Situasjonsrapport - april 2025

Alvorlige hendelser

I april håndterte Telenor Cyberdefence 9 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 12 i mars.

DDoS-angrep
Det var 65 bekreftede DDoS-angrep denne måneden, ned fra 69 i mars. 49 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 17,3 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 120 Gbps og varte i 9 minutter. Misbruk av DNS, sammen med IP fragmentering, stod for brorparten av angrepene.

Nyhetsoppsummering
Phishing-plattformen 'Lucid' står bak bølge av iOS- og Android-SMS-angrep. Lucid' er en phishing-as-a-service (PhaaS) plattform operert av den kinesiske cyberkriminelle gruppen 'XinXin' siden midten av 2023. Den har rettet seg mot 169 enheter i 88 land ved å sende sofistikerte meldinger via iMessage (iOS) og RCS (Android). Plattformen selges til andre trusselaktører gjennom et abonnementsbasert modell, som gir tilgang til over 1 000 phishing-domener, automatisk genererte phishing-nettsteder og avanserte spamming-verktøy.

Cisco advarer om en kritisk sårbarhet i Cisco Smart Licensing Utility (CSLU) som eksponerer en innebygd bakdør i form av en administratorkonto. Denne sårbarheten, identifisert som CVE-2024-20439, lar uautentiserte angripere logge inn på upatchede systemer med administrative rettigheter via CSLU-applikasjonens API. Selv om Cisco utbedret feilen i september 2024, ble det i mars 2025 oppdaget forsøk på utnyttelse av sårbarheten i det fri. Angripere har også kombinert denne sårbarheten med en annen kritisk feil, CVE-2024-20440, som tillater tilgang til loggfiler med sensitiv informasjon. Begge sårbarhetene krever at CSLU-applikasjonen er startet, da den ikke kjører i bakgrunnen som standard.

Ivanti har avslørt en kritisk sårbarhet (CVE-2025-22457) med en CVSS-score på 9.0, som påvirker Connect Secure, Policy Secure og ZTA Gateways. Sårbarheten er en stack-basert buffer overflow som tillater uautentiserte angripere å utføre vilkårlig kode eksternt. Google-eide Mandiant observerte utnyttelse av denne sårbarheten i midten av mars 2025, hvor angripere distribuerte en minnebasert minnebasert "dropper" kalt TRAILBLAZE og en passiv bakdør ved navn BRUSHFIRE. Disse verktøyene etablerer vedvarende bakdørstilgang på kompromitterte enheter, noe som potensielt muliggjør brukerinformasjons tyveri, dataeksfiltrering mm.

Fortinet har oppdaget at trusselaktører utnytter tidligere kjente og nå patchede sårbarheter—inkludert CVE-2022-42475, CVE-2023-27997 og CVE-2024-21762—for å opprette en symbolsk lenke (symlink) mellom brukerfil- og rotfilsystemene i FortiGate-enheter. Denne symlinken, plassert i en mappe brukt for språkfiler i SSL-VPN, gir angriperne vedvarende lesetilgang til konfigurasjonsfiler, selv etter at de opprinnelige sårbarhetene er tettet. SSL-VPN-brukere er spesielt utsatt, mens de som aldri har aktivert denne funksjonen ikke er berørt. Fortinet har utgitt oppdateringer for FortiOS som automatisk fjerner slike symlinker og forhindrer at SSL-VPN-serveren distribuerer dem.

Microsoft Entra-kontolåsing forårsaket av feil med bruker token logging. Microsoft bekreftet at en intern feil i deres loggsystem førte til at mange brukere av Microsoft Entra ID opplevde kontolåsinger i helgen 19.–20. april 2025. Feilen oppsto da systemet ved en glipp logget faktiske bruker-refresh-tokens i stedet for kun metadata. Da Microsoft senere forsøkte å rette opp dette ved å ugyldiggjøre tokenene, ble det automatisk utløst sikkerhetsvarsler om lekkede legitimasjons-opplysninger. Dette førte til at kontoer ble låst, noe som skapte problemer for mange brukere. Microsoft har rettet feilen og informert berørte kunder, og jobber med tiltak for å forhindre lignende hendelser i fremtiden.

Cisco har utgitt sikkerhetsoppdateringer for å rette en alvorlig sårbarhet i Webex-appen, identifisert som CVE-2025-20236. Denne sårbarheten skyldes utilstrekkelig validering av input når Webex behandler invitasjonslenker til møter. Angripere kan utnytte dette ved å sende spesiallagde møteinvitasjonslenker som får brukere til å laste ned vilkårlige filer. Ved å klikke på slike lenker kan angripere kjøre vilkårlige kommandoer med brukerens privilegier. Sårbarheten påvirker alle operativsystemer og systemkonfigurasjoner der Webex-appen er installert.

 

 

Situasjonsrapport - mars 2025

Alvorlige hendelser

I mars håndterte Telenor Cyberdefence 12 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 11 i februar.

DDoS-angrep
Det var 69 bekreftede DDoS-angrep denne måneden, opp fra 60 i februar. Over halvparten av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 17,1 Gbps og varte i 17 minutter. Det største angrepet observert i denne perioden var på 421 Gbps og varte i 18 minutter. Misbruk av DNS stod for brorparten av angrepene.

Nyhetsoppsummering
CISA informerer om at Windows- og Cisco-sårbarheter blir aktivt utnyttet. CISA har advart amerikanske føderale byråer om å sikre sine systemer mot angrep som utnytter sårbarheter i Cisco- og Windows-systemer. Den første sårbarheten (CVE-2023-20118) tillater angripere å utføre vilkårlige kommandoer på flere Cisco VPN-rutere. Selv om denne sårbarheten krever gyldige administrative legitimasjoner, kan angripere oppnå dette ved å kombinere den med CVE-2023-20025, som gir root-privilegier. Den andre sårbarheten (CVE-2018-8639) er en Win32k-privilegiumeskaleringsfeil som lokale angripere kan utnytte for å kjøre vilkårlig kode i kjernemodus, endre data eller opprette falske kontoer med fulle brukerrettigheter.

Hacking-gruppen 'Dark Storm' tar på seg ansvaret for DDoS-angrep på X. Den 10. mars 2025 opplevde det sosiale medieplattformen X (tidligere Twitter) betydelige tjenesteavbrudd globalt, noe som påvirket både mobil- og desktopbrukere. Elon Musk, eier av X, uttalte at plattformen ble utsatt for et "massivt cyberangrep" utført med betydelige ressurser, muligens av en stor, koordinert gruppe eller en nasjon. Det pro-palestinske hacktivistkollektivet Dark Storm hevdet ansvar for angrepet, og delte skjermbilder og lenker som bevis på deres DDoS-angrep mot X. Som respons aktiverte X DDoS-beskyttelsestjenester fra Cloudflare for å håndtere angrepet.

Ny SuperBlack løsepengevirus utnytter Fortinet autentiseringsomgåelses-sårbarheter. En ny løsepengevirus kalt 'SuperBlack', operert av en aktør kjent som 'Mora_001', utnytter to autentiseringsomgåelses-sårbarheter i Fortinets produkter: CVE-2024-55591 og CVE-2025-24472. Disse sårbarhetene, avslørt av Fortinet i henholdsvis januar og februar 2025, tillater uautorisert tilgang til FortiGate-brannmurer. 'SuperBlack' ble oppdaget i slutten av januar 2025, med angrep som startet så tidlig som 2. februar 2025.

Kritiske sårbarheter i Cisco Smart Licensing Utility nå utnyttet i angrep. To kritiske sårbarheter i Cisco Smart Licensing Utility (CSLU), identifisert som CVE-2024-20439 og CVE-2024-20440, blir nå aktivt utnyttet i angrep. CVE-2024-20439 er en statisk legitimasjonssårbarhet som kan tillate uautentiserte, eksterne angripere å få administrative rettigheter på sårbare systemer. CVE-2024-20440 er en informasjonslekkasjesårbarhet som kan eksponere sensitive data gjennom spesiallagde HTTP-forespørsler. Disse sårbarhetene ble opprinnelig oppdaget under intern sikkerhetstesting og påvirker kun systemer der CSLU er aktivt startet av brukeren.

Hackere bruker PowerShell og legitime Microsoft-applikasjoner for å distribuere skadelig programvare. Cyberkriminelle utnytter i økende grad PowerShell og legitime Microsoft-verktøy i såkalte “fileless” angrep, som gjør det vanskeligere for tradisjonelle antivirusprogrammer å oppdage truslene. Ved å misbruke verktøy som BITS (Background Intelligent Transfer Service), kan angripere laste ned og kjøre skadelig programvare uten å etterlate filer på disken.

 

 

Situasjonsrapport - februar 2025

Alvorlige hendelser

I februar håndterte TSOC 11 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 7 i januar.

DDoS-angrep
Det var 60 bekreftede DDoS-angrep denne måneden, ned fra 67 i januar. 36 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8.512 Gbps og varte i 34 minutter. Det største angrepet observert i denne perioden var på 86.3 Gbps og varte i 41minutter. Misbruk av DNS stod for brorparten av angrepene.

Nyhetsoppsummering
VMware har utgitt oppdateringer for fem sårbarheter i Aria Operations og Aria Operations for Logs (versjon 8.x), hvorav to regnes som høy risiko. De alvorligste sårbarhetene kan la angripere skaffe seg utvidede rettigheter via informasjonslekkasje og krever ikke administratorrettigheter for å utnytte. Sårbarhetene omfatter også mulighet for lagret XSS og en sårbarhet omfatter dårlig tilgangskontroll som gir ikke-administrative brukere en potensielt høyere tilgang enn tiltenkt.

Microsoft advarer om at angripere utnytter eksponerte ASP.NET-nøkler til å distribuere skadelig programvare. Microsoft har oppdaget at angripere utnytter statiske ASP.NET-maskinnøkler funnet på nettet til å utføre kodeinjeksjonsangrep via ViewState. Disse nøklene, som ofte hentes fra offentlige kodeplattformer, brukes til å generere ondsinnede ViewStates med gyldig message authentication code (MAC). Når slike ViewStates sendes via POST-forespørsler, dekrypterer og validerer ASP.NET Runtime dem. Dette kan gi angriperne mulighet til å kjøre vilkårlig kode på målets IIS-webserver. I desember 2024 observerte Microsoft et tilfelle der en angriper brukte en offentlig kjent maskinnøkkel til å levere Godzilla-rammeverket, som har funksjoner for kommandoeksekvering og injeksjon av shellkode.

Apple har utgitt nødoppdateringer for å rette en nulldagssårbarhet (CVE-2025-24200) som har blitt utnyttet i målrettede og svært sofistikerte angrep. Sårbarheten tillot fysiske angripere å deaktivere USB-begrenset modus på låste enheter, noe som potensielt åpnet for uautorisert uthenting av informasjon. USB-begrenset modus, introdusert i iOS 11.4.1, blokkerer USB-tilbehør fra å opprette en datatilkobling hvis enheten har vært låst i over en time. Sårbarheten er nå adressert i iOS 18.3.1 og iPadOS 18.3.1 med forbedret tilstandshåndtering.

Fortinet advarer om en ny autentiseringsomgåelses-sårbarhet (CVE-2025-24472) i FortiOS og FortiProxy, som angripere aktivt utnytter for å få super-administratorrettigheter på sårbare enheter. Sårbarheten gjør det mulig å opprette falske brukere, manipulere brannmurregler og få tilgang til interne nettverk via SSL VPN. Angrepene har pågått siden november 2024, ifølge Arctic Wolf Labs, som har observert scanning, rekognosering, konfigurasjonsendringer og lateral bevegelse i kompromitterte systemer.

To sikkerhetssårbarheter har blitt oppdaget i OpenSSH som kan føre til Man-in-the-Middle (MitM) og Denial-of-Service (DoS) angrep under visse betingelser. Begge sårbarhetene er adressert i OpenSSH versjon 9.9p2, utgitt 18. februar 2025.

Palo Alto PAN-OS har en kritisk sårbarhet (CVE-2025-0108) i administrasjonsgrensesnittet, som lar angripere omgå autentisering og kjøre visse PHP-script. Sårbarheten har en CVSS-score på 8.8 og utnyttes allerede aktivt, ifølge CISA. Angripere kan potensielt hente ut sensitiv informasjon som brannmurkonfigurasjon, VPN-brukere, sertifikater og nøkler. Internetteksponerte enheter bør tas av nett og oppdateres. Øvrige sårbare enheter bør oppdateres. Administrasjonsgrensesnitt bør ikke eksponeres på internett, men sikres med VPN, IP-hvitelister eller lignende.

CISA og FBI rapporterer at angripere som benytter Ghost løsepengevirus har infiltrert ofre i over 70 land siden tidlig 2021. De rammede sektorene inkluderer kritisk infrastruktur, helsevesen, offentlig sektor, utdanning, teknologi, produksjon samt en rekke små og mellomstore bedrifter. Angriperne utnytter kjente sårbarheter i utdatert programvare og fastvare. Gruppen benytter ulike navn og varianter av løsepengevirus, inkludert Cring.exe, Ghost.exe, ElysiumO.exe og Locker.exe, og endrer ofte filendelser og innholdet i løsepengebrevene for å unngå deteksjon.

 

 

Situasjonsrapport - januar 2025

 Alvorlige hendelser

I januar håndterte TSOC 7 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 16 i desember.

DDoS-angrep
Det var 67 bekreftede DDoS-angrep denne måneden, opp fra 45 i desember. 46 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 22.2 Gbps og varte i 26 minutter. Det største angrepet observert i denne perioden var på 845 Gbps og varte i 22 minutter. Misbruk av DNS stod for brorparten av angrepene.

Nyhetsoppsummering

Kritisk sårbarhet i Windows BitLocker utnyttet
En ny kritisk sårbarhet i BitLocker (CVE-2025-21210) tillater angripere med fysisk tilgang å manipulere krypterte data, og tvinge Windows til å skrive ukrypterte data (som passord og nøkkelmateriale) til disk. Angrepet utnytter en feil i hvordan crash-dump konfigurasjoner håndteres. Microsoft har utgitt en oppdatering for å hindre utnyttelse.

Mulig datainnbrudd hos Gravy Analytics kan lekke posisjonsdata om norske borgere
Gravy Analytics, som er et selskap som spesialiserer seg på posisjonsdata fra mobiltelefoner, har angivelig blitt utsatt for et stort datainnbrudd som kan ramme millioner av personer globalt. Hackerne påstår å ha stjålet store mengder sensitiv informasjon, inkludert nøyaktige GPS-koordinater, tidsstempler og bevegelseshistorikk, noe som kan føre til alvorlige personvernbrudd. Blant de berørte dataene finnes det detaljer om 146.000 norske mobilenheter som potensielt kan avsløre personlige bevegelsesmønstre. Hackerne har publisert et utrag av dataen de påstår å ha stjålet som har blitt vurdert som ekte av flere eksperter. Et generelt tiltak som anbefales er å være restriktiv i hvilke tillatelser man gir applikasjoner.

Kinesiske hackere har brutt seg inn i Charter og Windstream-nettverk
Kinesiske statssponserte hackere, kjent som Salt Typhoon, har brutt seg inn i flere amerikanske telekommunikasjonsnettverk, inkludert Charter Communications, Windstream og Consolidated Communications. De har fått tilgang til sensitive data som tekstmeldinger, talemeldinger og samtaler. Etter disse hendelsene har CISA anbefalt end-to-end kryptering for å beskytte kommunikasjon.

Ivanti advarer om ny Connect Secure-sårbarhet utnyttet i zero-day-angrep
Ivanti varsler at angripere har utnyttet en kritisk sårbarhet (CVE-2025-0282) i Connect Secure for å installere skadevare på sårbare enheter. Feilen er en buffer-overflow som gjør det mulig for uvedkommende å kjøre kode fra eksternt ståsted. En tilhørende svakhet (CVE-2025-0283) kan misbrukes til å eskalere privilegier lokalt, men er foreløpig ikke observert i aktive angrep.

Kritisk sårbarhet i Windows BitLocker utnyttet
En ny kritisk sårbarhet i BitLocker (CVE-2025-21210) tillater angripere med fysisk tilgang å manipulere krypterte data, og tvinge Windows til å skrive ukrypterte data (som passord og nøkkelmateriale) til disk. Angrepet utnytter en feil i hvordan crash-dump konfigurasjoner håndteres. Microsoft har utgitt en oppdatering for å hindre utnyttelse. 

Alvorlige sårbarheter i Palo Alto brannmurer lar angripere omgå Secure Boot på hardware
En ny rapport fra Eclypsium avslører alvorlige sårbarheter i Palo Alto Networks-brannmurer som gjør det mulig for angripere å omgå Secure Boot, utnytte feil på hardwarenivå og få høyere privilegier for å opprettholde tilgang i nettverk. Tre modeller PA-3260, PA-1410 og PA-415, er undersøkt og rammes av kjente svakheter som BootHole, PixieFail og LogoFAIL som kan føre til at angripere får kjøre vilkårlig kode. Funnene peker på mangler i Palo Altos oppdateringer som gjør at enhetene framdeles er sårbare for angrep.

PoC frigitt for zero-day sårbarhet i Fortinet
En Proof-of-Concept (PoC)-utnyttelse har blitt offentliggjort for CVE-2024-55591, en kritisk nulldagssårbarhet i Fortinet-produkter. Sårbarheten gjør det mulig for angripere å kompromittere systemer eksternt, noe som setter titusenvis av enheter i fare.

Hackere utnytter RDP-protokollen for å få tilgang til Windows-systemer og fjernstyre nettlesere
Cyberkriminelle utnytter sårbarheter i Remote Desktop Protocol (RDP) for å oppnå uautorisert tilgang til Windows-systemer og fjernkontrollere nettlesere. Angriperne bruker ofte brute-force-angrep på svake passord eller kjøper tilgang via mørkenettmarkeder. Etter å ha fått tilgang, kan de kapre aktive RDP-økter, bevege seg lateralt i nettverket og rekonstruere brukeraktivitet, inkludert nettleserinteraksjoner, ved hjelp av verktøy som Mimikatz og BMC-Tools.

Situasjonsrapport - desember 2024

Alvorlige hendelser
I desember håndterte TSOC 16 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 14 i november.

DDoS-angrep
Det var 45 bekreftede DDoS-angrep denne måneden, ned fra 107 i november. 32 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8.59 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 46.5 Gbps og varte i et døgn. 

Nyhetsoppsummering
Interpol har ledet en global politiaksjon kalt Operation HAECHI-V, som involverte myndigheter fra 40 land mellom juli og november 2024. Operasjonen resulterte i pågripelse av mer enn 5.500 mistenkte cyberkriminelle og beslagleggelse av over 400 millioner dollar i virtuelle og forskjellige lands valutaer. Blant resultatene var en felles aksjon fra koreanske og kinesiske myndigheter som avviklet en omfattende voice phishing-gruppe som hadde forårsaket tap på 1,1 milliarder dollar for over 1.900 ofre. Interpol har også advart mot en ny svindelteknikk kalt "USDT Token Approval Scam", der kriminelle gir seg ut for å være potensielle romantiske partnere for å lure ofre til å gi dem full tilgang til sine krypto-lommebøker.

En hacker har publisert detaljer om over 760 000 ansatte fra kjente selskaper som Bank of America, Koch, Nokia, JLL, Xerox, Morgan Stanley og Bridgewater på et hackingforum. Dataene stammer trolig fra fjorårets MOVEit-angrep, der en zero-day sårbarhet i Progress Softwares filoverføringsprogramvare ble utnyttet. Den russisk-knyttede ransomware-gruppen Cl0p antas å stå bak angrepet. De lekkede dataene inkluderer navn, e-postadresser, telefonnumre, ansatt-IDer, stillingstitler og navn på ledere.

Økt samarbeid mellom mobiloperatørene i Norge fører til at det blokkeres flere svindelforsøk. Alle mobiloperatørene i Norge har allerede systemer på plass for å blokkere svindelforsøk fra egne nummer. Tidligere i år sendte Nasjonal kommunikasjonsmyndighet (Nkom) brev til Telenor, Telia og Ice og ba dem styrke samarbeidet for å stoppe enda flere svindelforsøk

Oasis Securitys forskningsteam avdekket en kritisk sårbarhet i Microsofts implementering av tofaktorautentisering (MFA) som tillot angripere å omgå den og få uautorisert tilgang til brukerkontoer. Sårbarheten utnyttet manglende "rate limiting" og et tidsvindu på 3 minutter for å gjette en 6-sifret kode fra en autentiseringsapp. Dette gjorde det mulig å utføre et stort antall gjetninger på kort tid uten å varsle brukeren, eller uten at systemet hindret forsøkene. I snitt tok det rundt 70 minutter å logge inn på en konto med 6-sifret kode som andre faktor. Microsoft har løst problemet ved å innføre strengere "rate limiting" etter et visst antall mislykkede forsøk.

NSM kom i desember ut med en anbefaling om at virksomheter går over til passnøkler (passkeys) eller andre FIDO2-implementasjoner for autentisering. Årsaken er at aktører i økende grad tar seg forbi tradisjonell flerfaktorautentisering. NSM har registrert en rekke phishingkampanjer der målet er økonomisk vinning, ofte via fakturasvindel. Kampanjene lar seg gjennomføre fordi virksomheter ikke påkrever phishingresistent autentisering. NSM anbefaler å prioritere implementering av phishingresistent autentisering på Microsoft 365 og andre skyløsninger, samt identitetsløsninger og internetteksponerte tjenester. Prioriter spesielt utsatte brukere som økonomiansvarlige, ledere og systemadministratorer ved gradvis utrulling.

I en internasjonal aksjon kalt "Operation PowerOFF" har politiet stengt 27 plattformer som tilbyr DDoS-angrep. Aksjonen koordineres av Europol og involverer 15 land. Målet er å holde både tilbydere og brukere av slike tjenester ansvarlige. Tre administratorer bak plattformene er arrestert, og over 300 brukere er identifisert for videre etterforskning. Julehøytiden har historisk være en en periode med økt risiko for DDoS-angrep. Motivene bak angrepene varierer fra økonomisk vinning til ideologiske årsaker.