Alvorlige hendelser
I august håndterte TSOC 24 alvorlige hendelser i forbindelse med tjenestene Sikkerhetsovervåking og Logganalyse, opp fra 8 i juli.
Denne måneden ble en ansatt hos en av våre kunder lurt til å laste ned skadevare kalt “Lumma Stealer”. Den ansatte søkte først etter programvare vedkommende ville laste ned. I stedet for å bli sendt til den ekte siden for nedlasting, ble den ansatte sendt til en side som var en kopi av den ekte. Her blir besøkende bedt om å løse en CAPTCHA for å bevise at de ikke er et dataprogram. I stedet for en vanlig captcha der en typisk skal skrive inn nærmeste uleselige bokstaver eller velge hvilke deler av et bilde som er trafikklys, blir brukeren bedt om å åpne en Windows kommandolinje ved å trykke “Windows-tast + R”, kopiere inn tekst som allerede har blitt lagt i utklippstavlen og trykke “enter”.
For de fleste vanlige brukere vil teksten som blir kopiert inn se meningsløs ut, men i virkeligheten blir PowerShell bedt om å kjøre en rekke kommandoer som igjen ber det det legitime Windows-programmet “mshta” om å laste ned en .exe-fil med “Lumma Stealer” som så startes. Siden nedlastingen skjer fra et kommandolinje-verktøy, får brukeren heller ikke hjelp av innebygget deteksjon av skadevare i nettleseren. Lumma Stealer kontakter øyeblikkelig sin kontroll-server og henter ned kommandoer om hva den skal foreta seg videre. Som oftest blir skadevaren bedt om å samle alt av brukernavn, passord, sesjonsnøkler, krypto-lommebøker, lagrede kredittkort osv. og sende dette til bakmennene.
Dersom en mistenker infeksjon av denne typen skadevare, bør PCen slettes og installeres på nytt. Brukeren bør også øyeblikkelig begynne å kartlegge hva slags informasjon som kan ha blitt stjålet, og bytte passord, stenge kredittkort osv. Vi anbefaler å kun tillate kjøring av forhåndsgodkjent programvare på bruker-PCer. Brukere bør også læres opp til aldri å kopiere inn tekst fra nettleseren til kommando-linjen.
DDoS-angrep
Det var 124 bekreftede DDoS-angrep denne måneden, opp fra 110 i juli. 57 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 7.36 Gbps og varte i 17 minutter. Det største angrepet observert i denne perioden var på 131 Gbps og varte i 36 minutter. Fire av TSOCs bedriftskunder med tjenesten DDoS-beskyttelse ble utsatt for angrep denne måneden.
Nyhetsoppsummering
Denne måneden inneholdt Microsofts månedlige oppdatering oppdateringer for 92 svakheter. I tillegg ble seks av disse svakhetene allerede utnyttet i pågående angrep. Spesielt én av svakhetene fikk stor oppmerksomhet, en kritisk feil i Windows sin håndtering av IPv6-pakker (CVE-2024-38063). Denne svakheten var heldigvis ikke én av dem som allerede ble aktivt utnyttet, men til gjengjeld kunne den i teorien brukes til å utvikle en Internett-orm, altså programvare som automatisk sprer seg fra maskin til maskin. Microsoft anbefalte hurtig patching, og dersom dette ikke var mulig å sperre for IPv6-trafikk til sårbare maskiner. I løpet av august ble svakheten heldigvis ikke utnyttet og ting kan tyde på at den er vanskeligere å utnytte i praksis enn først ventet.
Det amerikanske justisdepartementet har siktet Matthew Isaac Knoot fra Nashville for å ha hjulpet nordkoreanske IT-arbeidere med å få fjernarbeid hos amerikanske og britiske selskaper. Knoot skal ha brukt stjålne identiteter og opprettet en “laptop farm” for å gi nordkoreanerne tilgang til selskapenes systemer, noe som resulterte i inntekter på hundretusener av dollar som ble sendt til Nord-Korea. Denne svindelen har påført de berørte selskapene betydelige kostnader for å revidere og sikre sine systemer. Justisdepartementet advarer nå selskaper om å være ekstra årvåkne ved ansettelse av fjernarbeidere, spesielt fra land med høy risiko. Det er viktig å utføre detaljerte fysiske intervjuer og ha nøye sjekk av identiteten til innleide.
Det nasjonale instituttet for standarder og teknologi (NIST) i USA har publisert tre nye krypteringsalgoritmer designet for å motstå fremtidige angrep fra kvantedatamaskiner. Standardene, som er resultatet av et åtte år langt prosjekt, dekker generell kryptering og digitale signaturer. FIPS 203, basert på CRYSTALS-Kyber-algoritmen, er ment for generell kryptering, mens FIPS 204 og FIPS 205 er designet for digitale signaturer, basert på henholdsvis CRYSTALS-Dilithium og Sphincs+ algoritmene. NIST oppfordrer organisasjoner til å begynne å implementere disse standardene umiddelbart, selv om ytterligere backup-algoritmer fortsatt er under evaluering.
Det er nylig oppdaget en sårbarhet i Microsoft 365 Copilot. Sårbarheten utnytter en kombinasjon av avanserte angrepsmetoder; "prompt-injection", automatisk oppstart av verktøy og "ASCII-smugling". Angrepet begynner ved at en angriper sender en ondsinnet e-post som inneholder skjulte AI-instruksjoner. Når Copilot analyserer e-posten vil Copiloten bli tatt over av instruksjonene, og begynne å utføre angriperens ønskede kommandoer. Det er blant annet vist hvordan instruksjonene kan søke etter sensitive e-poster eller dokumenter, og skjule denne informasjonen i skjulte Unicode-tegn i en hyperlenke. Brukeren blir deretter lurt til å klikke på lenken, som sender de stjålne dataene til angriperen. Sårbarheten utgjør en betydelig risiko for lekkasje av informasjon, og det er blitt anbefalte flere tiltak for å motvirke slike angrep. Microsoft påstår de har adressert sårbarheten, selv om de nøyaktige detaljene rundt løsningen ikke er offentliggjort.
Microsoft Threat Analysis Center (MTAC) rapporterer om en økning i utenlandsk påvirkning rettet mot det amerikanske presidentvalget i 2024, med Russland og Iran som hovedaktører. Irans cyberbaserte påvirkningsoperasjoner har blitt mer fremtredende de siste månedene, og skiller seg fra russiske kampanjer ved å fokusere mer på selve gjennomføringen av valget enn å påvirke velgerne. MTAC overvåker også bruken av generativ kunstig intelligens (KI) i påvirkningskampanjer, men observerer at mange aktører går tilbake til tradisjonelle teknikker som digital manipulasjon og misbruk av kjente varemerker eller logoer. Nettstedet Politico meldte også at de hadde mottatt lekkasjer i form av interne eposter fra Trump-kampanjen. Senere i måneden bekreftet Trump-medarbeidere at de hadde vært utsatt for et dataangrep, og at de mente at Iran stod bak angrepet. Dette er så langt ikke bekreftet, men FBI etterforsker saken.
En ny phishing-kampanje retter seg mot bankkunder i Tsjekkia, Ungarn og Georgia ved å bruke falske bankapper som er nesten identiske med de legitime appene. Hackerne brukte automatiserte talemeldinger, SMS og sosiale medier-annonser for å lure brukere til å installere ondsinnet programvare på Android- og iOS-enheter fra tredjeparts nettsteder. De skadelige appene er av typen progressive webapplikasjoner (PWA), som oppfører seg som ekte mobilapper og gir angripere tilgang til mikrofon, geolokasjon og kamera. Disse appene er egentlig bygget opp som en vanlig nettside og fungerer på tvers av en rekke operativsystemer. Angriperne satte også opp nettsider som simulerte app-butikker, for å lure ofrene til å tro at de hadde lastet ned ekte vare.
