Situasjonsrapport - juli 2025

Alvorlige hendelser

I juli håndterte Telenor Cyberdefence 7 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, ned fra 18 i juni.

DDoS-angrep
Det var 27 bekreftede DDoS-angrep denne måneden, ned fra 68 i juni. 16 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 7,95 Gbps og varte i 60 minutter. Det største angrepet observert i denne perioden var på 35,4 Gbps og varte i 24 timer. Misbruk av DNS stod for 82% av angrepene.

Nyhetsoppsummering
Grafana Labs har gitt ut en kritisk sikkerhetsoppdatering for Image Renderer‑pluginen (og Synthetic Monitoring Agent) etter åtte Chromium sårbarheter ble oppdaget og utnyttet via bug bounty. Fire av disse (CVE‑2025‑5959, CVE‑2025‑6191, CVE‑2025‑6192 med score 8.8 og CVE‑2025‑6554 med score 8.1) gjør det mulig med fjernkodekjøring, ukontrollert minnetilgang eller heap‑korrupsjon via ondsinnet HTML. Brukere oppfordres til å oppdatere til Image Renderer ≥ 3.12.9 og Synthetic Agent ≥ 0.38.3 umiddelbart. Grafana Cloud og Azure Managed Grafana er allerede oppdatert.

CitrixBleed2 (CVE-2025-5777) er en alvorlig sårbarhet i Citrix NetScaler-enheter som lar angripere hente ut minneinnhold og stjele brukersesjoner ved hjelp av feilformede innloggingsforespørsler. Sårbarheten ligner på den tidligere CitrixBleed-feilen fra 2023 og er enkel å utnytte. Selv om Citrix hevder at det ikke finnes bevis for aktiv utnyttelse, har sikkerhetsforskere funnet indikasjoner på det motsatte. Det er sterkt anbefalt å installere tilgjengelige sikkerhetsoppdateringer.

Sårbarheter i produkter fra Atlassian, Oracle og Broadcom (VMware). JustisCERT varsler den 16. juli 2025 om alvorlige sårbarheter i produkter fra Atlassian, Oracle og Broadcom (VMware). Atlassian publiserte 15. juli 2025 hele 20 nye CVE‑numre med CVSS-scoringer mellom 7.2 og 8.8, og har rukket å lansere oppdateringer for alle støttede produkter.

Microsoft har utgitt nødoppdateringer for to aktive null-dag-sårbarheter, CVE-2025-53770 og CVE-2025-53771, som er blitt utnyttet i “ToolShell”-angrep mot lokale SharePoint-servere. Angrepene har rammet titalls organisasjoner verden over, med påvist utnyttelse siden 18. juli.

Sårbarheter i Apple‑produkter og i SonicWall SonicOS. Apple har rettet til sammen 29 sårbarheter i iOS og iPadOS 18.3, 17 i iPadOS 17.7.4, 61 i macOS Sequoia 15.3, 41 i macOS Sonoma 14.7.3, 31 i macOS Ventura 13.7.3, samt flere i Safari, tvOS, visionOS og watchOS.

 

 

Situasjonsrapport - juni 2025

Alvorlige hendelser

I juni håndterte Telenor Cyberdefence 18 alvorlige hendelser i forbindelse med tjenestene knyttet til Sikkerhetsovervåking, opp fra 7 i mai.

DDoS-angrep
Det var 68 bekreftede DDoS-angrep denne måneden, ned fra 69 i mai. 46 av disse ble håndtert og mitigert. Et gjennomsnittlig angrep var på 11,1 Gbps og varte i 16 minutter. Det største angrepet observert i denne perioden var på 262 Gbps og varte i 9 minutter. Misbruk av DNS, sammen med IP fragmentering, stod for 80% av angrepene.

Nyhetsoppsummering
Interlock-ransomwaregruppen har begynt å bruke en ny fjernstyrings trojaner (RAT) kalt NodeSnake. NodeSnake, skrevet i JavaScript og kjørt via Node.js, etablerer persistens ved å opprette en falsk registeroppføring kalt 'ChromeUpdater' som etterligner Google Chrome oppdateringer. Den benytter PowerShell eller CMD skript for å opprette denne oppføringen. Angrepene starter med phishing e-poster som inneholder ondsinnede lenker eller vedlegg som fører til infeksjon med NodeSnake.

CISA har utstedt en advarsel om aktiv utnyttelse av en nylig patchet sårbarhet i ConnectWise ScreenConnect, identifisert som CVE-2025-3935. Sårbarheten tillater potensielt fjernkjøring av kode på servere via ViewState-injeksjon, forutsatt at angriperen har tilgang til maskinnøkler. Denne sårbarheten er knyttet til en nylig sikkerhetshendelse hos ConnectWise, mistenkt å være en statssponset operasjon.

FBI, i samarbeid med CISA og det australske cybersikkerhetssenteret, har oppdatert sin rådgivning om Play-ransomware, også kjent som Playcrypt. Siden juni 2022 har gruppen kompromittert omtrent 900 organisasjoner globalt, inkludert kritisk infrastruktur i Nord-Amerika, Sør-Amerika og Europa.

Password‑spraying attacks target 80 000 Microsoft Entra ID‑kontoer. Hackere fra gruppen UNK_SneakyStrike har siden desember 2024 benyttet det offentlige rammeverket TeamFiltration for passordsprøyteangrep mot mer enn 80 000 Microsoft Entra ID-kontoer i hundrevis av organisasjoner. Angrepene skjer i bølger med opptil 16 500 kontoer per dag. TeamFiltration kartlegger brukere, eksfilerer data og legger inn bakdører via O365/EntraID.

Anubis, en kjent ransomware-as-a-service (RaaS) aktør har implementert en ny “wipe mode”. Dette destruerer filinnholdet og setter filstørrelsen til 0 KB, slik at ingen gjenoppretting er mulig selv om løsepengene betales. Denne funksjonen intensiverer presset på ofre gjennom en kombinert modell av kryptering (med .anubis-utvidelse) og dataødeleggelse. Angrepene starter med spear-phishing, etterfølges av privilegie-eskalering, sletting av shadow copies, kryptering (ECIES), og wiper-funksjon.

Cloudflare avverget i midten av mai 2025 et nytt rekordangrep av typen distribuert tjenestenekt (DDoS) rettet mot en hosting-leverandørs IP. Angrepet nådde en topp på 7,3 Tbps og sendte totalt 37,4 TB trafikk på bare 45 sekunder—det tilsvarer cirka 9 350 HD-filmer. Trafikken kom fra over 122 000 IP-adresser i 161 land, fordelt over 5 433 autonome systemer, med hoveddeler fra Brasil og Vietnam. Angrepet benyttet flere vektorer, først og fremst UDP-flood (99,996 %), men inkluderte også refleksjonsangrep som QOTD, Echo, NTP, Portmap og RIPv1. Cloudflare håndterte angrepet automatisk gjennom Magic Transit og sitt distribuerte anycast-nettverk uten behov for menneskelig intervensjon.