TSOC hånderte 81 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse i september, opp fra 41 i august. Denne måneden var det som vanlig flere klienter som var infisert med programvare for å utvinne kryptovaluta eller hadde fått installert ondsinnede nettlesertillegg. Det var også fortsatt flere nye tilfeller av Mac-maskiner som var infisert med trojaneren AdLoad. Vi oppdaget også flere tilfeller av brukere som hadde blitt lurt til å følge phishing-lenker i e-poster, og som dermed potensielt kunne ha gitt fra seg innloggingsinformasjon eller andre sensitive detaljer. Denne måneden oppdaget vi også en server som sendte trafikk ut via Microsoft-tjenesten SMB (Server Message Block protocol). Dette er en høy-risiko protokoll som bør være sperret i ekstern brannmur, da den ofte kan føre til lekkasje av interne data som hashede passord.
Det var 264 bekreftede DDoS-angrep denne måneden, opp fra 219 i august. 155 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 3.8 Gbps og varte i 30 minutter. Det største angrepet observert i denne perioden var på 68 Gbps og varte i 9 minutter. Fem av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
I september har det vært oppdaget uvanlig mange tilfeller av aktiv bruk av ferske svakheter (zero-day) mot produkter fra både Apple og Google. Det er leverandører av kommersiell programvare for overvåking som har stått bak angrepene, og avdelingen “Citizen Lab” ved Universitetet i Toronto har avdekket de fleste av angrepene. Myndigheter i mange land kjøper tjenester for kommersiell overvåking, og leverandører som NSO Group (Pegasus spyware) og Cytrox (Predator spyware) har mye penger til å selv finne eller kjøpe svakheter dekan bruke for å hacke seg inn i telefoner og PCer.
7. september ble det meldt om at Apple-enheter ble angrepet gjennom to nye svakheter kalt BLASTPASS som lar angripere ta kontroll over sårbare enheter uten at brukeren trenger å foreta deg noe eller har mulighet for å oppdage det (zero-click). Svakhetene utnyttes mot iPhones ved å sende en iMessage til offerets enhet med et spesielt PassKit-vedlegg. Det var Citizen Lab som oppdaget de nye svakhetene, etter at de hadde sett dem i bruk av NSO Group i deres Pegasus-programvare for overvåking. 20 september måtte Apple patche enda tre svakheter som ble aktivt utnyttet og rapportert av Citizen Lab.
11. september ga Google ut en haste-oppdatering for en svakhet i Chrome som allerede ble utnyttet i angrep. Også denne svakheten ble meldt inn av Citizen Lab. Svakheten lå i visning av bilder lagret i “WebP”-formatet. Apple, Mozilla og flere andre leverandører patchet fortløpende tilsvarende svakhet i deres produkter, som benyttet det samme biblioteket for å dekode WebP-bilder. 27. september måtte Google nok en gang patche Chrome, denne gangen på grunn av en feil i hvordan film ble kodet i VP8-formatet av programvare-biblioteket livbpx. Også denne svakheten ble aktivt utnyttet i angrep av en kommersiell leverandør av overvåkingsprogramvare. Dette biblioteket benyttes av flere andre firmaer som også må patche sine produkter.
Microsoft kunngjorde i juli at den Kina-tilknyttede aktøren Storm-0558 hadde fått tilgang til et av deres signerings-sertifikater. Dette hadde blitt brukt for å signere tilgangsnøkler som igjen ble brukt for å få tilgang til e-postkontoene til myndighetspersoner i USA. Over 60.000 e-poster ble hentet ut i angrepet. Microsoft har nå foretatt en teknisk gjennomgang av hendelsen og funnet ut hvordan trusselaktøren fikk tilgang til sertifikatet. En maskin i et beskyttet miljø brukt for signering krasjet i april 2021 og en minnedump ble skrevet til disken. Normalt vil sensitiv informasjon som signeringsnøkler og passord bli slettet fra minnedumpen, men på grunn av en bug ble den private nøkkelen brukt til signering inkludert i filen. Denne ble deretter flyttet til et mer åpent miljø for nærmere krasj-analyse, uten at det ble oppdaget at den private nøkkelen var inkludert. På et senere tidspunkt har så trusselaktøren kompromittert en personlig konto tilhørende en Microsoft-ansatt med tilgang til dette analyse-miljøet. Det antas så at trusselaktøren har lastet ned og analysert filen og har funnet den private nøkkelen, som så har blitt brukt til å signere tilgangsnøkler.
AI-forskere hos Microsoft skulle dele treningsdata åpent via Github. De genererte derfor en SAS (Shard Access Key) i Azure, men åpnet ved en feil for tilgang til alle data i kontoen, i stedet for tilgang til en spesifikk katalog. Forskerne delte derfor ut fulle backuper av to interne datamaskiner, 30.000 interne Teams-meldinger og andre data. Til sammen ble 38TB med interne data offentliggjort. Ved bruk av SAS-nøkler anbefales det å knytte dem opp mot en SAP (Store Access Policy) for å gjøre det lettere å styre og logge tilgangen til dataene som er delt.
Sikkerhetsfirmaet Okta har advart om angrep som benytter sosial manipulering mot IT-kundestøtte. Denne teknikken ble blant annet brukt i det nylige utpressingsangrepet mot selskapet MGM Resorts. Angriperne forsøkte å lure kundestøtte til å tilbakestille multifaktorautentisering for høyt privilegerte brukere. Angriperne hadde allerede tilgang til passord for privilegerte kontoer, typisk skaffet til veie via phishing-angrep eller passord-lekkasjer fra kompromitterte tjenester. Etter vellykket kompromittering av en Super Admin-konto, brukte de anonymiserende proxytjenester og fjernet multifaktorautentisering for noen kontoer. Okta anbefaler en rekke tiltak for å beskytte admin-kontoer mot slike angrep.
Siden februar 2023 har Microsoft observert en betydelig økning i angrep som benytter seg av såkalt passord-spraying utført av en trusselaktør knyttet til Iran kjent som Peach Sandstorm. Denne gruppen har rettet seg mot et bredt spekter av sektorer globalt, med særlig fokus på satellitt-, forsvars- og farmasøytiske organisasjoner. Microsoft mener at Peach Sandstorms hovedmål er innsamling av etterretning til støtte for iranske statsinteresser. Gruppen bruker passord-spraying mot tusenvis av systemer for å få initiell tilgang, med andre ord prøver de altså å logge på med vanlige passord mot mange forskjellige kontoer. Kampanjen bruker en kombinasjon av offentlig tilgjengelige og tilpassede verktøy for kartlegging, laterale bevegelser og eksfiltreringav informasjon fra kompromitterte miljøer.
