av rådene om å ikke eksponere disse mot Internet.

En russisk APT-gruppe, antatt å være Fancy Bear (APT28), har benyttet en ny angrepsmetode kalt "Nearest Neighbor Attack" for å få tilgang til Wi-Fi-nettverk. Metoden innebærer å utnytte nettverk i nærheten av målet for å omgå sikkerhetstiltak som multifaktorautentisering (MFA). Angriperne kompromitterer først et nærliggende nettverk og bruker deretter enheter med tilgang til begge nettverk, som bærbare datamaskiner eller rutere, som en bro for å få tilgang til målet. Volexity avdekket angrepet i februar 2022, rettet mot en organisasjon i Washington D.C. med tilknytning til Ukraina. Angrepet involverte blant annet passordspraying, utnyttelse av sårbarheter og "living-off-the-land"-teknikker. Organisasjoner bør behandle WiFi-nettverk (spesielt de med delte passord) som åpne nettverk og kreve VPN-tilkobling eller lignende for å få tilgang til interne tjenester.

Trusselaktøren RomCom, som antas å være knyttet til Russland, har nylig utnyttet to nulldagssårbarheter i angrep. Den ene sårbarheten lå i Mozilla Firefox og den andre i Microsoft Windows. Angrepene har som mål å infisere offerets system med RomCom-bakdøren. Sårbarheten i Firefox (CVE-2024-9680, patchet i oktober 2024) tillater kjøring av vilkårlig kode uten brukerinteraksjon, mens sårbarheten i Windows Task Scheduler (CVE-2024-49039, patchet i november 2024) muliggjør rettighetseskalering. Angrepet involverer en falsk nettside som omdirigerer ofre til en server som bruker svakhetene mot offeret for å installere RomCom RAT, en bakdør som gir angriperen full kontroll over den kompromitterte maskinen.

Det britiske cybersikkerhetsselskapet Sophos har dokumentert en langvarig konflikt mellom firmaet og kinesiske statsstøttede hackere, som har angrepet deres systemer fra 2018. Angrepene inkluderte blant annet et vellykket hackerangrep mot Sophos' kontor i India, hvor hackerne fikk initiell tilgang via en veggmontert skjerm. Hackerne benyttet avanserte teknikker som SQL-injeksjon, kommandoinjeksjon, et brukerland-rootkit kalt TERMITE, trojanske Java-filer og et unikt UEFI-bootkit. Sophos svarte ved å distribuere egne etterretningsimplantater gjennom sine systemer for å overvåke hackernes verktøy, bevegelser og taktikker. De samarbeidet også med Nederlands nasjonale cybersikkerhetssenter for å beslaglegge servere som var vertskap for angriperdomener.

Microsoft har fulgt med på trusselaktøren kalt Storm-0940, som benytter et nettverk av kompromitterte små kontor- og hjemmerutere (kalt CovertNetwork-1658) til å gjennomføre passordspray-angrep. Nettverket består hovedsakelig av TP-Link rutere som er hacket ved å utnytte en ukjent sårbarhet, og har fått lagt til proxy-kode for å gjemme angreps-trafikken. Trusselaktøren gjennomfører lavvolum passordspray-angrep, med gjennomsnittlig bare ett påloggingsforsøk per konto per dag, noe som gjør angrepene vanskelige å oppdage. Angrepene retter seg primært mot organisasjoner i Nord-Amerika og Europa innenfor sektorer som tenketanker, myndigheter, lov- og forsvarsindustrien.

FBI har utstedt en advarsel om at hackere utnytter lovlige system for dataforespørsler til å stjele brukerdata fra amerikanske teknologiselskaper. Etter å ha kompromittert e-postadresser tilhørende politi og myndigheter, sender hackerne falske "nødforespørsler" for å få tilgang til sensitiv informasjon som e-postadresser og telefonnumre tilhørende kunder. FBI har observert en økning i slike angrep siden august, og advarer nå om at kriminelle aktivt selger tilgang til kompromitterte kontoer og tjenester for å utføre disse angrepene. Hackerne utnytter systemet for nødforespørsler, som er ment for å gi politiet rask tilgang til data i tilfeller der det er fare for liv eller eiendom, uten å måtte innhente rettslig godkjennelse.

Det amerikanske justisdepartementet siktet fem personer fra Scattered Spider-gruppen for å ha utført omfattende phishing-kampanjer som ga dem tilgang til sensitive data og kryptovaluta verdt 11 millioner dollar. De siktede, fire fra USA og én fra Storbritannia, er medlemmer av Scattered Spider-gruppen, som har vært knyttet til en rekke alvorlige cyberhendelser, inkludert ransomware-angrepet mot MGM Casino i fjor. Gruppen har tidligere angrepet selskaper som Coinbase, Twilio, LastPass og Reddit. De siktede brukte SMS-meldinger for å lokke ansatte til å klikke på ondsinnede lenker og oppgi innloggingsinformasjon.

Situasjonsrapport - oktober 2024

2024-11-08T13:34:00.001+01:00

Alvorlige hendelser
I oktober håndterte TSOC 9 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 28 i september.

DDoS-angrep
Det var 142 bekreftede DDoS-angrep denne måneden, opp fra 136 i september. 81 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 13.2 Gbps og varte i 19 minutter. Det største angrepet observert i denne perioden var på 278 Gbps og varte i 12 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Denne måneden opplevde vi et aggressivt DDoS-angrep mot en av våre kunder. Angrepet var ikke så stort i volum, kun 2.5Gbps, men det bestod av en lang rekke små pakker, såkalte SYN-pakker, som normalt brukes for å opprette nye sesjoner. I stedet for å angripe bare én adresse hos kunden, som er det normale, ble 255 adresser angrepet samtidig. Et stort antall angrepspakker mot en rekke samtidige mål kan være ekstra ressurskrevende for nettverksutstyr og servere.

Angrepet ble mitigert ved å midlertidig blokkere en del geografiske regioner som stod bak mesteparten av angrepstrafikken, såkalt geo-blokkering. Denne typen blokkering blir gjort ved hjelp av forhåndsdefinerte lister over hvilke nettverk som tilhører forskjellige land/regioner.

I det siste har det vært et oppsving i DDoS-angrep mot finans-institusjoner i Norge. Nordea uttalte for eksempel til VG i oktober at de hadde vært utsatt for et større angrep i 25 dager. Også bankens søsterfilialer i andre nordiske land er rammet. Det er uklart hva motivet er eller hvem som står bak angrepene.

Nyhetsoppsummering
Europol ledet en global aksjon mot ransomware-syndikatet “LockBit”, som har stått bak over 1,800 ransomware-angrep over hele verden. I samarbeid med politimyndigheter fra USA, Storbritannia, Frankrike, Spania og flere andre land, resulterte operasjonen i arrestasjonen av fire nøkkelmedlemmer samt beslag av IT-infrastruktur som ble brukt av syndikatet. Myndigheter mener at grupperingen har tjent over 1 milliard USD i løpet av de fire årene de var aktive. Operasjonen var en del av "Operation Cronos", og myndighetene innførte sanksjoner mot tilknyttede personer. Europol har støttet utviklingen av dekrypteringsverktøy og støtter også ofre gjennom "No More Ransom"-prosjektet. I samarbeid med japansk politi, UK’s National Crime Agency, og FBI er disse verktøyene tilgjengelige gratis på nomoreransom.org.

CERT-UA har avdekket en sofistikert phishingkampanje som retter seg mot offentlige etater, industri og militære enheter i Ukraina og allierte land. Angriperne sender ut e-poster som utgir seg for å handle om integrasjon av Amazon- og Microsoft-tjenester og implementering av Zero Trust Architecture. De vedlagte RDP-filene etablerer i virkeligheten utgående Remote Desktop-forbindelser til angripernes servere. Når disse filene åpnes, får angriperne omfattende tilgang til offerets datamaskinressurser, inkludert lokale disker, nettverksressurser, skrivere og mulighet til å kjøre uautoriserte programmer. Analyser tyder på at forberedelsene til cyberangrepene startet allerede i august 2024, noe som indikerer en godt planlagt operasjon. Vi anbefaler å blokkere .rdp-filer i eposter, begrense tilgang til verktøyet der det ikke er nødvendig og sette opp group policies for å hindre redirigering av lokale ressurser via RDP-sesjoner.

Politimyndigheter i flere land tok i oktober ned informasjons-stjelerne Redline og Meta i "Operation Magnus". USA tok ut tiltale mot en russisk statsborger de mener er utvikleren bak Redline-malwaren. Det har også kommet fram at nederlandsk politi har tatt beslag i tre servere i Nederland. Belgisk politi har arrestert to personer i forbindelse med aksjonen, som skal være Redline-kunder. Sikkerhetsfirmaet ESET har lansert en scanner som kan lastes ned for å sjekke om en maskin har vært påvirket av en informasjons-stjeler. Firmaet har også hjulpet til i forbindelse med aksjonen. Det har i løpet av det siste året vært et oppsving i bruk av informasjons-stjelere. Informasjonen som blir stjålet, gjerne fra private PCer, legges ut for salg og brukes ofte til å få gyldige kontoer hos både større firmaer og myndigheter.

The Internet Archive er et nettsted som arkiverer innhold fra Internet og tar var på dette for ettertiden. Nettstedet har vært rammet av et datainnbrudd via et sårbart Javascript-bibliotek. Via svakheten har uvedkommende fått tilgang til systemene og har blant annet lastet ned en database med oversikt over de 31 millioner registrerte brukerne. Nettstedet har også vært utsatt for store DDoS-angrep de siste ukene. Det er ukjent hvem som står bak angrepene, men mange er imot tjenesten siden den lagrer “snapshots” av nettsteder som det i ettertid er vanskelig å få fjernet. Tjenesten "Have I Been Pwned" har blitt oppdatert med de kompromitterte epost-adressene.

Microsoft har varslet noen kunder om at de mangler over to uker med sikkerhetslogger for noen av deres skytjenester. Feilen oppsto mellom 2. og 19. september i en intern overvåkingsagent. Berørte tjenester inkluderer Microsoft Entra, Sentinel, Defender for Cloud og Purview. Microsoft understreker at loggtapet ikke skyldes en sikkerhetshendelse, men kan påvirke kunders evne til å analysere data, oppdage trusler og generere sikkerhetsvarslinger. Selskapet har løst problemet ved å rulle tilbake en endring i sine systemer og har varslet de berørte kundene om hendelsen.

Forskere fra ESET har avdekket at svindlernettverket Telekopye har utvidet sin virksomhet til å angripe brukere av populære booking-plattformer som Booking.com og Airbnb. Svindlerne bruker kompromitterte kontoer tilhørende legitime hoteller og utleiere for å målrettet svindle brukere som nylig har booket opphold, men ennå ikke har betalt. De sender phishing-e-poster som hevder det er problemer med betalingen og leder ofrene til godt utformede, falske nettsider som etterligner de ekte plattformene med kundens ekte informasjon inkludert. Denne typen svindel har hatt en skarp økning i 2024, særlig i sommermånedene. Politiet i Tsjekkia og Ukraina har arrestert flere cyberkriminelle knyttet til Telekopye i to felles operasjoner sent i 2023.

Situasjonsrapport fra Telenor SOC - september 2024

2024-10-09T12:42:00.005+02:00

Alvorlige hendelser
I september håndterte TSOC 28 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 24 i august.

Denne måneden ble Telenor og flere av våre kunder utsatt for et relativt avansert phishing-angrep. Phishing-epostene ble sendt ut fra kompromitterte kontoer hos norske firmaer, typisk firmaer som har med økonomi og regnskap å gjøre. Mottakeren ble bedt om å trykke på en lenke i eposten for å laste ned fakturaen.I stedet for å få opp en faktura, dukker det opp en phishing-side som ber offeret om å logge inn med sin Microsoft-konto. Phishing-siden er egentlig en proxy, den gjenspeiler altså en ekte innloggings-side hos Microsoft, men manipulerer og lagrer det som blir sendt igjennom den. Bakmennene kan derfor snappe opp både brukernavn, passord, engangspassord og innloggings-nøkkel (cookie).

Det som skiller denne kampanjen fra tidligere kampanjer, er at svindlerne etter å ha fått tak i innloggings-detaljene, forsøker å logge på Microsofts skytjenester fra en norsk IP-adresse. Normalt har Microsoft logikk for å sjekke om en innlogging kommer fra omtrent den samme lokasjonen som den forrige innloggingen til brukeren.Dersom brukeren i løpet av kort tid logger på fra en helt annen del av verden, vil påloggingen bli stoppet eller brukeren må oppgi ekstra detaljer for å få logget inn. Ved å benytte seg av en VPN-node i Norge klarer angriperne å omgå denne logikken.

Siden angriperne omgikk både tofaktor-autentisering og sjekk på hvor brukeren logget på fra geografisk, var kampanjen uvanlig effektiv. Flere norske firmaer ble rammet ved at én eller flere brukere ble kompromittert.

Motivet til bakmennene kan variere i forbindelse med denne typen phishing-kampanjer. Ofte vil de ha tak i kontoer for å spre svindelen videre, ved å sende ut flere phishing-eposter. Noen ganger kartlegger de epost-korrespondansen til offeret og bruker dette til å sende ut falske fakturaer for å lure til seg penger. Andre ganger kan de stjele sensitiv informasjon for deretter å presse bedriften for penger. Mange av kampanjene benytter seg av en kommersiell phishing-tjeneste med ferdige maler og infrastruktur, noe som gjør det hele svært enkelt å gjennomføre.

For å motvirke denne typen angrep bør virksomheter innføre phishingresistent autentisering eller kun tillate pålogging fra innrullerte enheter.

DDoS-angrep
Det var 136 bekreftede DDoS-angrep denne måneden, opp fra 124 i august. 68 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 7.85 Gbps og varte i 27 minutter. Det største angrepet observert i denne perioden var på 90 Gbps og varte i to timer. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Trusselaktøren "Salt Typhoon", med antatte forbindelser til den kinesiske regjeringen, har i følge amerikanske myndigheter nylig brutt seg inn hos flere amerikanske ISPer som Verizon og AT&T. Kampanjen har som mål å stjele sensitiv informasjon, og er en del av en større trend med kinesiske angrep rettet mot kritisk infrastruktur i USA. Trusselaktøren skal blant annet ha fått tilgang til de interne systemene for å overvåke brukere i forbindelse med pålegg fra domstoler. Det er også avdekket et nettverk med over 200 000 enheter, inkludert rutere, kameraer og andre internett-tilkoblede enheter som ble brukt av en annen kinesisk trusselaktør kalt Flax Typhoon. FBI-direktør Christopher Wray har advart om Kinas kapabiliteter, og amerikanske myndigheter har gjentatte ganger advart om kinesiske datainnbrudd. I følge dem er dette sannsynligvis bare «toppen av isfjellet» på grunn av trusselaktørenes sofistikerte angrepsmetodikker. Kinesiske myndigheter har benektet anklagene om angrep.

I august satte angripere opp en målrettet kampanje mot ansatte i firmaet Lowe's, for å høste inn brukernavn og passord. Angriperne kjøpte annonser fra Google i forbindelse med treff på søkeordet "MyLowesLife", som er navnet på firmaets interne portal. Dersom en ansatt trykket på de sponsede resultatene, ble vedkommende sendt til en phishing-side som var lik den vanlige portal-innloggingen til firmaet. Phishing-siden samlet inn brukernes brukernavn, passord og svar på sikkerhetsspørsmål før de ble videresendt til den faktiske MyLowesLife-nettsiden. Saken viser nok en gang hvor viktig det er med phishing-resistent autentisering.

En internasjonal politioperasjon har slått til mot et forbryternettverk som siden 2018 har spesialisert seg på å låse opp stjålne mobiltelefoner. Banden har kontrollert et automatisk phishing-system med en mengde sider som ga seg ut for å være forskjellige mobiltjenester. Tjenesten ble brukt av tyver via mellommenn for å låse opp mobiltelefoner etter at de var stjålet, ved å lure de egentlige eierne av mobilene til å gi fra seg personlig informasjon og passord.

En internasjonal koalisjon ledet av Europol og Eurojust har lykkes i å ta ned en kryptert kommunikasjonsplattform kalt "Ghost", som ble brukt av organiserte kriminelle nettverk verden over. Plattformen muliggjorde sikker kommunikasjon for kriminelle aktiviteter som narkotikahandel, hvitvasking og voldelige handlinger. Operasjonen involverte ni land og resulterte i 51 arrestasjoner, beslag av over 1 million euro i kontanter, samt våpen og narkotika. Aksjonen avslører et fragmentert landskap for kryptert kommunikasjon, der kriminelle aktører stadig søker nye tekniske løsninger for å unngå overvåkning.

Justisdepartementet i USA har beslaglagt 32 internettdomener som ble brukt i en russisk statssponset påvirkningskampanje kalt "Doppelganger". Operasjonen, styrt av den russiske presidentadministrasjonen, spredte propaganda for å redusere støtten til Ukraina, fremme pro-russiske interesser og påvirke velgere i USA og andre land. Kampanjen benyttet seg av metoder som betaling til Youtube-profiler for å lage innhold, AI-generert innhold, betalte annonser på sosiale medier og falske profiler for å spre desinformasjon. Som en del av aksjonen har det amerikanske finansdepartementet også innført sanksjoner mot 10 personer og 2 enheter involvert i påvirkningsoperasjonen. CNN melder at den russiske operasjonen finansierte et amerikansk firma kalt "Tenet Media" i USA, som igjen betalte flere amerikanske Youtube-kommentatorer for å støtte russiske interesser.

Situasjonsrapport fra Telenor SOC - august 2024

2024-09-10T12:32:00.005+02:00

Alvorlige hendelser
I august håndterte TSOC 24 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 8 i juli.

Denne måneden ble en ansatt hos en av våre kunder lurt til å laste ned skadevare kalt “Lumma Stealer”. Den ansatte søkte først etter programvare vedkommende ville laste ned. I stedet for å bli sendt til den ekte siden for nedlasting, ble den ansatte sendt til en side som var en kopi av den ekte. Her blir besøkende bedt om å løse en CAPTCHA for å bevise at de ikke er et dataprogram. I stedet for en vanlig captcha der en typisk skal skrive inn nærmeste uleselige bokstaver eller velge hvilke deler av et bilde som er trafikklys, blir brukeren bedt om å åpne en Windows kommandolinje ved å trykke “Windows-tast + R”, kopiere inn tekst som allerede har blitt lagt i utklippstavlen og trykke “enter”.

For de fleste vanlige brukere vil teksten som blir kopiert inn se meningsløs ut, men i virkeligheten blir PowerShell bedt om å kjøre en rekke kommandoer som igjen ber det det legitime Windows-programmet “mshta” om å laste ned en .exe-fil med “Lumma Stealer” som så startes. Siden nedlastingen skjer fra et kommandolinje-verktøy, får brukeren heller ikke hjelp av innebygget deteksjon av skadevare i nettleseren. Lumma Stealer kontakter øyeblikkelig sin kontroll-server og henter ned kommandoer om hva den skal foreta seg videre. Som oftest blir skadevaren bedt om å samle alt av brukernavn, passord, sesjonsnøkler, krypto-lommebøker, lagrede kredittkort osv. og sende dette til bakmennene.

Dersom en mistenker infeksjon av denne typen skadevare, bør PCen slettes og installeres på nytt. Brukeren bør også øyeblikkelig begynne å kartlegge hva slags informasjon som kan ha blitt stjålet, og bytte passord, stenge kredittkort osv. Vi anbefaler å kun tillate kjøring av forhåndsgodkjent programvare på bruker-PCer. Brukere bør også læres opp til aldri å kopiere inn tekst fra nettleseren til kommando-linjen.

DDoS-angrep
Det var 124 bekreftede DDoS-angrep denne måneden, opp fra 110 i juli. 57 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 7.36 Gbps og varte i 17 minutter. Det største angrepet observert i denne perioden var på 131 Gbps og varte i 36 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Denne måneden inneholdt Microsofts månedlige oppdatering oppdateringer for 92 svakheter. I tillegg ble seks av disse svakhetene allerede utnyttet i pågående angrep. Spesielt én av svakhetene fikk stor oppmerksomhet, en kritisk feil i Windows sin håndtering av IPv6-pakker (CVE-2024-38063). Denne svakheten var heldigvis ikke én av dem som allerede ble aktivt utnyttet, men til gjengjeld kunne den i teorien brukes til å utvikle en Internett-orm, altså programvare som automatisk sprer seg fra maskin til maskin. Microsoft anbefalte hurtig patching, og dersom dette ikke var mulig å sperre for IPv6-trafikk til sårbare maskiner. I løpet av august ble svakheten heldigvis ikke utnyttet og ting kan tyde på at den er vanskeligere å utnytte i praksis enn først ventet.

Det amerikanske justisdepartementet har siktet Matthew Isaac Knoot fra Nashville for å ha hjulpet nordkoreanske IT-arbeidere med å få fjernarbeid hos amerikanske og britiske selskaper. Knoot skal ha brukt stjålne identiteter og opprettet en “laptop farm” for å gi nordkoreanerne tilgang til selskapenes systemer, noe som resulterte i inntekter på hundretusener av dollar som ble sendt til Nord-Korea. Denne svindelen har påført de berørte selskapene betydelige kostnader for å revidere og sikre sine systemer. Justisdepartementet advarer nå selskaper om å være ekstra årvåkne ved ansettelse av fjernarbeidere, spesielt fra land med høy risiko. Det er viktig å utføre detaljerte fysiske intervjuer og ha nøye sjekk av identiteten til innleide.

Det nasjonale instituttet for standarder og teknologi (NIST) i USA har publisert tre nye krypteringsalgoritmer designet for å motstå fremtidige angrep fra kvantedatamaskiner. Standardene, som er resultatet av et åtte år langt prosjekt, dekker generell kryptering og digitale signaturer. FIPS 203, basert på CRYSTALS-Kyber-algoritmen, er ment for generell kryptering, mens FIPS 204 og FIPS 205 er designet for digitale signaturer, basert på henholdsvis CRYSTALS-Dilithium og Sphincs+ algoritmene. NIST oppfordrer organisasjoner til å begynne å implementere disse standardene umiddelbart, selv om ytterligere backup-algoritmer fortsatt er under evaluering.

Det er nylig oppdaget en sårbarhet i Microsoft 365 Copilot. Sårbarheten utnytter en kombinasjon av avanserte angrepsmetoder; "prompt-injection", automatisk oppstart av verktøy og "ASCII-smugling". Angrepet begynner ved at en angriper sender en ondsinnet e-post som inneholder skjulte AI-instruksjoner. Når Copilot analyserer e-posten vil Copiloten bli tatt over av instruksjonene, og begynne å utføre angriperens ønskede kommandoer. Det er blant annet vist hvordan instruksjonene kan søke etter sensitive e-poster eller dokumenter, og skjule denne informasjonen i skjulte Unicode-tegn i en hyperlenke. Brukeren blir deretter lurt til å klikke på lenken, som sender de stjålne dataene til angriperen. Sårbarheten utgjør en betydelig risiko for lekkasje av informasjon, og det er blitt anbefalte flere tiltak for å motvirke slike angrep. Microsoft påstår de har adressert sårbarheten, selv om de nøyaktige detaljene rundt løsningen ikke er offentliggjort.

Microsoft Threat Analysis Center (MTAC) rapporterer om en økning i utenlandsk påvirkning rettet mot det amerikanske presidentvalget i 2024, med Russland og Iran som hovedaktører. Irans cyberbaserte påvirkningsoperasjoner har blitt mer fremtredende de siste månedene, og skiller seg fra russiske kampanjer ved å fokusere mer på selve gjennomføringen av valget enn å påvirke velgerne. MTAC overvåker også bruken av generativ kunstig intelligens (KI) i påvirkningskampanjer, men observerer at mange aktører går tilbake til tradisjonelle teknikker som digital manipulasjon og misbruk av kjente varemerker eller logoer. Nettstedet Politico meldte også at de hadde mottatt lekkasjer i form av interne eposter fra Trump-kampanjen. Senere i måneden bekreftet Trump-medarbeidere at de hadde vært utsatt for et dataangrep, og at de mente at Iran stod bak angrepet. Dette er så langt ikke bekreftet, men FBI etterforsker saken.

En ny phishing-kampanje retter seg mot bankkunder i Tsjekkia, Ungarn og Georgia ved å bruke falske bankapper som er nesten identiske med de legitime appene. Hackerne brukte automatiserte talemeldinger, SMS og sosiale medier-annonser for å lure brukere til å installere ondsinnet programvare på Android- og iOS-enheter fra tredjeparts nettsteder. De skadelige appene er av typen progressive webapplikasjoner (PWA), som oppfører seg som ekte mobilapper og gir angripere tilgang til mikrofon, geolokasjon og kamera. Disse appene er egentlig bygget opp som en vanlig nettside og fungerer på tvers av en rekke operativsystemer. Angriperne satte også opp nettsider som simulerte app-butikker, for å lure ofrene til å tro at de hadde lastet ned ekte vare.

Situasjonsrapport fra Telenor SOC - juli 2024

2024-08-07T12:33:00.000+02:00

Alvorlige hendelser
I juli håndterte TSOC 8 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 19 i juni. Det er vanlig at antallet hendelser reduseres under sommerferien, ettersom færre ansatte er på jobb og det skjer mindre hos kundene våre.

Sommermåneden juli forløp relativt rolig på Telenor SOC. Den 11. juli ble imidlertid noen av Telenors nettsteder rammet av et relativt kraftig DDoS-angrep, noe som førte til treghet for kundene som brukte nettsidene. En kjent russisk hacktivist-gruppe tok på seg ansvaret for angrepet mot Telenor, samt noen andre norske nettsteder, i deres Telegram-kanal. Motivet for angrepet var Norges støtte til Ukraina. Angrepstrafikken ble raskt filtrert bort og nettsidene ble tilgjengelige igjen.

Denne typen politisk motiverte angrep fra forskjellige grupperinger har etter hvert blitt vanlig. Det er mange aktive grupper, og målene for angrepene endres ofte. De fleste større selskaper har heldigvis fått på plass effektive systemer eller tjenester for å raskt filtrere bort angrepstrafikken.

DDoS-angrep
Det var 110 bekreftede DDoS-angrep denne måneden, ned fra 115 i juni. 51 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6.3 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 91 Gbps og varte i 11 minutter. To av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Den største hendelsen innenfor cybersikkerhet i juli var ikke forårsaket av en trusselaktør, men av en leverandør av sikkerhetsprogramvare. En feilaktig oppdatering fra cybersikkerhetsselskapet CrowdStrike levert fredag 19. juli, førte til at Windows-maskiner over hele verden krasjet. Dette skyldtes en feil i en kjerne-driver i produktet, levert gjennom en automatisk deteksjons-oppdatering. De påvirkede maskinene ble stående fast i en “Blue Screen of Death”-feilmelding, og måtte startes opp i “Safe Mode” for å fikses. Dette er en manuell prosess som må gjøres på hver enkelt maskin, og mange maskiner måtte også ha en spesiell BitLocker gjenopprettingsnøkkel. Det ble rapportert om tekniske problemer fra en rekke sektorer, inkludert flyselskaper, banker og mediehus over hele verden. Microsoft anslo at 8.5 millioner Windows-systemer ble påvirket av den feilaktige oppdateringen fra CrowdStrike.

Microsoft poengterte etter hendelsen at restriksjoner pålagt av EU-kommisjonen kan ha forsterket problemene med Windows-systemene. Selskapet peker på en avtale fra 2009 som krevde at Microsoft gir sikkerhetsleverandører samme tilgang til Windows som selskapet selv har. Denne avtalen, som skulle fremme konkurranse, kan gjøre det enklere for tredjepartsleverandører å forstyrre systemer ved en feil, siden de har full tilgang til kjernen i systemet.

I en gjennomgang etter hendelsen, avslørte CrowdStrike at det var en feil i et system for å teste programvareoppdateringer som var årsaken. Selskapet har lovet å forbedre sine rutiner og gjøre mer fullstendige tester før oppdateringer. Utrulling av oppdateringer skal også gjøres puljevis i framtiden. Etter hendelsen estimerte forsikringsselskapet Paramtrix at amerikanske firmaer hadde tapt $5.4 milliarder. Flere firmaer forbereder nå søksmål mot sikkerhetsfirmaet.

Fredag 12. juli avslørte AT&T at de hadde blitt rammet av et datainnbrudd i april 2024. Innbruddet har blitt knyttet til en amerikansk hacker bosatt i Tyrkia, som angivelig har fått 370.000 dollar i løsepenger for å sikre at den stjålne informasjonen ble slettet. Informasjon fra samtlige av AT&T sine kunder ble stjålet, og dataene inkluderte blant annet oversikt over samtaler og tekstmeldinger fra mai 2022 til januar 2023. Selskapet opplyste at ingen sensitive personopplysninger, som innholdet av samtaler eller tekstmeldinger, ble kompromittert. AT&T sine data ble stjålet fra en tredjeparts skyplattform. Mest sannsynlig dreier det seg om en kompromittert kundekonto hos selskapet Snowflake, som brukes av mange firmaer for å analysere interne data. Hackere har i de siste månedene brutt seg inn i Snowflake-kontoer tilhørende en rekke teknologi-selskaper.

TeamViewer ble utsatt for et datainnbrudd fra den russiske aktøren APT-29, også kjent som Cozy Bear og Midnight Blizzard. Aktøren forbindes med den russiske militære etterretningstjenesten SVR. Innbruddet ble gjort ved å logge seg inn med brukernavn og passord tilhørende en vanlig ansatt. Det er ukjent hvordan trusselaktøren fikk tak i denne informasjonen. Firmaet opplyser at angrepet ble stoppet i deres interne nettverk og ikke spredde seg til produksjonsnettverket.

Det legitime sikkerhetsverktøyet Cobalt Strike brukes ofte av kriminelle aktører for å bryte seg inn i bedrifter, samt å beholde tilgang til nettverket. Verktøyet er egentlig laget for legitim bruk i forbindelse med sikkerhetstester, men det blir ofte misbrukt i piratkopierte utgaver. I forbindelse med en aksjon, kjent som "Operation MORPHEUS", har Europol sørget for å ta ned 593 Cobalt Strike-servere i 27 land. Europol har blant annet samarbeidet med BAE Systems Digital Intelligence, Trellix, Spamhaus, abuse.ch og The Shadowserver Foundation i forbindelse med aksjonen. Europol vil nå følge med på denne typen misbruk framover og aksjonere etter hvert som det trengs.

En alvorlig sårbarhet kalt PKfail har blitt oppdaget i Secure Boot-funksjonen til PCer, som lar angripere installere UEFI-skadevare på hundrevis av enheter fra ti forskjellige produsenter. Denne svakheten skyldes bruk av testnøkler i stedet for sikre plattformnøkler, noe som undergraver hele sikkerhetskjeden fra firmware til operativsystemet. Berørte produsenter inkluderer Acer, Dell, HP, Intel, Lenovo og Supermicro. Brukere anbefales å oppdatere til siste firmware når fikset versjon er tilgjengelig for å beskytte sine enheter.

En sikkerhetsforsker ved eSentire har skrevet om nedgraderingsangrep mot passkey-autentisering i forbindelse med AitM (Adversary In The Middle)-angrep. Mange tjenester tilbyr nå login ved hjelp hardware eller software-baserte FIDO2-kompatible sikkerhetsnøkler, eller passkeys. Disse gjør i teorien phishing-angrep umulig å gjennomføre. Ved hjelp av phishing-sider som benytter seg av AitM-teknikker, kan imidlertid innloggings-sidene skrives om i sanntid, til kun å tilby usikre innloggingsmetoder. Bloggposten demonstrerer disse teknikkene og tar for seg forskjellige metoder for å motvirke angrepene, samt hvordan best å håndtere mistede sikkerhetsnøkler. Vi anbefaler en gjennomlesning her.

Situasjonsrapport fra Telenor SOC - juni 2024

2024-07-05T13:44:00.004+02:00

Alvorlige hendelser
I juni håndterte TSOC 19 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 21 i mai.

Den 14. juni ble vi oppmerksomme på spredning av bank-trojaneren Vultur i Norge. Denne trojaneren retter seg mot Android-mobiler og gir blant annet trusselaktørene mulighet til å fjernstyre enheten, utføre klikk, skrolle, ta bilder av skjermen og laste opp og ned filer.

Det hele startet med en tilsynelatende uskyldig SMS-melding om en ubetalt faktura som nå vil bli sendt til inkasso. Denne meldingen ble sendt ut til flere tusen i Norge i løpet av noen få timer. Offeret ble bedt om å ta kontakt via telefon til et svensk nummer, for å unngå ekstra kostnader. Når offeret ringte nummeret, ble de møtt av en person som snakket godt svensk. Svindleren overbeviser så offeret om at mobilen trenger ekstra sikkerhetsprogramvare og sender en SMS til offeret med en lenke for nedlasting, som i virkeligheten er en modifisert versjon av McAfee Security-appen. Offeret blir så veiledet til å installere trojaneren, på tross av flere sikkerhetsadvarsler fra mobilen.

Noen hundre norske kunder hadde ringt opp det svenske nummeret, og et titalls kunder lastet ned den falske programvaren. Disse ble kontaktet av kundeservice for å få hjelp til å slette skadevaren fra mobilen sin. Etter kort tid sperret Fraud & Crime-avdelingen meldingene fra å bli sendt ut til kundene, samt sperret siden for nedlasting av trojaneren i Nettvern og SafeZone. Noe senere fikk vi også tatt ned de svenske numrene som ofrene ble bedt om å ringe til. Det tok heller ikke mange timer før sikkerhetsprogramvaren Google Play Protect, som er innebygget i Android-mobiler, begynte å sperre for installasjon av trojaneren på mobilene.

DDoS-angrep
Det var 115 bekreftede DDoS-angrep denne måneden, ned fra 151 i mai. 59 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 6 Gbps og varte i én time. Det største angrepet observert i denne perioden var på 89 Gbps og varte i 9 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Flere av kundene til tjenesteleverandøren Snowflake har vært utsatt for datainnbrudd i juni, blant annet TicketMaster og Santander. Dette har mest sannsynlig skjedd etter at kundene har vært rammet av phishing eller informasjons-stjelere, der påloggingsinformasjon til Snowflake-tjenesten har blitt stjålet. Snowflake har ikke hatt krav om MFA i sin innloggingsløsning, og det har heller ikke vært mulig for en bedrift å tvinge alle sine brukere over på trygg autentisering. Google meldte etter hvert at det var den økonomisk motiverte trusselaktøren UNC5537 som stod bak flere av innbruddene. Aktøren har brutt seg inn i firma-kontoer, lastet ned store mengder interne data og presser deretter firmaene for penger, for ikke å offentliggjøre den interne informasjonen, som ofte blir avertert på diverse undergrunns-sider for salg. Vi anbefaler ikke-phishbar MFA på alle sensitive tjenester (sertifikater, hardware-baserte sikkerhetsnøkler, passkeys osv.)

I starten av juni kom nyheten om en kommende Windows-funksjon kalt "Recall". Denne tar bilder av alt på skjermen med få sekunders mellomrom, henter ut tekst i bildene ved hjelp av ODR og indeksere og lagrer alt lokalt, noe mange mente kunne føre til lekkasje av interne bedriftsdata, passord, QR-koder osv. ved eventuelle senere innbrudd på en PC. 7. juni opplyste Microsoft at de vil endre standardinnstillingen for funksjonen fra på til av. Brukerne må dermed ta et bevisst valg for å ta funksjonaliteten i bruk.

Hackergruppen "Shiny Hunters" la i starten av juni ut interne data fra Ticketmaster for salg. Disse dataene inkluderer informasjon om 560 millioner brukere, inkludert navn, adresse, e-post, telefonnummer, kjøpte billetter og noe kredittkortinformasjon. Ticketmaster bekreftet senere datainnbruddet. Innbruddet mot Ticketmaster knyttes mot skytjenesten "Snowflake", og det er flere ofre, blant annet banken Santander.

Google kom med nye detaljer rundt den finansielt motiverte trusselaktøren UNC3944, også kjent som Oktapus, Octo Tempest, Scattered Spider osv. Etter å ha fått initielt fotfeste i en bedrift, beveger de seg nå ofte over i tilknyttede SaaS (Software as a Service)-tjenester. Data fra disse tjenestene blir eksfiltrert mot andre skytjenester som aktøren kontrollerer. Initiell tilgang til firmaer blir gjerne oppnådd gjennom å kontakte bedriftens helpdesk. Aktøren gir seg ut for å være en ansatt med gode interne tilganger som har mistet mobilen sin, og dermed må innrulleres i systemene på nytt. Aktøren har på forhånd gjort klar mye relevant personlig informasjon personen de gir seg ut for, i tilfelle det kommer sikkerhetspørsmål fra helpdesk.

Situasjonsrapport fra Telenor SOC - mai 2024

2024-06-07T11:06:00.000+02:00

Alvorlige hendelser
I mai håndterte TSOC 21 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 22 i april.

Denne måneden ble en av våre kunder forsøkt lurt ved hjelp av en e-post. Denne var spoofet til å se ut som om den kom fra en av de ansatte og ble sendt til HR-avdelingen, med en forespørsel om å endre kontonummeret for utbetaling av lønn. Saksbehandleren endret kontonummeret og svarte bekreftende tilbake at alt var i orden. Like etter fikk imidlertid saksbehandleren en dårlig følelse og varslet CSO (Chief Security Officer) i bedriften om mistanken. Etter nærmere undersøkelser ble det bekreftet at dette var et svindelforsøk, og kontonummeret ble endret tilbake før noen utbetalinger ble foretatt.

Saken viser viktigheten ved å ha en god sikkerhetskultur med oppmerksomme ansatte, samt en klar rapporteringsvei ved mistenkelige hendelser. For å unngå spoofede eposter er det også viktig å ha kontroll på epost-standarder som kan hindre spoofing, som SPF, DKIM og DMARC. Det kan også være lurt at de ansatte selv kan oppdatere sine relevante opplysninger i HR-systemet. Her er det imidlertid en forutsetning at innloggingssystemet er tilstrekkelig sikret, f.eks. med sterk 2FA-innlogging, at systemet kun kan brukes fra bedriftens nettverk osv.

DDoS-angrep
Det var 151 bekreftede DDoS-angrep denne måneden, ned fra 155 i april. 90 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 7 Gbps og varte i 31 minutter. Det største angrepet observert i denne perioden var på 146 Gbps og varte i 17 minutter. Tre av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
De siste årene har avanserte aktører tatt i bruk såkalte "ORB-nettverk" (Operational Relay Box Networks) for å skjule hvor deres angrepstrafikk kommer fra. Dette er proxy-nettverk som er bygget opp av kompromitterte servere og hjemmeroutere, leide virtuelle servere i skyen og andre enheter. Angriperne bruker disse enhetene til å sende trafikk ut på nettet og kan dermed bytte IP-adresser ofte. IoCer (Indicators of Compromise) som forholder seg til IP-adresser blir dermed mindre nyttige for attribusjon av angrep. Det er egne aktører som vedlikeholder og selger tilgang til disse nettverkene.

Det amerikanske selskapet Change Healthcare ble rammet av ransomware i februar 2024. I forbindelse med en høring har det nå kommet fram flere detaljer rundt hendelsen. Den startet med at en ansatt den 8. februar ble utsatt for skadevare som kopierer ut sensitiv informasjon fra en PC, blant annet brukernavn og passord til selskapets Citrix-plattform. Trusselaktøren kunne så enkelt logge på bedriftens systemer, siden MFA ikke var i bruk. Aktøren var aktiv i det interne nettverket i rundt 10 dager før kryptering av systemene startet. Change Healthcare betalte $22 millioner til trusselaktøren BlackCat for å unngå at gruppen skulle lekke personlige data tilhørende bedriftens kunder, samt låse opp interne systemer.

Angripere utnytter Microsofts Quick Assist-applikasjon for å utføre angrep ved hjelp av sosial manipulering, hvor angriperne gir seg ut for å være kjente kontakter for å få tilgang til offerets enhet og distribuere Black Basta-ransomware. Angrepskjeden involverer phishing via telefon for å få offeret til å installere fjernovervåkingsverktøy, etterfulgt av distribusjon av skadelig programvare som QakBot og Cobalt Strike, før Black Basta-ransomware aktiveres. Microsoft advarer brukere om muligheten for denne typen “tech support”-svindel og oppfordrer organisasjoner til å blokkere eller avinstallere dette og lignende verktøy, samt å trene ansatte i å gjenkjenne slike angrep.

En høytstående ansatt i FBI opplyste under en sikkerhetskonferanse at den finansielt motiverte trusselaktøren Scattered Spider består av rundt 1000 personer, hovedsakelig yngre medlemmer som ofte ikke kjenner hverandre direkte. Gruppen er også kjent som Oktapus og "UNC3944", og har stått bak profilerte angrep mot MBM Resorts og Okta. De fleste av medlemmene kommer fra UK og USA. FBI regner aktøren som én av topp tre aktører, sammen med Kina og Russland. Sosial manipulering benyttes ofte som initiell tilgang til organisasjoner, gjerne over telefon.

De siste månedene har hacktivister med knytning til Russland angrepet flere OT (Operasjonell Teknologi)-systemer i vestlige land, eksempelvis vannverk og demninger. Angrepsteknikkene er enkle og har så langt ikke hatt alvorlige konsekvenser. Som oftest blir systemene kompromittert gjennom dårlig sikrede VNC-servere for fjerninnlogging. Amerikanske CISA (Cybersecurity and Infrastructure Security Agency) anbefaler eiere av OT-systemer å sette seg inn i trusselen og gjennomføre deres anbefalinger for å stoppe denne typen angrep.

En internasjonal operasjon koordinert av Europol kalt “Operation Endgame” har tatt ned flere kjente botnet, samt skadevare-familier forbundet med disse, inkludert IcedID, SystemBC, Pikabot, Smokeloader, Bumblebee og Trickbot. Dette er såkalt "dropper-malware", som er den første malwaren som blir installert på et system etter kompromittering. Bakmennene kan så kontrollere det infiserte systemet, hente ut informasjon og installere mer skadevare. Fire personer er arrestert og over 100 servere er tatt ned. Dette er den største aksjonen mot botnets noensinne, som er mye brukt i forbindelse med ransomware-angrep.

Situasjonsrapport fra Telenor SOC - april 2024

2024-05-08T20:11:00.000+02:00

Alvorlige hendelser
I april håndterte TSOC 22 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, det samme antallet som i mars. Denne måneden oppdaget vi bruk av verktøyene SharpHound og BloodHound hos én av våre kunder. Førstnevnte er laget for å samle inn data fra en domenekontroller (Active Directory) for å få oversikt over brukere med utvidete rettigheter, objekter satt opp med feil rettigheter osv. Verktøyet BloodHound brukes deretter for å analysere de innsamlede dataene i et grafisk grensesnitt, slik at det blir enklere for en angriper å finne forskjellige måter å utvide rettighetene sine på i nettverket som angripes. Det viste seg heldigvis at verktøyene ble brukt i forbindelse med en sikkerhetstest, noe som nesten alltid er tilfellet med denne typen verktøy. Selv om vi mistenker at bruken er en test, varsler vi uansett kunden så fort som mulig for å få en sikker avklaring. Disse og beslektede verktøy brukes typisk etter at en angriper har fått et initielt fotfeste i et nettverk for videre kartlegging og utnyttelse.

DDoS-angrep
Det var 155 bekreftede DDoS-angrep denne måneden, opp fra 130 i mars. 98 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 10.1 Gbps og varte i 37 minutter. Det største angrepet observert i denne perioden var på 190 Gbps og varte i 8 minutter. Seks av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Palo Alto Networks meldte 12. april om en kritisk sårbarhet i GlobalProtect-funksjonaliteten i PAN-OS programvaren, med alvorlighets-score (CVSS) på 10 av 10 mulige. Svakheten ble oppdaget 10. april og ble utnyttet av en sofistikert trusselaktør. Den lar angripere injisere kommandoer og dermed kjøre vilkårlig kode på brannmuren med administrator-privilegier. En oppdatering for svakheten ble gitt ut to dager senere. Utnyttelseskode for svakheten ble offentlig tilgjengelig 16. april. Utover i måneden ble det meldt om flere trusselaktører som utnyttet svakheten. Brukere av denne typen brannmur bør sjekke for kompromittering, dersom den har vært eksponert mot Internett før patchen ble installert.

24. april meldte Cisco at en avansert trusselaktør utnyttet flere nulldagssårbarheter i Cisco ASA VPN i kritisk infrastruktur. Kampanjen har pågått siden november 2023. Initiell inngangsvektor i kampanjen er så langt ukjent, men kan i mange tilfeller skyldes vellykket gjetting av passord mot enheten. Sårbarhetene som omtales av Cisco krever enten autentisering for å utnyttes eller tillater ellers tjenestenekt. Cisco publiserte sikkerhetsoppdateringer som adresserte sårbarhetene. I forbindelse med svakheten kom Nasjonal Sikkerhetsmyndighet (NSM) med flere forslag til tiltak, spesielt for samfunnsviktige virksomheter.

Cisco Talos advarer i en bloggpost om storskala innloggingsforsøk mot VPN- og SSH-tjenester som er tilgjengelig fra Internet. Angrepene har tiltatt i det siste og utnytter ofte benyttede brukernavn og passord. Innloggingsforsøkene kommer gjerne fra VPN-endepunkter eller TOR exit-noder. Typiske angrepsmål er: Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek og Ubiquiti. Vi anbefaler å sjekke for standard-kontoer på systemer, slå på MFA og benytte sertifikat-basert innlogging dersom mulig.

Apple har varslet brukere av deres produkter i 92 land om at de har vært utsatt for angrep via avansert overvåkingsprogramvare. Denne typen programvare blir typisk brukt av nasjonalstater for å bekjempe terrorisme og overvåke kriminelle, men mange bruker det også for overvåking av journalister, opposisjonen osv. Det mest kjente firmaet som leverer denne typen tjenester er israelske NSO Group med systemet "Pegasus". Det er ukjent hvem som står bak denne siste bølgen med angrep. Personer som står i fare for å rammes av denne typen angrep anbefales å slå på "Lockdown Mode" på sin Apple-enhet. Denne gjør enheten sikrere, mot noe tap i funksjonalitet.

Malwarebytes har skrevet en bloggpost om en pågående kampanje som forsøker å levere skadevare til systemadministratorer. Ved søk på populære programmer som PuTTy og FileZilla, dukker det opp annonser i toppen av søkeresultatet som fører til nedlasting av skadevare av typen Nitrogen. Denne brukes for initiell tilgang til kompromitterte systemer, og etterfølges gjerne av tyveri av informasjon eller installasjon av ransomware. Annonsene har blitt rapportert til Google, men kampanjen fortsetter. Vi anbefaler å sjekke nøye hvilke sider en laster ned programvare fra og sjekke installasjonsfiler før de kjøres. Sponsede søkeresultater bør unngås ved søk på programvare!

Netcraft har sett nærmere på phishing-tjenesten Darcula. Tjenesten støtter ikke bare SMS, men også iMessage mot iPhones og RCS mot Android-telefoner. Bruken av disse krypterte tjenestene kan inngi økt tillit hos mottakeren. De gjør det også umulig for mobilleverandøren å filtrere ut spam, siden meldingene ikke kan leses av leverandøren. I de siste månedene har phishing via iMessage og RCS rammet også norske brukere.

Google har gjennomgått alle kjente zero-day svakheter som ble brukt i 2023. I fjor ble det oppdaget 97 nye zero-days totalt, en økning på over 50% fra 2022. I fjor var det en økning i svakheter som rettet seg mot tredjeparts-komponenter og kode-biblioteker. Gjennom å kompromittere deler av forsyningskjeden, kan trusselaktørene ofte utnytte flere systemer som inkluderer dem. De to største gruppene som benyttet seg av ferske svakheter var kommersielle leverandører av overvåkingsprogramvare og spionasje-relaterte aktører. På tredjeplass kom finansielt motiverte aktører.

Etter innlogging på nettsteder opprettes det typisk en sesjonsnøkkel lagret i en cookie/informasjonskapsel for å holde brukeren innlogget. I forbindelse med malware og phishing blir disse gjerne stjålet, og angriperen kan deretter misbruke disse fritt fra andre PCer for å bli innlogget som offeret. Google introduserer nå en ny funksjon i Chrome som binder sesjonsnøkkelen opp mot den fysiske PCen til brukeren. Dette gjøres ved å opprette et offentlig/privat krypto-nøkkelpar der den private delen lagres i PCens TPM-chip (Trusted Platform Module). Stjålne sesjonsnøkler vil bli ubrukelige uten den private nøkkelen som er lagret i TPM. Funksjonen er foreløpig i test, men kan slås på manuelt.

Situasjonsrapport fra Telenor SOC - mars 2024

2024-04-08T10:25:00.003+02:00

Alvorlige hendelser
I mars håndterte TSOC 22 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 24 i februar. Denne måneden så vi blant annet at brukere blir lurt til å laste ned skadelig programvare etter å ha foretatt Google-søk etter legitim programvare. De øverste treffene i søkemotorene er ofte sponsede søkeresultater, altså annonser knyttet opp mot bestemte søkeord. Disse resultatene fører ofte til nettsider som er kopier av de ekte sidene. Når brukeren laster ned programvaren, er den pakket sammen med malware. Ved installasjon av programvaren, blir malware installert sammen med programvaren som brukeren har søkt etter. Installasjonen ble i dette tilfellet heldigvis oppdaget av sikkerhetsprogramvare på PCen som ble rammet og rapportert, slik at PCen raskt ble ryddet. Vi anbefaler at PCer konfigureres slik at brukerne kun kan installere forhåndsgodkjent programvare. Risikoen er ellers stor for at PCer kan rammes av malware som informasjonsstjelere, ransomware, programvare for krypto-utvinning osv.

DDoS-angrep
Det var 130 bekreftede DDoS-angrep denne måneden, opp fra 127 i februar. 87 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 4.2 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 72 Gbps og varte i 11 minutter. Syv av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Den største saken denne måneden var et avansert forsyningskjede-angrep, som fikk mye oppmerksomhet gjennom påsken. En trusselaktør har i over to år jobbet målrettet med å få lagt til en bakdør i Linux-distribusjoner, gjennom et komprimeringsbibliotek kalt “xz”. Aktøren manipulerte til seg kontrollen over kildekoden til biblioteket og la til kode for å implementere en avansert og godt skjult bakdør. Denne gjorde det mulig å logge inn via ssh (fjerninnlogging) på sårbare systemer, ved å benytte seg av en spesiell krypteringsnøkkel. Operasjonen ble heldigvis oppdaget av en Microsoft-ansatt på grunn av at login noen ganger feilet, samt at den tok rundt et halvt sekund mer tid enn vanlig. Så langt ser det ikke ut til at bakdøren kom inn i noen mye brukte Linux-varianter, men det var bare snakk om uker før de store Linux-distribusjonene hadde oppdatert til en versjon med bakdøren inkludert. Aktøren har også manipulert andre prosjekter for å gjøre det vanskeligere å oppdage bakdøren. Mange prosjekter basert på åpen kildekode foretar nå gjennomganger for å se etter lignende operasjoner.

Microsoft meldte i januar at hackere med tilknytning til Russland (Midnight Blizzard/Nobelium/APT-29) hadde klart å oppnå tilgang til deres interne systemer og kundedata ved hjelp av en service-konto uten MFA (Multi-Faktor Autentisering) aktivert. Fredag 8. mars, opplyste Microsoft at angriperne fikk tak i tilgangsnøkler, passord og andre hemmeligheter i forbindelse med innbruddet. Noen av disse ble delt i eposter mellom Microsoft og kunder, og har siden blitt eksfiltrert av trusselaktøren i angrepene. Tilgangsnøklene har videre blitt brukt for å få tilgang til intern kildekode, interne systemer og også kundedata. Angriperne har fortsatt sine angrep, med blant annet forsøk på å gjette riktige passord til kontoer. Microsoft opplyser at ingen systemer som brukes av deres kunder så langt har blitt kompromittert. Selskapet har også tatt kontakt med kunder som har blitt kompromittert i forbindelse med angrepene.

Biden-administrasjonen melder at de vil vurdere trusler mot nasjonal sikkerhet på grunn av sensorer i stadig mer avanserte biler. Biler produsert i utlandet kan brukes til å spore kundene, kartlegge sensitive objekter, ta opp lyd/film osv. Noen biler har også LIDAR-teknologi som kan lage detaljerte 3D-kart av områder de kjører i. Administrasjonen ser også på trusler rundt at bilene kan slås av for å lamme trafikken. Det har tidligere blitt meldt at amerikanske Tesla-biler ikke tillates i nærheten av mange statlige kinesiske kontorer.

NCSC (National Cyber Security Centre) i Sveits har sluppet en rapport etter at leverandøren Xplain ble utsatt for et ransomware-angrep fra gruppen "Play" i mai 2023. I juni 2023 ble det sluppet store mengder informasjon som var stjålet fra leverandøren, etter at løsepenger ikke ble betalt. Av rundt 1.3 millioner lekkede filer var omtrent 65.000 dokumenter tilhørende en rekke myndighetsorganer. Rundt 5000 av dokumentene inneholdt sensitiv informasjon som personopplysninger, tekniske opplysninger, gradert informasjon osv.

Et forholdsvis nytt phishing-verktøy kalt "Tycoon 2FA" har i den siste tiden blitt mer populært. Verktøyet leveres som en tjeneste av utgiverne, og det krever dermed lite teknisk kunnskap å bruke det. Verktøyet benytter seg av en falsk web-server som står mellom offeret og tjenesten det egentlig blir forsøkt logget inn på, såkalt MitM-angrep (Machine in the Middle). Dette gjør at sesjonsnøkler (cookies) og engangskoder brukt i forbindelse med MFA, kan kopieres ut av angriperne. Det beste tiltaket for å forsvare seg mot denne typen angrep er å implementere phishing-resistent autentisering, som Yubikeys, passnøkler, sertifikater osv. Det kan også hjelpe å stramme inn på reglene for “conditional access” for innlogging.

Google sin Chrome nettleser har lenge hatt innebygget beskyttelse mot phishing, svindel og skadevare gjennom "Safe Browsing"-systemet. Dette fungerer ved at nettleseren en til to ganger i timen laster ned en ny liste over "blokkerte" sider fra Google. Nå vil Google lansere en forbedret versjon, der spørringene gjøres i sanntid, i motsetning til dagens periodiske oppdateringer. Dette tvinger seg frem, siden phishing-sidene får kortere og kortere levetid for å unngå blokkering. Systemet skal være implementert på en slik måte at Google ikke har mulighet til å knytte spørringene mot enkeltpersoner, ved hjelp av hashing og miksing av spørringer.

Sikkerhetsforskere har oppdaget en svakhet de kaller "Unsaflok" i låser brukt i over 3 millioner hotelldører i 131 land. Svakheten ligger i låsesystemet “Saflok” som igjen brukes av mange leverandører. Svakheten lar seg utnytte ved å lage et spesielt utformet nøkkelkort, som vil fungere som en universal-nøkkel. Berørte hoteller begynte å oppgradere låser i 2023, men fortsatt er det mange som ikke oppgradert. Forskerne bak oppdagelsen har gitt ut en app til iOS og Android som i visse tilfeller kan påvise et nøkkelkort som er programmert til å brukes mot en sårbar lås.

Situasjonsrapport fra Telenor SOC - februar 2024

2024-03-08T09:30:00.001+01:00

Alvorlige hendelser
I februar håndterte TSOC 24 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, ned fra 45 i januar. Denne måneden oppdaget vi at en av våre kunder tillot trafikk over SMB-protokollen ut fra sitt nettverk mot Internet. SMB står for “Server Message Block”, og er en Windows-protokoll, opprinnelig fra 1983, for utveksling av filer, printer-utskrifter osv. Protokollen brukes normalt kun internt i bedrifters nettverk, men noen glemmer å sperre for denne i brannmuren mot Internett. Ved flere tilfeller har svakheter ført til at protokollen kan misbrukes, nå sist denne måneden. Microsoft patchet en svakhet (CVE-2024-21413) i Outlook, som kunne føre til lekkasje av brukernavn og kryptert passord over SMB-protokollen og ut mot angripere på Internett. Svakheten blir utnyttet ved å lure offeret til å trykke på en lenke, f.eks. i en e-post. Denne typen svakheter har dukket opp ved flere tilfeller de siste årene. Vi anbefaler derfor å blokkere all SMB-trafikk mellom det interne nettverket og Internett i brannmuren.

DDoS-angrep
Det var 127 bekreftede DDoS-angrep denne måneden, ned fra 166 i januar. 79 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 4.6 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 86 Gbps og varte i én time. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Det amerikanske justisdepartementet meldte at de hadde tatt ned et botnett som i stor grad er bygget opp av kompromitterte hjemmeroutere fra Cisco og Netgear. Det skal være den kineiske trusselaktøren Volt Typhoon som stod bak operasjonen. Botnettet har blitt brukt til å kartlegge og kompromittere kritisk infrastruktur i USA. Ved å bruke botnettet som et proxy-nettverk, har angriperne kunnet sende angrepstrafikken ut fra routere i nærheten av angrepsmålet. Dette gjør at trafikken er lettere å gjemme i lokal legitim nettverkstrafikk. Senere i måneden meldte også FBI at de hadde tatt ned et lignende botnett brukt av APT 28/Fancy Bear, bestående av Ubiquiti Edge OS-routere. Routerne var før kompromittering eksponert mot Internet med standard-passord satt av produsenten. Norske PST var også med i denne aksjonen ved å ta kontakt med eierne av rundft ti kompromitterte routere i Norge for å få tettet svakheten.

Ofre for ransomware betalte over 1 milliard USD til ransomware-bandene i 2023. Dette er nesten en dobling i forhold til 2022, som virker å være et unntaksår. Tallene er hentet fra analyse-selskapet Chainalysis, som sporer blokkjede-betalinger for både myndigheter og private. 2023 var preget av mange høye utbetalinger, spesielt etter de omfattende angrepene mot organisasjoner som benyttet seg av MOVEit-programvaren for filoverføringer.

Internasjonale politistyrker hacket seg inn i infrastrukturen til ransomware-gjengen Lockbit. Europol arresterte siden tre mistenkte i Polen og Ukraina. Flere russiske bakmenn ble også etterlyst. Amerikanske myndigheter har utlovet en dusør på $15 millioner USD for opplysninger som kan føre til arrestasjon av lederne av banden. Dekrypteringsnøkler for flere hundre ofre er også tllgjengelig. Den siste utviklingen i saken er at fildelings-tjenesten Mega og epost-tjenestene Tutanota og Protonmail har stengt ned 14.000 kontoer i forbindelse med aksjonen. Kontoene ble identifisert brukt av Lockbit eller deres underleverandører, eller i forbindelse med andre ransomware-operasjoner. Etter aksjonen har Lockbit etter hvert bygget opp igjen infrastrukturen sin og også meldt om nye ofre på nettsider på nye adresser kompromittert ved hjelp av en ny versjon av sin ransomware.

Microsoft og OpenAI har avdekket at flere trusselaktører fra Kina, Russland, Iran og Nord-Korea har benyttet seg av AI-verktøyet ChatGPT i varierende grad. Bruken har blitt analysert og kontoene har blitt sperret. Foreløpig ser det ikke ut til at aktørene benytter de nye verktøyene i vesentlig grad eller på en automatisert måte. Eksempler på bruk som har blitt avdekket så langt er: Finne informasjon om firmaer og sikkerhetsverktøy, fjerne bugs i og generere kode, generering av scripts, produksjon av innhold til phishing-eposter, oversette tekniske dokumenter osv. OpenAI opplyser at de har slettet flere kontoer etter sine undersøkelser.

Cloudflare opplyser at de har vært utsatt for et datainnbrudd, mest sannsynlig fra en statlig aktør, i perioden mellom 14. og 24. november. Aktøren benyttet seg av innloggingsdetaljer de først hadde stjålet i et tidligere innbrudd mot Okta, én tilgangsnøkkel og tre brukernavn/passord til Cloudflares AWS-konto, Atlassian Bitbucket, Moveworks og Smartsheet. Angriperne fikk tilgang til intern dokumentasjon og kildekode. Etter innbruddet har Cloudflare nullstilt over 5000 tilganger, gjennomført bedre fysisk segmentering mellom test- og produksjonsnettverket, gjennomsøkt 4893 systemer etter tegn på innbrudd og kjørt omstart på alle servere.

Google har gitt ut en detaljert rapport om den kommersielle overvåkingsindustrien og hvilke konsekvenser den har for ytringsfriheten og pressefriheten. Denne industrien benytter seg av store mengder ferske svakheter for å bryte seg inn i mobiltelefoner og PCer og overvåke brukerne. Egentlig er meningen at produktene skal brukes av myndighetene for å overvåke kriminelle og hindre terrorisme, men mange stater benytter også verktøyet for å overvåke regimemotstandere, journalister og opposisjonen. 80% av de nye svakhetene Google oppdaget i bruk i 2023 ble først brukt av aktører i denne industrien, som NSO Group, Cy4Gate, Intellexa og Negg Group. Google følger rundt 40 produsenter av overvåkingsprogramvare.

Internasjonale politimyndigheter annonserte 1. februar at de hadde arrestert 31 cyberkriminelle og har identifisert 1300 servere som har vært brukt til å utføre phishing-angrep og distribuere skadevare. Operasjonen pågikk fra september til november 2023 og har fått navnet "Synergia". Over 60 politi-organisasjoner fra forskjellige land deltok. Operasjonen ble utført som et svar på globaliseringen og profesjonaliseringen innenfor cyberkriminalitet.

Situasjonsrapport fra Telenor SOC - januar 2024

2024-02-07T11:56:00.005+01:00

Alvorlige hendelser
I januar håndterte TSOC 45 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 32 i desember. Denne måneden var det mye oppmerksomhet rundt ransomware-gruppen Akira på SOC, etter flere angrep mot nordiske mål i det siste. Denne gruppen bruker ofte bedrifters VPN-forbindelser som inngangsvektor. Dette er tjenester som gjerne eksponeres ut offentlig og kan utnyttes både gjennom passord-spraying (vanlige passord brukt mot store mengder kontoer) og svakheter. Det er viktig å holde VPN-utstyr oppdatert med patcher, MFA-autentisering bør være slått på og det kan være fornuftig å vurdere å kun tillate innlogging fra forhåndsgodkjente IP-adresser eller nettverk.

DDoS-angrep
Det var 166 bekreftede DDoS-angrep denne måneden, opp fra 144 i desember. 97 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8 Gbps og varte i 21 minutter. Det største angrepet observert i denne perioden var på 149 Gbps og varte i 7 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.

Nyhetsoppsummering
Sikkerhetsselskapet Volexity meldte 10. januar at de hadde oppdaget at to ferske svakheter i Ivanti Connect Secure VPN (tidligere Pulse Secure) ble utnyttet aktivt i angrep, trolig siden starten av desember. Svakhetene ble utnyttet etter hverandre for å kunne kjøre vilkårlig kode på en sårbar server, uten å måtte autentisere seg. Etter å ha tatt seg inn på enheten, endret trusselaktøren konfigurasjonen for å slå på tastatur-logging, lagre passord og åpne for fjernadministrasjon. Tilgangen ble også typisk benyttet for å få videre tilgang inn i interne nettverk. Volexity meldte at det i starten var en trusselaktør med kinesisk tilknytning som utnyttet svakhetene. Etter hvert begynte også andre aktører å benytte seg av svakhetene, og det ble rapportert at minst 1700 VPN-enheter ble kompromittert. Ivanti ga først ut instruksjoner for hvordan kundene kunne konfigurere VPN-enhetene for å unngå at de ble utnyttet. Patcher for svakhetene ble først levert 31. januar.

Microsoft oppdaget den 12. januar at en aktør med tilknytning til den russiske stat hadde tilgang til deres interne systemer. Microsoft kaller aktøren for Midnight Blizzard, men den er også kjent som Nobelium, APT29 og Cozy Bear. Aktøren knyttes til den russiske Utenriksetterretningstjenesten SVR. Microsoft avdekket at aktøren først fikk tilgang til deres systemer i november 2023, ved hjelp av et passord-spray angrep, der mye brukte passord blir prøvd mot en rekke kontoer. Aktøren fikk på denne måten tilgang til en konto i en test-tenant, hvor de senere fikk utvidet sine tilganger. Disse ble brukt til å lese interne epost-kontoer i Microsoft, blant annet kontoene til ledelsen. Microsoft mener at aktøren blant annet hadde som mål å finne ut hva slags informasjon Microsoft hadde om aktøren selv. Etter hendelsen har Microsoft lovet å innføre nye tiltak for å øke sikkerheten.

Senere i måneden meldte også Hewlett Packard Enterprise (HPE) at de hadde vært utsatt for datainnbrudd fra den samme trusselaktøren, som hadde hatt tilgang til deres skybaserte epost-systemer siden mai 2023. HPE undersøker fortsatt innbruddet og tror at det kan skyldes at trusselaktøren tidlig i 2023 fikk tilgang til filer i deres Sharepoint-server.

Natten mellom 19. og 20. januar ble et av Tietoevrys datasentre i Sverige rammet av ransomware-angrep og noen av deres systemer gikk ned. Hendelsen var isolert til kun den svenske delen av Tietoevry og deres kunder. Selskapet meldte etter hvert at det var rasomware-gruppen Akira som stod bak angrepet. Den 29. januar meldte selskapet at flere kundesystemer var gjenopprettet, men at gjenoppretting for noen kunder med avanserte oppsett fortsatt pågikk.

Orange Spain opplevde internett-avbrudd etter at en angriper brøt seg inn i selskapets RIPE-konto. Angriperen feilkonfigurerte med overlegg BGP-ruting og RPKI-konfigurasjonen, noe som resulterte i ytelsesproblemer i Orange Spain sitt nettverk og påvirket surfingen for noen kunder. Ifølge Cloudflare førte angrepet til omdirigering av trafikk til ondsinnede nettsteder. Angrepet ble utført av en trusselaktør kjent som 'Snow'. Orange Spain forsikret etter hendelsen at kundedata ikke ble kompromittert, og tjenesten kom raskt tilbake igjen. Årsaken til bruddet ble knyttet til fravær av tofaktorautentisering på RIPE-kontoen til selskapet.

En person ble arrestert i Ukraina i januar for å ha opprettet og brukt 1 million virtuelle servere for å utvinne kryptovaluta, noe som resulterte i en gevinst på over 2 millioner USD. Tilgangen til serverne blir skaffet gjennom å hacke seg inn i bedrifters kontoer og så opprette serverne gjennom deres kontoer. For å forsvare seg mot denne typen angrep er det viktig med god kontroll på tilganger og overvåking av egen ressursbruk i skytjenester.

To sykehus i USA har i det siste blitt rammet av ransomware-angrep og angriperne har stjålet store mengder sensitive pasientdata. Noen av pasientene mottar nå trusler direkte fra ransomware-banden der de truer med å offentliggjøre personlige detaljer eller å utføre "swatting"-angrep mot dem. Pasientene blir oppfordret av angriperne til å prøve å overbevise sykehuset om å betale løsepengene. "Swatting" er relativt utbredt i USA og går ut på å ringe politiets nødtelefon og si at det foregår en gissel-situasjon eller lignende, og videre oppgi adressen til offeret til politiet. Politiet vil da ofte møte opp tungt bevæpnet hos offeret og farlige situasjoner kan oppstå.