Alvorlige hendelser
I april håndterte TSOC 22 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, det samme antallet som i mars. Denne måneden oppdaget vi bruk av verktøyene SharpHound og BloodHound hos én av våre kunder. Førstnevnte er laget for å samle inn data fra en domenekontroller (Active Directory) for å få oversikt over brukere med utvidete rettigheter, objekter satt opp med feil rettigheter osv. Verktøyet BloodHound brukes deretter for å analysere de innsamlede dataene i et grafisk grensesnitt, slik at det blir enklere for en angriper å finne forskjellige måter å utvide rettighetene sine på i nettverket som angripes. Det viste seg heldigvis at verktøyene ble brukt i forbindelse med en sikkerhetstest, noe som nesten alltid er tilfellet med denne typen verktøy. Selv om vi mistenker at bruken er en test, varsler vi uansett kunden så fort som mulig for å få en sikker avklaring. Disse og beslektede verktøy brukes typisk etter at en angriper har fått et initielt fotfeste i et nettverk for videre kartlegging og utnyttelse.
DDoS-angrep
Det var 155 bekreftede DDoS-angrep denne måneden, opp fra 130 i mars. 98 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 10.1 Gbps og varte i 37 minutter. Det største angrepet observert i denne perioden var på 190 Gbps og varte i 8 minutter. Seks av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
Nyhetsoppsummering
Palo Alto Networks meldte 12. april om en kritisk sårbarhet i GlobalProtect-funksjonaliteten i PAN-OS programvaren, med alvorlighets-score (CVSS) på 10 av 10 mulige. Svakheten ble oppdaget 10. april og ble utnyttet av en sofistikert trusselaktør. Den lar angripere injisere kommandoer og dermed kjøre vilkårlig kode på brannmuren med administrator-privilegier. En oppdatering for svakheten ble gitt ut to dager senere. Utnyttelseskode for svakheten ble offentlig tilgjengelig 16. april. Utover i måneden ble det meldt om flere trusselaktører som utnyttet svakheten. Brukere av denne typen brannmur bør sjekke for kompromittering, dersom den har vært eksponert mot Internett før patchen ble installert.
24. april meldte Cisco at en avansert trusselaktør utnyttet flere nulldagssårbarheter i Cisco ASA VPN i kritisk infrastruktur. Kampanjen har pågått siden november 2023. Initiell inngangsvektor i kampanjen er så langt ukjent, men kan i mange tilfeller skyldes vellykket gjetting av passord mot enheten. Sårbarhetene som omtales av Cisco krever enten autentisering for å utnyttes eller tillater ellers tjenestenekt. Cisco publiserte sikkerhetsoppdateringer som adresserte sårbarhetene. I forbindelse med svakheten kom Nasjonal Sikkerhetsmyndighet (NSM) med flere forslag til tiltak, spesielt for samfunnsviktige virksomheter.
Cisco Talos advarer i en bloggpost om storskala innloggingsforsøk mot VPN- og SSH-tjenester som er tilgjengelig fra Internet. Angrepene har tiltatt i det siste og utnytter ofte benyttede brukernavn og passord. Innloggingsforsøkene kommer gjerne fra VPN-endepunkter eller TOR exit-noder. Typiske angrepsmål er: Cisco Secure Firewall VPN, Checkpoint VPN, Fortinet VPN, SonicWall VPN, RD Web Services, Miktrotik, Draytek og Ubiquiti. Vi anbefaler å sjekke for standard-kontoer på systemer, slå på MFA og benytte sertifikat-basert innlogging dersom mulig.
Apple har varslet brukere av deres produkter i 92 land om at de har vært utsatt for angrep via avansert overvåkingsprogramvare. Denne typen programvare blir typisk brukt av nasjonalstater for å bekjempe terrorisme og overvåke kriminelle, men mange bruker det også for overvåking av journalister, opposisjonen osv. Det mest kjente firmaet som leverer denne typen tjenester er israelske NSO Group med systemet "Pegasus". Det er ukjent hvem som står bak denne siste bølgen med angrep. Personer som står i fare for å rammes av denne typen angrep anbefales å slå på "Lockdown Mode" på sin Apple-enhet. Denne gjør enheten sikrere, mot noe tap i funksjonalitet.
Malwarebytes har skrevet en bloggpost om en pågående kampanje som forsøker å levere skadevare til systemadministratorer. Ved søk på populære programmer som PuTTy og FileZilla, dukker det opp annonser i toppen av søkeresultatet som fører til nedlasting av skadevare av typen Nitrogen. Denne brukes for initiell tilgang til kompromitterte systemer, og etterfølges gjerne av tyveri av informasjon eller installasjon av ransomware. Annonsene har blitt rapportert til Google, men kampanjen fortsetter. Vi anbefaler å sjekke nøye hvilke sider en laster ned programvare fra og sjekke installasjonsfiler før de kjøres. Sponsede søkeresultater bør unngås ved søk på programvare!
Netcraft har sett nærmere på phishing-tjenesten Darcula. Tjenesten støtter ikke bare SMS, men også iMessage mot iPhones og RCS mot Android-telefoner. Bruken av disse krypterte tjenestene kan inngi økt tillit hos mottakeren. De gjør det også umulig for mobilleverandøren å filtrere ut spam, siden meldingene ikke kan leses av leverandøren. I de siste månedene har phishing via iMessage og RCS rammet også norske brukere.
Google har gjennomgått alle kjente zero-day svakheter som ble brukt i 2023. I fjor ble det oppdaget 97 nye zero-days totalt, en økning på over 50% fra 2022. I fjor var det en økning i svakheter som rettet seg mot tredjeparts-komponenter og kode-biblioteker. Gjennom å kompromittere deler av forsyningskjeden, kan trusselaktørene ofte utnytte flere systemer som inkluderer dem. De to største gruppene som benyttet seg av ferske svakheter var kommersielle leverandører av overvåkingsprogramvare og spionasje-relaterte aktører. På tredjeplass kom finansielt motiverte aktører.
Etter innlogging på nettsteder opprettes det typisk en sesjonsnøkkel lagret i en cookie/informasjonskapsel for å holde brukeren innlogget. I forbindelse med malware og phishing blir disse gjerne stjålet, og angriperen kan deretter misbruke disse fritt fra andre PCer for å bli innlogget som offeret. Google introduserer nå en ny funksjon i Chrome som binder sesjonsnøkkelen opp mot den fysiske PCen til brukeren. Dette gjøres ved å opprette et offentlig/privat krypto-nøkkelpar der den private delen lagres i PCens TPM-chip (Trusted Platform Module). Stjålne sesjonsnøkler vil bli ubrukelige uten den private nøkkelen som er lagret i TPM. Funksjonen er foreløpig i test, men kan slås på manuelt.
