Situasjonsrapport - september 2025

Alvorlige hendelser

I september håndterte Telenor Cyberdefence 16 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 17 i forrige periode.

DDoS-angrep
Det var 69 bekreftede DDoS-angrep denne måneden, opp fra 37 i august. 25 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 5,02 Gbps og varte i 16 minutter. Det største angrepet observert i denne perioden var på 59,7 Gbps og varte i 8 minutter. Misbruk av DNS stod for 85% av angrepene.

Nyhetsoppsummering
Amazon Web Services sitt trusselintelligens team har oppdaget og stoppet en vannhulls-kampanje utført av den russiske statssponsede aktøren APT29. Angriperne kompromitterte legitime nettsider og injiserte skjult JavaScript som omdirigerte omtrent 10% av besøkende til ondsinnede domener som etterlignet Cloudflare sider. Hensikten var å lure brukere til å autorisere angriper kontrollerte enheter via Microsofts enhetskode autentisering. Kampanjen benyttet teknikker som Base64 koding, tilfeldig omdirigering, bruk av cookies for å unngå gjentatt omdirigering, samt hurtig bytte av infrastruktur ved forstyrrelser. Amazon isolerte berørte EC2 instansene, samarbeidet med Cloudflare og Microsoft, og stengte ned de ondsinnede domenene.

I slutten av august 2025 ble det observert to markante bølger av nettverksskanninger rettet mot Cisco ASA enheter, hovedsakelig omkring innloggingsportaler og Telnet/SSH, med opptil 25 000 unike IP-adresser involvert. Den andre bølgen 26. august ble drevet av et brasiliansk bot-nett med cirka 17 000 IP-er. Skanningene brukte "Chrome-lignende" brukeragenter, noe som tyder på felles opprinnelse. Disse skanningene kan både være forsøk på å utnytte allerede kjente, patchede sårbarheter, men fungerer ofte som rekognoseringsaktivitet før nye sårbarheter offentliggjøres. Systemadministratorer rådes til å oppdatere ASA enheter, innføre MFA ved ekstern tilgang, skjule eller ikke eksponere ASA innlogging portaler, og bruke VPN, reverse proxy eller tilgangs gateway med geo blokkering og rate limiting for beskyttelse.

Microsoft har fikset en kritisk sårbarhet i Entra ID (tidligere Azure Active Directory), sporet som CVE-2025-55241 (CVSS 10.0). Feilen lå i valideringen av service-to-service tokens via den utdaterte Azure AD Graph API, som gjorde det mulig å utgi seg for enhver bruker på tvers av tenants. Dette kunne gi full kompromittering av tjenester som SharePoint Online, Exchange Online og Azure-ressurser. Sårbarheten har blitt fikset av Microsoft, uten behov for kundetiltak.

Cisco har utgitt sikkerhetsoppdateringer for å fikse en alvorlig Zero-day sårbarhet (CVE-2025-20352) i IOS og IOS XE. Feilen ligger i SNMP subsystemet og kan utnyttes via spesiallagde SNMP pakker over IPv4/v6. Alle SNMP versjoner er påvirket. Angripere med lave privilegier kan forårsake DoS (tjenestenekt), mens de med høyere privilegier kan oppnå full kontroll over sårbare systemer. Cisco bekrefter at sårbarheten allerede er utnyttet i angrep etter kompromittering av lokale administratorbrukere. Det finnes for tiden ingen midlertidig løsning annet enn å installere sikkerhetsoppdateringene Cisco har utgitt.

Tre nye Zero-day sårbarheter i Cisco ASA og FTD (CVE-2025-20333, CVSS 9.9, CVE-2025-20363, CVSS 9.0 og CVE-2025-20362, CVSS 6.5) blir aktivt utnyttet i pågående angrep. Sårbarhetene gjør det mulig for angripere å kjøre kode som root på sårbare enheter og å omgå autentisering via manipulerte HTTP forespørsler. Sårbarheten CVE-2025-20363 påvirker også Cisco IOS. NCSC anbefaler å installere nye sikkerhetsoppdateringer samt å følge Ciscos anbefalinger og har hevet pulsen til to: forhøyet fare. I USA har CISA utstedt et nød direktiv (ED 25-03) som pålegger føderale etater å gjennomføre tiltak innen 24 timer.

Akira ransomware angriper fortsatt SonicWall SSL VPN enheter, og forskere har oppdaget at angriperne klarer å logge inn på kontoer selv med OTP (One-Time Password) basert MFA aktivert. Angrepene knyttes til tidligere sårbarhet (CVE-2024-40766), hvor stjålne påloggingsinformasjon og OTP seeds trolig fortsatt misbrukes. Arctic Wolf observerer at angriperne får flere OTP utfordringer før vellykket innlogging, noe som antyder kompromitterte MFA seeds eller alternative metoder for å generere gyldige koder. Etter innbrudd beveger de seg raskt i nettverket, angriper blant annet Veeam backup-servere og bruker BYOVD (Bring Your Own Vulnerable Driver) teknikker for å deaktivere sikkerhetsprogramvare.

 

 

Situasjonsrapport - august 2025

Alvorlige hendelser

I august håndterte Telenor Cyberdefence 17 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 7 i juli.

DDoS-angrep
Det var 37 bekreftede DDoS-angrep denne måneden, opp fra 27 i juli. 19 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 16,6 Gbps og varte i 18 minutter. Det største angrepet observert i denne perioden var på 244 Gbps og varte i 16 minutter. Misbruk av DNS stod for 94% av angrepene.

Nyhetsoppsummering
Fortinet har utgitt en kritisk sikkerhetsadvarsel for FortiSIEM, da en OS-kommandoinjeksjonsfeil (CVE-2025-25256) med CVSS 9.8 tillater uautentiserte angripere å utføre skadelige kommandoer via CLI-forespørsler. Praktisk angrepskode for dette sikkerhetsproblemet er blitt observert av Fortinet, og sårbarheten gir ingen tydelige indikatorer på kompromiss (IoCs). Påvirkede versjoner inkluderer FortiSIEM 6.1–7.2.x.

En kritisk sikkerhetssårbarhet i GitHub Copilot og Visual Studio Code — CVE‑2025‑53773 — utnyttes gjennom prompt‑injeksjon. Ved å manipulere .vscode/settings.json kan angripere aktivere den såkalte “YOLO mode” ("chat.tools.autoApprove": true), noe som fjerner alle sikkerhetsbekreftelser og gir verktøyet frihet til å kjøre shell-kommandoer og utføre vilkårlig kode på systemet

Crypto24-gruppen har nylig blitt observert i angrep mot store organsisasjoner i USA, Europa og Asia, spesielt innen finans, produksjon, underholdning og teknologi. Etter å ha fått inital tilgang så oppretter de administrative eller lokale kontoer, gjennomfører rekognosering via batch-script og setter opp vedvarende tilgang med skadelige Windosw-tjenester som "WinMainSvc" (keylogger) og "MSRuntime" (ransomware-logger). Deretter bruker de en tilpasset variant av verktøyet RealBindingEDR, som prøver å indentifisere hvilke EDR-løsninger som er tilstede.

Cisco har varslet om en kritisk remote code execution (RCE)-sårbarhet i RADIUS-subsystemet til Secure Firewall Management Center (FMC). Sårbarheten, identifisert som CVE-2025-20265, har fått den maksimale alvorlighetsscoren 10.0. En uautentisert og ekstern angriper kan sende spesiallaget input under RADIUS-autentiseringsfasen, enten via web- eller SSH-grensesnitt der RADIUS er aktivert, og dermed oppnå vilkårlig kjøring av shell-kommandoer med forhøyede rettigheter. Cisco har utgitt gratis sikkerhetsoppdateringer via vanlige kanaler for kunder med gyldig servicekontrakt.

FBI og Cisco Talos har gått ut med advarsler om en pågående cyber-etterretningskampanje utført av russiske hackere tilknyttet FSBs Center 16-enhet (kjent som både Static Tundra, Berserk Bear, Dragonfly m.fl.). Over de siste tolv månedene har de utnyttet den syv år gamle og kritiske sårbarheten CVE-2018-0171 i Cisco IOS- og IOS XE-programvare (Smart Install-funksjonen), og rettet angrep mot tusenvis av nettverksenheter i kritisk infrastruktur globalt.

PDF Editor By AppSuite, tilsynelatende et verktøy for PDF-redigering (visning, konvertering, utfylling, sammenslåing, signering og komprimering), viser seg å være et uønsket program med typiske kjennetegn for nettleserkapring (browser hijacker). Installasjonen endrer standard søkemotor til Yahoo gjennom en omdirigerings-URL (search-redirect.com) – en falsk søkemotor som kan samle data og føre brukere til upålitelige nettsteder. Den kan også vise påtrengende annonser, redusere nettleser- og systemytelse, og overvåke nettleseraktivitet. Brukere bør unngå å installere programmet og fjerne det umiddelbart dersom det er til stede.

Citrix oppdaterer tre NetScaler svakheter, bekrefter aktiv utnyttelse av CVE-2025-7775. Den 26. august 2025 har Citrix adressert tre alvorlige sårbarheter i "NetScaler ADC" og "NetScaler Gateway," inkludert CVE-2025-7775, som er under aktiv utnyttelse.

 

 

Situasjonsrapport - juli 2025

Alvorlige hendelser

I juli håndterte Telenor Cyberdefence 7 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 18 i juni.

DDoS-angrep
Det var 27 bekreftede DDoS-angrep denne måneden, ned fra 68 i juni. 16 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 7,95 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 35,4 Gbps og varte i 24 timer. Misbruk av DNS stod for 82% av angrepene.

Nyhetsoppsummering
Grafana Labs har gitt ut en kritisk sikkerhetsoppdatering for Image Renderer‑pluginen (og Synthetic Monitoring Agent) etter åtte Chromium sårbarheter ble oppdaget og utnyttet via bug bounty. Fire av disse (CVE‑2025‑5959, CVE‑2025‑6191, CVE‑2025‑6192 med score 8.8 og CVE‑2025‑6554 med score 8.1) gjør det mulig med fjernkodekjøring, ukontrollert minnetilgang eller heap‑korrupsjon via ondsinnet HTML. Brukere oppfordres til å oppdatere til Image Renderer ≥ 3.12.9 og Synthetic Agent ≥ 0.38.3 umiddelbart. Grafana Cloud og Azure Managed Grafana er allerede oppdatert.

CitrixBleed2 (CVE-2025-5777) er en alvorlig sårbarhet i Citrix NetScaler-enheter som lar angripere hente ut minneinnhold og stjele brukersesjoner ved hjelp av feilformede innloggingsforespørsler. Sårbarheten ligner på den tidligere CitrixBleed-feilen fra 2023 og er enkel å utnytte. Selv om Citrix hevder at det ikke finnes bevis for aktiv utnyttelse, har sikkerhetsforskere funnet indikasjoner på det motsatte. Det er sterkt anbefalt å installere tilgjengelige sikkerhetsoppdateringer.

Sårbarheter i produkter fra Atlassian, Oracle og Broadcom (VMware). JustisCERT varsler den 16. juli 2025 om alvorlige sårbarheter i produkter fra Atlassian, Oracle og Broadcom (VMware). Atlassian publiserte 15. juli 2025 hele 20 nye CVE‑numre med CVSS-scoringer mellom 7.2 og 8.8, og har rukket å lansere oppdateringer for alle støttede produkter.

Microsoft har utgitt nødoppdateringer for to aktive null-dag-sårbarheter, CVE-2025-53770 og CVE-2025-53771, som er blitt utnyttet i “ToolShell”-angrep mot lokale SharePoint-servere. Angrepene har rammet titalls organisasjoner verden over, med påvist utnyttelse siden 18. juli.

Sårbarheter i Apple‑produkter og i SonicWall SonicOS. Apple har rettet til sammen 29 sårbarheter i iOS og iPadOS 18.3, 17 i iPadOS 17.7.4, 61 i macOS Sequoia 15.3, 41 i macOS Sonoma 14.7.3, 31 i macOS Ventura 13.7.3, samt flere i Safari, tvOS, visionOS og watchOS.

 

 

Situasjonsrapport - juni 2025

Alvorlige hendelser

I juni håndterte Telenor Cyberdefence 18 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 7 i mai.

DDoS-angrep
Det var 68 bekreftede DDoS-angrep denne måneden, ned fra 69 i mai. 46 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 11,1 Gbps og varte i 16 minutter. Det største angrepet observert i denne perioden var på 262 Gbps og varte i 9 minutter. Misbruk av DNS, sammen med IP fragmentering, stod for 80% av angrepene.

Nyhetsoppsummering
Interlock-ransomwaregruppen har begynt å bruke en ny fjernstyrings trojaner (RAT) kalt NodeSnake. NodeSnake, skrevet i JavaScript og kjørt via Node.js, etablerer persistens ved å opprette en falsk registeroppføring kalt 'ChromeUpdater' som etterligner Google Chrome oppdateringer. Den benytter PowerShell eller CMD skript for å opprette denne oppføringen. Angrepene starter med phishing e-poster som inneholder ondsinnede lenker eller vedlegg som fører til infeksjon med NodeSnake.

CISA har utstedt en advarsel om aktiv utnyttelse av en nylig patchet sårbarhet i ConnectWise ScreenConnect, identifisert som CVE-2025-3935. Sårbarheten tillater potensielt fjernkjøring av kode på servere via ViewState-injeksjon, forutsatt at angriperen har tilgang til maskinnøkler. Denne sårbarheten er knyttet til en nylig sikkerhetshendelse hos ConnectWise, mistenkt å være en statssponset operasjon.

FBI, i samarbeid med CISA og det australske cybersikkerhetssenteret, har oppdatert sin rådgivning om Play-ransomware, også kjent som Playcrypt. Siden juni 2022 har gruppen kompromittert omtrent 900 organisasjoner globalt, inkludert kritisk infrastruktur i Nord-Amerika, Sør-Amerika og Europa.

Password‑spraying attacks target 80 000 Microsoft Entra ID‑kontoer. Hackere fra gruppen UNK_SneakyStrike har siden desember 2024 benyttet det offentlige rammeverket TeamFiltration for passordsprøyteangrep mot mer enn 80 000 Microsoft Entra ID-kontoer i hundrevis av organisasjoner. Angrepene skjer i bølger med opptil 16 500 kontoer per dag. TeamFiltration kartlegger brukere, eksfilerer data og legger inn bakdører via O365/EntraID.

Anubis, en kjent ransomware-as-a-service (RaaS) aktør har implementert en ny “wipe mode”. Dette destruerer filinnholdet og setter filstørrelsen til 0 KB, slik at ingen gjenoppretting er mulig selv om løsepengene betales. Denne funksjonen intensiverer presset på ofre gjennom en kombinert modell av kryptering (med .anubis-utvidelse) og dataødeleggelse. Angrepene starter med spear-phishing, etterfølges av privilegie-eskalering, sletting av shadow copies, kryptering (ECIES), og wiper-funksjon.

Cloudflare avverget i midten av mai 2025 et nytt rekordangrep av typen distribuert tjenestenekt (DDoS) rettet mot en hosting-leverandørs IP. Angrepet nådde en topp på 7,3 Tbps og sendte totalt 37,4 TB trafikk på bare 45 sekunder—det tilsvarer cirka 9 350 HD-filmer. Trafikken kom fra over 122 000 IP-adresser i 161 land, fordelt over 5 433 autonome systemer, med hoveddeler fra Brasil og Vietnam. Angrepet benyttet flere vektorer, først og fremst UDP-flood (99,996 %), men inkluderte også refleksjonsangrep som QOTD, Echo, NTP, Portmap og RIPv1. Cloudflare håndterte angrepet automatisk gjennom Magic Transit og sitt distribuerte anycast-nettverk uten behov for menneskelig intervensjon.

 

 

Situasjonsrapport - mai 2025

Alvorlige hendelser

I mai håndterte Telenor Cyberdefence 7 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 9 i april.

DDoS-angrep
Det var 69 bekreftede DDoS-angrep denne måneden, opp fra 65 i april. 38 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 11,9 Gbps og varte i 22 minutter. Det største angrepet observert i denne perioden var på 360 Gbps og varte i 60 minutter. Misbruk av DNS, sammen med IP fragmentering, stod for 70% av angrepene.

Nyhetsoppsummering
Ivanti har utgitt sikkerhetsoppdateringer for å adressere to sårbarheter i Endpoint Manager Mobile (EPMM). Disse sårbarhetene, som involverer autentiseringsomgåelse og fjernkodekjøring, har blitt utnyttet i begrensede angrep. Sårbarhetene stammer fra to integrerte open-source biblioteker, hvis navn ikke er offentliggjort. Ivanti bemerker at risikoen reduseres betydelig dersom API-tilgang allerede filtreres via innebygd Portal ACLs-funksjonalitet eller en ekstern webapplikasjonsbrannmur. Kun den lokale EPMM-løsningen er berørt; Ivanti Neurons for MDM og andre produkter påvirkes ikke.

Ny Active Directory sårbarhet i Windows Server 2025. En alvorlig sårbarhet i Windows Server 2025, relatert til den nye funksjonen delegated Managed Service Account (dMSA), gjør det mulig for angripere å eskalere privilegier og overta rettigheter til hvilken som helst Active Directory (AD) bruker. Sårbarheten, oppdaget av Akamai forsker Yuval Gordon, utnytter en feil i hvordan tillatelser håndteres under migrering av eksisterende service-kontoer til dMSA. Selv om dMSA ikke er i aktiv bruk, er sårbarheten til stede i alle domener med minst én Windows Server 2025 domenekontroller. Angrepet, kalt "BadSuccessor", krever kun en tilsynelatende ufarlig tillatelse på en organisatorisk enhet for å gjennomføres.

Windows RDP tillater innlogging med utgåtte passord. Microsoft har bekreftet at Remote Desktop Protocol (RDP) tillater brukere å logge inn med tidligere gyldige passord, selv etter at de er endret eller tilbakekalt. Dette skyldes at Windows lagrer en lokal, kryptert kopi av passordet, og ved RDP-innlogging sjekkes dette mot den lokale cachen i stedet for å validere passordet online. Dermed kan angripere med gamle legitimasjoner fortsatt få tilgang via RDP, selv om passordet er endret i skyen. Microsoft anser dette som en designbeslutning, ikke en sikkerhetssårbarhet, og har ingen planer om å endre oppførselen.

Nytt sikkerhetsverktøy fra AWS medførte alvorlig sikkerhetsrisiko. AWS lanserte verktøyet Account Assessment for AWS Organizations for å forbedre sikkerhetsinnsikt, men introduserte med seg en alvorlig sårbarhet. Offisiell dokumentasjon anbefaler å installere verktøyets "hub"-rolle i mindre sikre kontoer, noe som åpnet for privilegie-eskalering til høysensitive miljøer som produksjon og administrasjonskontoer. Feilen ble oppdaget av sikkerhetsforskere og rapportert til AWS, som deretter oppdaterte veiledningen for å redusere risiko. Hendelsen viser hvor lett tillitsmekanismer i skyinfrastruktur kan feiltolkes – selv av leverandøren selv.

Kina-tilknyttede APT-er utnytter SAP for å kompromittere kritiske systemer globalt. En kritisk sårbarhet i SAP NetWeaver Visual Composer, identifisert som CVE-2025-31324, blir aktivt utnyttet av flere kinesiske statssponsede trusselaktører. Sårbarheten tillater uautentisert filopplasting, noe som gir angripere mulighet til å utføre fjernkodekjøring (RCE). Over 581 SAP NetWeaver-installasjoner er bekreftet kompromittert, med bakdører installert via webskall. Angrepene retter seg mot kritisk infrastruktur som gassdistribusjonsnettverk, vann- og avfallshåndteringssystemer i Storbritannia, medisinsk utstyrsproduksjon og olje- og gasselskaper i USA, samt statlige departementer i Saudi-Arabia. Angriperne bruker ulike verktøy som KrustyLoader, SNOWLIGHT, VShell og GOREVERSE for å opprettholde vedvarende tilgang og utføre ytterligere ondsinnede aktiviteter.