Situasjonsrapport - februar 2025

Alvorlige hendelser

I februar håndterte TSOC 11 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 7 i januar.

DDoS-angrep
Det var 60 bekreftede DDoS-angrep denne måneden, ned fra 67 i januar. 36 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8.512 Gbps og varte i 34 minutter. Det største angrepet observert i denne perioden var på 86.3 Gbps og varte i 41minutter. Misbruk av DNS stod for brorparten av angrepene.

Nyhetsoppsummering
VMware har utgitt oppdateringer for fem sårbarheter i Aria Operations og Aria Operations for Logs (versjon 8.x), hvorav to regnes som høy risiko. De alvorligste sårbarhetene kan la angripere skaffe seg utvidede rettigheter via informasjonslekkasje og krever ikke administratorrettigheter for å utnytte. Sårbarhetene omfatter også mulighet for lagret XSS og en sårbarhet omfatter dårlig tilgangskontroll som gir ikke-administrative brukere en potensielt høyere tilgang enn tiltenkt.

Microsoft advarer om at angripere utnytter eksponerte ASP.NET-nøkler til å distribuere skadelig programvare. Microsoft har oppdaget at angripere utnytter statiske ASP.NET-maskinnøkler funnet på nettet til å utføre kodeinjeksjonsangrep via ViewState. Disse nøklene, som ofte hentes fra offentlige kodeplattformer, brukes til å generere ondsinnede ViewStates med gyldig message authentication code (MAC). Når slike ViewStates sendes via POST-forespørsler, dekrypterer og validerer ASP.NET Runtime dem. Dette kan gi angriperne mulighet til å kjøre vilkårlig kode på målets IIS-webserver. I desember 2024 observerte Microsoft et tilfelle der en angriper brukte en offentlig kjent maskinnøkkel til å levere Godzilla-rammeverket, som har funksjoner for kommandoeksekvering og injeksjon av shellkode.

Apple har utgitt nødoppdateringer for å rette en nulldagssårbarhet (CVE-2025-24200) som har blitt utnyttet i målrettede og svært sofistikerte angrep. Sårbarheten tillot fysiske angripere å deaktivere USB-begrenset modus på låste enheter, noe som potensielt åpnet for uautorisert uthenting av informasjon. USB-begrenset modus, introdusert i iOS 11.4.1, blokkerer USB-tilbehør fra å opprette en datatilkobling hvis enheten har vært låst i over en time. Sårbarheten er nå adressert i iOS 18.3.1 og iPadOS 18.3.1 med forbedret tilstandshåndtering.

Fortinet advarer om en ny autentiseringsomgåelses-sårbarhet (CVE-2025-24472) i FortiOS og FortiProxy, som angripere aktivt utnytter for å få super-administratorrettigheter på sårbare enheter. Sårbarheten gjør det mulig å opprette falske brukere, manipulere brannmurregler og få tilgang til interne nettverk via SSL VPN. Angrepene har pågått siden november 2024, ifølge Arctic Wolf Labs, som har observert scanning, rekognosering, konfigurasjonsendringer og lateral bevegelse i kompromitterte systemer.

To sikkerhetssårbarheter har blitt oppdaget i OpenSSH som kan føre til Man-in-the-Middle (MitM) og Denial-of-Service (DoS) angrep under visse betingelser. Begge sårbarhetene er adressert i OpenSSH versjon 9.9p2, utgitt 18. februar 2025.

Palo Alto PAN-OS har en kritisk sårbarhet (CVE-2025-0108) i administrasjonsgrensesnittet, som lar angripere omgå autentisering og kjøre visse PHP-script. Sårbarheten har en CVSS-score på 8.8 og utnyttes allerede aktivt, ifølge CISA. Angripere kan potensielt hente ut sensitiv informasjon som brannmurkonfigurasjon, VPN-brukere, sertifikater og nøkler. Internetteksponerte enheter bør tas av nett og oppdateres. Øvrige sårbare enheter bør oppdateres. Administrasjonsgrensesnitt bør ikke eksponeres på internett, men sikres med VPN, IP-hvitelister eller lignende.

CISA og FBI rapporterer at angripere som benytter Ghost løsepengevirus har infiltrert ofre i over 70 land siden tidlig 2021. De rammede sektorene inkluderer kritisk infrastruktur, helsevesen, offentlig sektor, utdanning, teknologi, produksjon samt en rekke små og mellomstore bedrifter. Angriperne utnytter kjente sårbarheter i utdatert programvare og fastvare. Gruppen benytter ulike navn og varianter av løsepengevirus, inkludert Cring.exe, Ghost.exe, ElysiumO.exe og Locker.exe, og endrer ofte filendelser og innholdet i løsepengebrevene for å unngå deteksjon.

 

 

Situasjonsrapport - januar 2025

 Alvorlige hendelser

I januar håndterte TSOC 7 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 16 i desember.

DDoS-angrep
Det var 67 bekreftede DDoS-angrep denne måneden, opp fra 45 i desember. 46 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 22.2 Gbps og varte i 26 minutter. Det største angrepet observert i denne perioden var på 845 Gbps og varte i 22 minutter. Misbruk av DNS stod for brorparten av angrepene.

Nyhetsoppsummering

Kritisk sårbarhet i Windows BitLocker utnyttet
En ny kritisk sårbarhet i BitLocker (CVE-2025-21210) tillater angripere med fysisk tilgang å manipulere krypterte data, og tvinge Windows til å skrive ukrypterte data (som passord og nøkkelmateriale) til disk. Angrepet utnytter en feil i hvordan crash-dump konfigurasjoner håndteres. Microsoft har utgitt en oppdatering for å hindre utnyttelse.

Mulig datainnbrudd hos Gravy Analytics kan lekke posisjonsdata om norske borgere
Gravy Analytics, som er et selskap som spesialiserer seg på posisjonsdata fra mobiltelefoner, har angivelig blitt utsatt for et stort datainnbrudd som kan ramme millioner av personer globalt. Hackerne påstår å ha stjålet store mengder sensitiv informasjon, inkludert nøyaktige GPS-koordinater, tidsstempler og bevegelseshistorikk, noe som kan føre til alvorlige personvernbrudd. Blant de berørte dataene finnes det detaljer om 146.000 norske mobilenheter som potensielt kan avsløre personlige bevegelsesmønstre. Hackerne har publisert et utrag av dataen de påstår å ha stjålet som har blitt vurdert som ekte av flere eksperter. Et generelt tiltak som anbefales er å være restriktiv i hvilke tillatelser man gir applikasjoner.

Kinesiske hackere har brutt seg inn i Charter og Windstream-nettverk
Kinesiske statssponserte hackere, kjent som Salt Typhoon, har brutt seg inn i flere amerikanske telekommunikasjonsnettverk, inkludert Charter Communications, Windstream og Consolidated Communications. De har fått tilgang til sensitive data som tekstmeldinger, talemeldinger og samtaler. Etter disse hendelsene har CISA anbefalt end-to-end kryptering for å beskytte kommunikasjon.

Ivanti advarer om ny Connect Secure-sårbarhet utnyttet i zero-day-angrep
Ivanti varsler at angripere har utnyttet en kritisk sårbarhet (CVE-2025-0282) i Connect Secure for å installere skadevare på sårbare enheter. Feilen er en buffer-overflow som gjør det mulig for uvedkommende å kjøre kode fra eksternt ståsted. En tilhørende svakhet (CVE-2025-0283) kan misbrukes til å eskalere privilegier lokalt, men er foreløpig ikke observert i aktive angrep.

Kritisk sårbarhet i Windows BitLocker utnyttet
En ny kritisk sårbarhet i BitLocker (CVE-2025-21210) tillater angripere med fysisk tilgang å manipulere krypterte data, og tvinge Windows til å skrive ukrypterte data (som passord og nøkkelmateriale) til disk. Angrepet utnytter en feil i hvordan crash-dump konfigurasjoner håndteres. Microsoft har utgitt en oppdatering for å hindre utnyttelse. 

Alvorlige sårbarheter i Palo Alto brannmurer lar angripere omgå Secure Boot på hardware
En ny rapport fra Eclypsium avslører alvorlige sårbarheter i Palo Alto Networks-brannmurer som gjør det mulig for angripere å omgå Secure Boot, utnytte feil på hardwarenivå og få høyere privilegier for å opprettholde tilgang i nettverk. Tre modeller PA-3260, PA-1410 og PA-415, er undersøkt og rammes av kjente svakheter som BootHole, PixieFail og LogoFAIL som kan føre til at angripere får kjøre vilkårlig kode. Funnene peker på mangler i Palo Altos oppdateringer som gjør at enhetene framdeles er sårbare for angrep.

PoC frigitt for zero-day sårbarhet i Fortinet
En Proof-of-Concept (PoC)-utnyttelse har blitt offentliggjort for CVE-2024-55591, en kritisk nulldagssårbarhet i Fortinet-produkter. Sårbarheten gjør det mulig for angripere å kompromittere systemer eksternt, noe som setter titusenvis av enheter i fare.

Hackere utnytter RDP-protokollen for å få tilgang til Windows-systemer og fjernstyre nettlesere
Cyberkriminelle utnytter sårbarheter i Remote Desktop Protocol (RDP) for å oppnå uautorisert tilgang til Windows-systemer og fjernkontrollere nettlesere. Angriperne bruker ofte brute-force-angrep på svake passord eller kjøper tilgang via mørkenettmarkeder. Etter å ha fått tilgang, kan de kapre aktive RDP-økter, bevege seg lateralt i nettverket og rekonstruere brukeraktivitet, inkludert nettleserinteraksjoner, ved hjelp av verktøy som Mimikatz og BMC-Tools.

Situasjonsrapport - desember 2024

Alvorlige hendelser
I desember håndterte TSOC 16 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 14 i november.

DDoS-angrep
Det var 45 bekreftede DDoS-angrep denne måneden, ned fra 107 i november. 32 av angrepene ble mitigert. Et gjennomsnittlig angrep var på 8.59 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 46.5 Gbps og varte i et døgn. 

Nyhetsoppsummering
Interpol har ledet en global politiaksjon kalt Operation HAECHI-V, som involverte myndigheter fra 40 land mellom juli og november 2024. Operasjonen resulterte i pågripelse av mer enn 5.500 mistenkte cyberkriminelle og beslagleggelse av over 400 millioner dollar i virtuelle og forskjellige lands valutaer. Blant resultatene var en felles aksjon fra koreanske og kinesiske myndigheter som avviklet en omfattende voice phishing-gruppe som hadde forårsaket tap på 1,1 milliarder dollar for over 1.900 ofre. Interpol har også advart mot en ny svindelteknikk kalt "USDT Token Approval Scam", der kriminelle gir seg ut for å være potensielle romantiske partnere for å lure ofre til å gi dem full tilgang til sine krypto-lommebøker.

En hacker har publisert detaljer om over 760 000 ansatte fra kjente selskaper som Bank of America, Koch, Nokia, JLL, Xerox, Morgan Stanley og Bridgewater på et hackingforum. Dataene stammer trolig fra fjorårets MOVEit-angrep, der en zero-day sårbarhet i Progress Softwares filoverføringsprogramvare ble utnyttet. Den russisk-knyttede ransomware-gruppen Cl0p antas å stå bak angrepet. De lekkede dataene inkluderer navn, e-postadresser, telefonnumre, ansatt-IDer, stillingstitler og navn på ledere.

Økt samarbeid mellom mobiloperatørene i Norge fører til at det blokkeres flere svindelforsøk. Alle mobiloperatørene i Norge har allerede systemer på plass for å blokkere svindelforsøk fra egne nummer. Tidligere i år sendte Nasjonal kommunikasjonsmyndighet (Nkom) brev til Telenor, Telia og Ice og ba dem styrke samarbeidet for å stoppe enda flere svindelforsøk

Oasis Securitys forskningsteam avdekket en kritisk sårbarhet i Microsofts implementering av tofaktorautentisering (MFA) som tillot angripere å omgå den og få uautorisert tilgang til brukerkontoer. Sårbarheten utnyttet manglende "rate limiting" og et tidsvindu på 3 minutter for å gjette en 6-sifret kode fra en autentiseringsapp. Dette gjorde det mulig å utføre et stort antall gjetninger på kort tid uten å varsle brukeren, eller uten at systemet hindret forsøkene. I snitt tok det rundt 70 minutter å logge inn på en konto med 6-sifret kode som andre faktor. Microsoft har løst problemet ved å innføre strengere "rate limiting" etter et visst antall mislykkede forsøk.

NSM kom i desember ut med en anbefaling om at virksomheter går over til passnøkler (passkeys) eller andre FIDO2-implementasjoner for autentisering. Årsaken er at aktører i økende grad tar seg forbi tradisjonell flerfaktorautentisering. NSM har registrert en rekke phishingkampanjer der målet er økonomisk vinning, ofte via fakturasvindel. Kampanjene lar seg gjennomføre fordi virksomheter ikke påkrever phishingresistent autentisering. NSM anbefaler å prioritere implementering av phishingresistent autentisering på Microsoft 365 og andre skyløsninger, samt identitetsløsninger og internetteksponerte tjenester. Prioriter spesielt utsatte brukere som økonomiansvarlige, ledere og systemadministratorer ved gradvis utrulling.

I en internasjonal aksjon kalt "Operation PowerOFF" har politiet stengt 27 plattformer som tilbyr DDoS-angrep. Aksjonen koordineres av Europol og involverer 15 land. Målet er å holde både tilbydere og brukere av slike tjenester ansvarlige. Tre administratorer bak plattformene er arrestert, og over 300 brukere er identifisert for videre etterforskning. Julehøytiden har historisk være en en periode med økt risiko for DDoS-angrep. Motivene bak angrepene varierer fra økonomisk vinning til ideologiske årsaker.