2018.02.28 - Nyhetsbrev

Memcached utnyttes til å utføre store DDoS angrep

Memcached utnyttes til å utføre store DDoS angrep

Memcached, en cache-tjeneste som blant annet blir brukt for å øke responshastigheten til dynamiske web-applikasjoner, blir tatt i bruk for å utføre DDoS angrep. Tjenesten er ikke ment å være installert på Internett-vendte systemer siden den ikke ikke har adgangskontroll. En forespørsel om statistikk sendt til en slik tjeneste kan resultere i svar som har en størrelse på 1500 bytes til flere hundre kilobytes. Disse svarene kan utnyttes til å utføre DDoS angrep. Qrator Labs mener de har sett angrep som har nådd 500Gbps. Akamai melder om at det er rundt 50 000 slike tjenester som er tilgjengelig på Internett. Trafikken som blir sendt fra disse tjeneste kommer på UDP port 11211.
Referanser
https://www.theregister.co.uk/2018/02/28/memc[...] https://blogs.akamai.com/2018/02/memcached-ud[...]

2018.02.27 - Nyhetsbrev

Russiske myndigheter mistenkes for å ha kompromittert flere systemer under OL.

Russiske myndigheter mistenkes for å ha kompromittert flere systemer under OL

Ifølge amerikanske myndigheter kompromitterte Russisk etterretning flere systemer under OL i Sør-Korea. Det mistenkes at flere rutere og datamaskiner var under kontroll av angriperne. Det er uklart hvorvidt dette hadde sammenheng med forstyrrelsene under åpningseremonien. Det ble også lagt igjen spor som pekte på Nord-Korea, selv om dette ikke var tilfelle.
Referanser
https://www.washingtonpost.com/world/national[...]

2018.02.26 - Nyhetsbrev

Spillselskap la ved skadevare i oppdatering.

Spillselskap la ved skadevare i oppdatering.

Spillselskapet Flight Sim Labs, som lager flymaskiner til flysimulatorer la med vilje inn skadevare i sin siste versjon av Airbus A320-fly til Prepar3d simulatoren. Skadevaren hadde som formål å hente ut de lagrede passordene i Google Chrome. Flight Sim Labs-sjef Lefteris Kalamaras bekreftet at verktøyet var lagt til i utvidelsen, men at det var kun i piratkopierte versjoner det ble brukt. Formålet var i følge Flight Sim Labs å følge én spesifikk bruker mistenkt for å spre piratnøkler. Selskapet har i etterkant beklaget fremgangsmåten og også tilbudt refusjon til betalende kunder av pengene til utvidelsen.
Referanser
https://www.tek.no/artikler/spillselskap-inst[...]

2018.02.23 - Nyhetsbrev

Nettbank-trojaneren Red Alert aktiv i Danmark. Bug i NPM endrer eierskap på system kataloger. OpenBSD med oppdatering for Meltdown. LA Times nettsted misbrukt til å sanke kryptovaluta.

NPM med bug som endrer eierskap for linux system kataloger

En bug i siste oppdatering av NPM (v5.7.0) fører til at NPM endrer eierskap på viktige kataloger som /boot og /etc. Problemet er rettet i siste versjon 5.7.1.
Referanser
https://www.bleepingcomputer.com/news/linux/b[...]

OpenBSD med Meltdown oppdatering

OpenBSD benytter seg av lignende prosedyre som Linux hvor man veksler mellom frames inn og ut av kernel og userspace.
Referanser
https://www.theregister.co.uk/2018/02/23/open[...]

LA Times nettsted misbrukt til å sanke kryptovaluta

Programvare utviklet for å utvinne kryptovaluta er funnet på nettavisen til Los Angeles Times. Løsningen er utviklet av Coinhive og brukes til å samle inn Monero. Etter funnet på onsdag ble den raskt fjernet. Svakheten kom fra en dårlig konfigurert Amazon AWS S3 storage bucket.
Referanser
https://threatpost.com/cryptojacking-attack-f[...]

Nettbank-trojaneren Red Alert aktiv i Danmark

Danske CSIS skriver om den Android-baserte trojaneren Red Alert. Denne trojaneren retter seg mot nettbanker og kredittkort-informasjon. Bare i løpet av februar har over 600 dansker blitt lurt til å installere denne. Norge kan bli et av de neste målene. Husk å aldri installere Android-applikasjoner fra ukjente kilder!
Referanser
https://csis.dk/newsroom-blog-overview/2018/m[...]

2018.02.22 - Nyhetsbrev

Ny mikrokode for å mitigere Spectre-svakheten utgitt av Intel.

Ny mikrokode for å mitigere Spectre-svakheten utgitt av Intel

Intel prøver igjen å patche Spectre-svakheten, i form av mikrokode til deres 6., 7. og 8. generasjons Intel Core prosessorer. Vi krysser fingre for at de fungerer denne gang!
Referanser
https://threatpost.com/intel-issues-updated-s[...] https://betanews.com/2018/02/21/intel-spectre[...]

2018.02.21 - Nyhetsbrev

Teslas servere drev med crypto-mining etter angrep. 90% av alle eksterne kodeeksekveringsangrep brukes til crypto-mining. Aktør fra Nord-Korea vokser og er mer aktiv enn tidligere. Flere alvorlige feil i uTorrent.

Tesla utsatt for innbrudd for å utvinne krypto-valuta

Tesla er siste navn på listen over bedrifter som har fått sine leide skytjenester/servere tatt over av uvedkommende, pga. lav eller ingen sikkerhet. Og som trenden er for tiden, har de uvedkommende brukt disse serverne til å utvinne kryptovalutaer.
Referanser
https://arstechnica.com/information-technolog[...] https://blog.redlock.io/cryptojacking-tesla

Ny aktør fra Nord-Korea vokser og er mer aktiv enn før

FireEye rapporter om en ny aktør fra Nord-Korea, sannsynligvis koblet til regjeringen, som både ekspanderer og er mer aktiv enn før. Tidligere observerte man angrep mot Sør-Korea, men nå har en sett flere angrep mot Japan, Vietnam og Midtøsten. Aktøren er gitt navn som "APT37", "Reaper", "Group123" og "ScarCruft" av forskjellige firmaer.
Referanser
https://www.securityweek.com/north-korean-hac[...]

90% av alle eksterne kodeeksekveringsangrep brukes til crypto-mining

Ny forskning viser at 90% av alle ekstern kodeeksekveringsangrep nå kjører kode for å utnytte den angrepne maskinene til å utvinne krypto-valuta. Dette er en økning fra ca 55% i september 2017. Bruken av ransomware har gått ned.
Referanser
https://www.imperva.com/blog/2018/02/new-rese[...]

Flere alvorlige feil i uTorrent

Google-ansatte Tavis Ormandy i Google Project Zero har oppdaget flere alvorlige feil i BitTorrent-klienten uTorrent. Feilene kan la uvedkommende kjøre fiendtlig kode på maskiner som kjører programvaren. Demonstrasjons-kode for å utnytte svakheten er allerede tilgjengelig. uTorrent er også ute i ny utgave som fikser svakhetene.
Anbefaling
Last ned versjon 3.5.3.44352
Referanser
https://arstechnica.com/information-technolog[...]

2018.02.20 - Nyhetsbrev

Hackere fikk med seg 46,7 millioner fra en russisk bank. Apple fikser Unicode-bug som fikk enheter til å krasje. Google avslører svakhet i Microsoft Edge, før Microsoft er klar med patch.

Hackere fikk med seg millioner fra russisk bank

I fjor ble en russisk bank frastjålet 339,5 millioner rubler, ca 46,7 millioner norske kroner. Det var hacking av en pc til en Swift-operatør som muliggjorde overføringen til en hacker-kontrollert bankkonto. Artikkelen fra Digi nevner også flere andre tilfeller med innbrudd i Swift-systemet.
Referanser
https://www.digi.no/artikler/hackere-fikk-med[...]

Apple fikser Unicode-bug som fikk enheter til å krasje

Den 19. februar slapp Apple fire oppdateringer for forskjellige systemer. Oppdateringene fikser en feil som gjør det mulig å få enheten til å krasje, kun ved å vise en spesiell rekke med Unicode-tegn. Følgende har blitt oppdatert: tvOS 11.2.6, watchOS 4.2.3, iOS 11.2.6 and macOS High Sierra 10.13.3 Supplemental Update.
Referanser
https://support.apple.com/en-us/HT201222

Google avslører svakhet i Edge som Microsoft sliter med å patche

Nok en gang avslører Google en Microsoft-svakhet før Microsoft har en patch klar. Dette er en svakhet som omhandler nettleseren Edge sin måte å kjøre JavaScript på. Hackere kan forutse hvilket minneområde som skal brukes og dermed få injisert kode og få kjørt dette. Microsoft fikk først 90 dager på å fikse problemet, noe de ikke rakk. Deretter fikk de 14 dagers utsettelse og så ble detaljer om svakheten sluppet.
Anbefaling
Bruk alternativ nettleser.
Referanser
https://www.theregister.co.uk/2018/02/20/goog[...]

2018.02.19 - Nyhetsbrev

Gratis ransomware med infrastruktur tilgjengelig på Dark web. USA tiltaler 13 russere for propaganda mot USA i forbindelse med valget.

USA tiltaler 13 russere for propaganda mot USA i forbindelse med valget

På fredag tiltalte USA det russiske Internet Research Agency samt 13 personer involvert i denne virksomheten. Dette er en russisk organisasjon som driver med påvirkningsoperasjoner/propaganda på Internett. Organisasjonen hadde flere falske front-firmaer og hadde et budsjett på flere millioner dollar. De har stjålet mange identiteter og satt opp tusenvis av falske kontoer på sosiale medier, samt kjøpt annonseplass på flere systemer. Hele kampanjen ble satt opp for å sørge for at Trump ble valgt som president fremfor Clinton.
Referanser
https://arstechnica.com/tech-policy/2018/02/s[...] https://www.justice.gov/file/1035477/download https://www.wired.com/story/mueller-indictmen[...]

Gratis ransomware med infrastruktur tilgjengelig på Dark web

McAfee har utført en analyse av en ransomware-as-a-service trussel fra juli 2017. Ransomware-as-a-service modellen brukes av internett-kriminelle for økonomisk gevinst. Nettverket som leverer tjenesten er organiserte og tilbyr infrastruktur for kriminelle som tar dette i bruk. Når en kriminell bruker får penger fra et offer, sendes en liten prosentandel tilbake til koderen som holder tjenesten i gang.
Referanser
https://securingtomorrow.mcafee.com/mcafee-la[...]

2018.02.16 - Nyhetsbrev

Ny måte å utnytte Meltdown og Spectre. Det hvite hus beskylder Russland for å ha stått bak "NotPetya"-angrepet.

Det hvite hus beskylder Russland for å ha stått bak "NotPetya"-angrepet

Nå går også det hvite hus ut og beskylder Russland for å ha stått bak ransomware-angrepet "NotPetya".
Referanser
https://www.wired.com/story/white-house-russi[...]

Ny måte å utnytte Meltdown og Spectre

Ny rapport beskriver en ny måte å utnytte Meltdown og Spectre svakhetene. Software pachene laget for å tette Meltdown og Spectre svakhetene vil sannsynligvis stoppe disse nye utnyttelsene også.
Referanser
http://www.theregister.co.uk/2018/02/14/meltd[...]

2018.02.15 - Nyhetsbrev

Problematisk patching av Spectre-svakheten for Microsoft. Britiske myndigheter beskylder Russland for å ha stått bak "NotPetya"-angrepet i juni 2017.

Problematisk patching av Spectre-svakheten

Microsoft prøver å motvirke Spectre-svakheten ved å få kompilatoren deres til å legge inn instruksjoner som motvirker spekulativ kjøring av kode i visse tilfeller. Det er imidlertid vanskelig å lage logikk som gjør at dette fungerer i alle tilfeller.
Referanser
https://arstechnica.com/gadgets/2018/02/micro[...]

Britiske myndigheter beskylder Russland for å ha stått bak "NotPetya"-angrepet

Britiske myndigheter beskylder offentlig Russland for å ha stått bak ransomware-angrepet "NotPetya". Angrepet fra juni 2017 skal ha vært myntet på Ukrainske myndigheter samt landets finans- og energisektor, men også flere europeiske selskapet ble tildels hardt rammet.
Referanser
http://www.bbc.com/news/uk-politics-43062113

2018.02.14 - Nyhetsbrev

Microsoft tetter 49 svakheter i månedlig sikkerhetsoppdatering. Adobe oppdaterer Acrobat Reader. Flere amerikanske etterretningstjenester advarer amerikanere mot å benytte mobil-produkter og tjenester fra de Kina-baserte produsentene Huawei og ZTE. Android enheter utnyttes for kryptovaluta graving via drive-by-angrep. APT-aktøren "Lazarus" angriper banker og Bitcoin-wallets i ny kampanje.

Microsoft slipper månedlig sikkerhetsoppdatering

Microsoft er ute med sin månedlige sikkerhetsoppdatering. Denne gangen patcher de 49 svakheter, hvorav 14 er å anse som kritiske. Patchene fikser svakheter i følgende produkter: Internet Explorer, Microsoft Edge, Microsoft Windows, Microsoft Office, ChakraCore, Adobe Flash.
Referanser
https://krebsonsecurity.com/2018/02/microsoft[...] https://portal.msrc.microsoft.com/en-us/secur[...] https://www.darkreading.com/vulnerabilities--[...] https://www.symantec.com/blogs/threat-intelli[...]

Adobe oppdaterer Acrobat Reader

Adobe har rettet flere kritiske svakheter i Acrobat Reader og Acrobat. Dette gjelder både Mac og Windows.
Referanser
https://helpx.adobe.com/security/products/acr[...]

APT-aktøren "Lazarus" angriper banker og Bitcoin-brukere i ny kampanje

Bloggpost som tar for seg en ny "kampanje" fra trusselaktøren "Lazarus". Kampanjen retter seg mot banker og finansielle institusjoner, og har denne gangen hatt et spesielt fokus på å stjele Bitcoin-wallets.
Referanser
https://www.darkreading.com/vulnerabilities--[...] https://securingtomorrow.mcafee.com/mcafee-la[...]

Amerikanske etterretningstjenester advarer amerikanere mot å bruke produkter fra Huawei og ZTE

Toppsjefer i flere amerikanske etterretningstjenester, inkl. CIA, FBI og NSA, advarer amerikanere mot å benytte mobil-produkter og tjenester fra de Kina-baserte produsentene Huawei og ZTE. Skepsisen skal bunne i de nevnte produsenters angivelige tette bånd til Kinesiske myndigheter og mulighet for overvåking.
Referanser
https://www.cnbc.com/2018/02/13/chinas-hauwei[...]

Android enheter utnyttes for kryptovaluta-graving

Bloggpost fra malwarebytes der de peker på en økende trend der Android-enheter blir utnyttet av kriminelle til å "grave" etter kryptovalutaen Monero gjennom nettleseren. Aktiviteten skjer både vha. aggressive redirigeringslenker som leder til websider som foretar selve gravingen, samt via falske/infiserte gratis-apps som dirigerer trafikken til de samme mining-sidene.
Referanser
https://blog.malwarebytes.com/threat-analysis[...]

2018.02.12 - Nyhetsbrev

Nettsiden til vinter-OL utsatt for hackerangrep. Populær webtjeneste inneholdt javscript-skadevare brukt til utvinning av kryptovaluta. WiFi-svakhet i Lenovo Thinkpads.

Nettsiden til vinter OL utsatt for hackerangrep

Den offisielle nettsiden til vinter-OL i Pyeongchang ble utsatt for et hackerangrep under fredagens åpningseremoni. Dette bekrefter talspersonen for vinterlekene 2018, Sung Baik-you. Angrepet førte til at de interne serverne for arrangementet gikk ned, og ikke var operative før nærmere 12 timer senere. Det har også blitt rapportert at angrepet skapte problemer for det offentlige Wi-Fi-nettverket. Kommunikasjonssjef for International Olympics Committee (IOC), Mark Adams, sier at det fortsatt er usikkert hvem som står bak angrepet, men at hendelsen er under etterforskning.
Referanser
https://www.cnet.com/news/winter-olympics-pye[...] https://www.theregister.co.uk/2018/02/11/wint[...]

Populær webtjeneste inneholdt javascript-skadevare brukt til utvinning av kryptovaluta

Det ble nylig oppdaget at tjenesten Browsealoud, utgitt av produsenten Texthelp, har inneholdt kode for utvinning kryptovaluta. Tjenesten brukes til oversettelse og opplesning av websider. Den fiendtlige koden skal ha vært en del av en javascript-fil delt via produktets CDN. Texthelp har tatt tak i problemet og tjenesten er stengt midlertidig. Hundrevis av nettsider som benyttet tjenesten ble rammet av problemet.
Referanser
https://www.texthelp.com/en-gb/company/corpor[...] https://scotthelme.co.uk/protect-site-from-cr[...]

WiFi-svakhet i Lenovo Thinkpads

Broadcom-svakheter påvirker 25 Thinkpad modeller. Svakhetene kan føre til uautorisert kontroll over Wifi-chipen. iPhone- og Android-mobiler har også vært rammet av det samme problemet, men de er allerede patchet.
Anbefaling
Lenovo anbefaler sine kunder å oppdatere Wifi-drivere.
Referanser
https://threatpost.com/lenovo-warns-critical-[...]

2018.02.09 - Nyhetsbrev

Hvordan angripere kan omgå 2-Faktor autentisering. Og hvordan gjøre det sikrere. På innsiden av Nord-Koreas cyber regime.

Hvordan angripere kan omgå 2-Faktor autentisering. Og hvordan gjøre det sikrere.

En artikkel publisert av FireEye viser hvordan angriper kan utføre phishing-angrep som omgår 2-faktor autentisering. Metoden, kalt real-time phising, bruker en falsk innloggingside som fanger opp brukernavn, passord og engangspassord. Angriperen har nå et lite tidsrom hvor han kan bruke innloggingsinformasjonen før engangspassordet fornyes.
Referanser
https://www.fireeye.com/blog/threat-research/[...]

På innsiden av Nord-Koreas cyber regime

Bloomberg har en interessant artikkel om cyber regime til Nord-Korea og hvordan livet til menneskene bak arter seg.
Referanser
https://www.bloomberg.com/news/features/2018-[...]

2018.02.08 - Nyhetsbrev

Cisco patcher svakheter i flere produkter. Intel med ny Spectre microkode oppdatering for Skylake-prosessorer.

Cisco patcher svakheter i flere produkter.

Cisco slipper oppdateringer for svakheter i flere produkter. Berørte produkter er: RV132W ADSL2+ Wireless-N VPN Router RV134W VDSL2 Wireless-AC VPN Router Cisco Policy Suite Cisco UCS Central Software Cisco Virtualized Packet Core−Distributed Instance (VPC−DI)
Referanser
https://www.us-cert.gov/ncas/current-activity[...] https://tools.cisco.com/security/center/conte[...]

Intel gir ut ny Spectre microkode oppdatering for Skylake-prosessorer.

Intel gir nå ut en microkode-oppdatering for Skylake-prosessorer. Oppdateringen skal beskytte mot utnyttelse av Spectre-svakheten som ble kjent tidligere i år. Iflg. Intel er microkode-oppdateringer for andre prosessor-arkitekturer fremdeles i beta-testing.
Referanser
https://arstechnica.com/gadgets/2018/02/intel[...]

2018.02.07 - Nyhetsbrev

Luminosity RAT stoppet. Kritiske Adobe Flash Player-oppdateringer. Broadnet bøtlegges 14 millioner for alvorlig sikkerhetssvikt.

Internasjonalt lag stoppet Luminosity hackerverktøy

En internasjonal operasjonstyrke bestående av South West Regional Organised Crime Unit, Engelske National Crime Agency og Europol samt mange andre politi-avdelinger i Europa, Australia og Nord-Amerika har funnet og stoppet kilden til fjerntilgangs hacker-verktøyet Luminosity Link. Verktøyet ble brukt til å sanke data fra systemets filer, kameraet eller tastaturtrykk. Operasjonstyrkens arbeid fant et nettverk av individer som distribuerte og brukte Luminosity i 78 land og solgte det til mer enn 8600 kjøpere via nettsider dedikert til hacking og data-kriminalitet. Verktøyet ble brukt til alt fra industrispionasje til overvåking av ektefeller.
Referanser
https://www.europol.europa.eu/newsroom/news/i[...]

Broadnet bøtelegges med 14 millioner etter håndteringen av nødnettet

Broadnett ilegges et gebyr på 14 millioner kroner etter sikkerhetsproblemene knyttet til nødnettet. Det er NKom som har ilagt gebyret. Det var i vinter det ble avdekket at indiske IT-arbeidere hadde delvis tilgang til systemet.
Referanser
https://www.digi.no/artikler/broadnett-ilegge[...]

Adobe lanserer kritiske oppdateringer for Flash Player

Adobe har sluppet kritiske oppdateringer til Flash Player. Sikkerhetsoppdateringene tetter den aktivt utnyttede 0-day svakheten som ble oppdaget i forrige uke.
Anbefaling
Oppdater berørte systemer snarest.
Referanser
https://helpx.adobe.com/security/products/fla[...] https://blogs.adobe.com/psirt/?p=1522

2018.02.06 - Nyhetsbrev

Cisco gir ut oppdatert sikkerhetsoppdatering til Cisco Adaptive Security Appliance etter å ha oppdaget flere nye svakheter.

Cisco gir ut oppdatert sikkerhetsoppdatering til Cisco Adaptive Security Appliance

Cisco har gitt ut en oppdatert sikkerhetsoppdatering til Cisco Adaptive Security Appliance (ASA). Cisco begrunner oppdateringen med at de har funnet flere nye angrepsvektorer som ikke var dekket av den foregående oppdateringen som ble publisert i forrige uke. Vi minner om at svakhetene er lette å utnytte. Patching anbefales ASAP.
Referanser
https://tools.cisco.com/security/center/conte[...] https://www.cyberscoop.com/cisco-asa-vulnerab[...]

2018.02.02 - Nyhetsbrev

Stort botnet blir brukt for å utvinne kryptovaluta. Svakhet i Adobe Flash Player brukes i angrep mot Sør-Korea.

Stort botnet blir brukt for å utvinne kryptovaluta

Et stort botnet på rundt en halv million maskiner, hoveddelen Windows-server, har blitt oppdaget. Botnettet får infiserte maskiner til å utvinne Monero, en kryptovaluta. Det er antatt at eierne av botnettet har tjent rundt 8900 Monero (mellom 2,8 og 3,5 millioner USD) siden Mai 2017. Botnettet infiserer nye maskiner ved hjelp av EternalBlue-svakheten som ble lekket fra NSA i April i fjor. De fleste maskiner i botnettet er funnet i Russland, India og Taiwan.
Referanser
http://www.zdnet.com/article/a-giant-botnet-i[...]

Svakhet i Adobe Flash Player brukes i angrep mot Sør-Korea

En svakhet i Adobe Flash Player kan tillate ekstern kodeeksekvering. Svakheten skal ha blitt utnyttet i angrep fra november 2017 mot blant annet Sør-Korea. Angrepet gjennomføres ved at det sendes ut Office-dokumenter med ondsinnet Flash-tillegg. Adobe planlegger å fikse svakheten i løpet av neste uke.
Anbefaling
Referanser
https://helpx.adobe.com/security/products/fla[...] https://securityaffairs.co/wordpress/68529/ha[...] http://www.securityweek.com/south-korea-warns[...]

2018.02.01 - Nyhetsbrev

Cisco patcher routere i ASR 9000-serien.

Cisco patcher routere i ASR 9000 serien

Cisco patcher en ipv6 sårbarhet i IOS XR Software Release 5.3.4 for Cisco Aggregation Service Router (ASR) 9000 Serien.
Referanser
https://tools.cisco.com/security/center/conte[...]