En sikkerhetsforsker oppdaget at en app som ble brukt til å vise søkeresultater i Bing (Bing Trivia) var satt opp med manglende tilgangskontroll; alle brukere i Azure kunne bruke appen og dermed manipulere søkeresultater. XSS-kode (Cross Site Scripting) kunne også legges inn, for å kjøre tilfeldig Java-script i kontekst av Bings brukere. Dette kunne brukes til å stjele brukerens innlogings-token for Office 365 og dermed alle data tilgjengelig for brukeren. Etter en scanning av flere applikasjoner viste seg at Microsoft og mange andre firmaer hadde store mengder applikasjoner med den samme konfigurasjonsfeilen. Det ble utbetalt $40.000 i belønning for oppdagelsen. Microsoft anbefaler at alle scanner sine egne Azure-instanser for denne feilen i tilgangsstyringen, nemlig at apper er satt opp til å tillate "multi-tenancy" uten videre krav til autentisering.
Nasjonal sikkerhetsmyndighet (NSM) har på oppdrag fra Justis- og beredskapsdepartementet foretatt en vurdering knyttet til sikkerheten rundt bruk av mobil-appene Tiktok og Telegram på tjeneste-enheter. NSM vurderer at appene ikke bør installeres på offentlig ansattes tjenesteenheter som er tilknyttet virksomhetens interne digitale infrastruktur eller tjenester. NSM presiserer at anbefalingen ikke er et forbud mot de to appene, men et råd om at de ikke bør installeres på tjenesteenheter i departementet. NSM vurderer at dette også bør gjelde ansatte i privat sektor som er underlagt sikkerhetsloven helt eller delvis. I etterkant av de nye retningslinjene har flere bedrifter og offentlige instanser innført forbud mot appene på mobiler brukt i jobbsammenheng.
Sikkerhetsfirmaet SentinelOne meldte om et pågående forsyningskjede-angrep gjennomført av en nord-koreansk aktør via IP-telefoni appen 3CXDesktopApp for Windows og Mac OS. Installasjons-programmet var korrekt signert, men inneholdt likevel skadelig kode for å laste ned mer malware og siden eksfiltrere data fra rammede bedrifter. Det kom senere fram at målet med aksjonen trolig var å få tilgang til firmaer som driver med krypto-valuta for å utføre tyverier, noe som er vanlig for aktører fra Nord-Korea.
Sikkerhetsselskapene Sentinel Labs og Proofpoint har gitt ut rapporter om den russiske aktøren TA473/Winter Vivern. Aktøren har siden februar 2023 utnyttet svakheter i Zimbra-installasjoner, blant annet til å stjele eposter fra ansatte i NATO, myndigheter, militært personell og diplomater. Phishing-eposter blir brukt til å injisere javascript i sårbare Zimbra-installasjoner ved hjelp av svakheten kjent som CVE-2022-27926. Aktøren får på denne måten kopiert ut brukernavn, passord og innloggings-nøkler (cookies).
Mange land bruker kommersiell spionvare rettet mot mobiltelefoner for å overvåke kriminelle, journalister, regimemotstandere osv. Programvaren installeres på utvalgte mobiler ved å utnytte svakheter i Android og iOS og skjer ofte uten at brukeren merker eller trenger å gjøre noe (zero-click svakheter). USA innfører nå restriksjoner i bruk av denne typen programvare. Før den brukes må det undersøkes om det kan føre til kontraspionasje eller andre sikkerhetsrisikoer. Leverandører som selger sin programvare til regimer som misbruker systemene skal også unngås. I forbindelse med restriksjonene kom det også fram at over 50 amerikanske diplomater hadde blitt rammet av denne typen programvare mens de var i utlandet, de fleste med programvare laget av israelske NSO.
Microsoft advarer om at trusselaktøren DEV-1101 tilbyr et phishing-verktøy som åpen kildekode som kan brukes til å stjele sesjonsnøkler (cookies). Verktøyet støtter proxy-funksjonalitet (AiTM - Adversary in the Middle) for å hente ut engangskoder og sesjonsnøkler fra ofrene. Verktøyet kan både kjøpes og leies med support-avtale. Det brukes av flere trusselaktører til å sende ut millioner av phishing-eposter og få tilgang til bedrifter. For å unngå å miste innloggingsdetaljer i forbindelse med denne typen angrep, må en implementere autentiserinsmekanismer som er motstandsdyktige mot phishing som FIDO2 med sikkerhetsnøkler eller sertifikat-basert autentisering.
Britiske National Crime Agency (NCA) avslørte i mars at de hadde opprettet flere sider der de gir seg ut for å tilby salg av DDoS-tjenester. De har gjort dette for å avsløre kriminelle som bruker denne typen tjenester for å angripe og drive med utpressing av organisasjoner. Flere tusen har besøkt nettstedene. I stedet for å få utført DDoS-angrep, lagret nettstedene bruker-informasjon som epost-adresser, IP-adresse og betalingsinformasjon for senere etterforskning mot de besøkende. NCA advarer de kriminelle om at det fortsatt finnes mange tilsvarende nettsteder, selv om de nå har avslørt én av sine falske sider.
FBI og politi fra flere land har gjennomført en politi-aksjon mot infrastrukturen til fjernstyrings-verktøyet NetWire, som er et fjernstyrings-verktøy som for det meste har blitt solgt som en RAT (Remote Access Trojan). Siden 2014 har verktøyet blitt brukt i forbindelse med phishing og innbrudd i bedriftsnettverk. Domenet til verktøyet har nå blitt beslagslagt, sammen med serverne i Sveits. Den antatte hovedmannen bak verktøyet ble samtidig arrestert i Kroatia.
En ny trend med lydtjenester basert på kunstig intelligens (KI) gir folk muligheten til å kopiere stemmer og konstruere fiktive samtaler. Kvaliteten er nå så god at det er lett å la seg lure. Bare uker etter at selskapet Eleven Labs lanserte en nettside med KI-verktøy for lyd, har det flommet over av populære humorvideoer på TikTok, YouTube og Twitter basert på verktøyet. Utviklingen gjør det enda viktigere å verifisere at den du kommuniserer med er riktig person, spesielt før du gir fra deg informasjon eller foretar viktige handlinger som overføring av valuta.
I mars håndterte TSOC 181 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 111 i februar. Denne måneden avdekket vi blant annet en infisert maskin som mottok kodede Powershell-kommandoer gjemt i lovlige DNS-forespørsler. Denne uvanlige måten å kommunisere på brukes for å gjøre det vanskeligere å avdekke at infiserte maskiner kontakter sin kontroll-server, ved å skjule trafikken i store mengder lovlig trafikk. Vi avdekket også en maskin som var infisert med malwaren “RecordBreaker”, en nyere variant av Raccoon Stealer, som laster opp lagret innloggingsinformasjon i nettleseren (cookies) til en kontroll-server.
Det var 212 bekreftede DDoS-angrep denne måneden, ned fra 252 i februar. 70 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 2.24 Gbps og varte i 3 timer. Det største angrepet observert i denne perioden var på 51 Gbps og varte i 8 minutter. Åtte av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden. Vi ser fortsatt langvarige angrep mot enkelte kunder som blir kamuflert som vanlig nyttetrafikk mot bedriftens tjenester, typisk gjennomført av hacktivist-grupper.
