CERT-SE:s veckobrev v.43

Nyheter i veckan

Ragnar Locker ransomware gang taken down by international police swoop
https://www.europol.europa.eu/media-press/newsroom/news/ragnar-locker-ransomware-gang-taken-down-international-police-swoop

Internationella brottsmålsdomstolen: Cyberattacken hade spionage som mål (23 okt)
https://computersweden.idg.se/2.2683/1.780247/internationella-brottsmalsdomstolen-cyberattacken-hade-spionage-som-mal

City of Philadelphia discloses data breach after five months (23 okt)
https://www.bleepingcomputer.com/news/security/city-of-philadelphia-discloses-data-breach-after-five-months/

Ny attack mot Okta – hackare kom över kundinformation (23 okt)
https://computersweden.idg.se/2.2683/1.780249/okta-hackare

QNAP takes down server behind widespread brute-force attacks (23 okt)
https://www.bleepingcomputer.com/news/security/qnap-takes-down-server-behind-widespread-brute-force-attacks/

Spain arrests 34 cybercriminals who stole data of 4 million people (23 okt)
https://www.bleepingcomputer.com/news/security/spain-arrests-34-cybercriminals-who-stole-data-of-4-million-people/

1Password discloses security incident linked to Okta breach (23 okt)
https://www.bleepingcomputer.com/news/security/1password-discloses-security-incident-linked-to-okta-breach/

US energy firm shares how Akira ransomware hacked its systems (23 okt)
https://www.bleepingcomputer.com/news/security/us-energy-firm-shares-how-akira-ransomware-hacked-its-systems/

Generative AI phishing fears realized as model develops “highly convincing” emails in 5 minutes (24 okt)
https://www.csoonline.com/article/656698/generative-ai-phishing-fears-realized-as-model-develops-highly-convincing-emails-in-5-minutes.html

Espionage group uses webmail server zero-day to target European governments (25 okt)
https://therecord.media/winter-vivern-hackers-roundcube-webmail-zero-day

Alert: PoC Exploits Released for Citrix and VMware Vulnerabilities (25 okt)
https://thehackernews.com/2023/10/alert-poc-exploits-released-for-citrix.html

Measures taken following the unprecedented cyber-attack on the ICC (27 okt)
https://www.icc-cpi.int/news/measures-taken-following-unprecedented-cyber-attack-icc

Microsoft warns of criminal group using ‘advanced’ phishing tricks (27 okt)
https://www.siliconrepublic.com/enterprise/microsoft-octo-tempest-cyberattacks-phishing

Informationssäkerhet och blandat

Dataintrång sprids från en organisation till en annan – sätt stopp för nätfiske (20 okt)
https://www.kyberturvallisuuskeskus.fi/sv/dataintrang-sprids-fran-en-organisation-till-en-annan-satt-stopp-natfiske

An Analysis of Signal’s PQXDH (20 okt)
https://cryspen.com/post/pqxdh/

Norge rammes av avanserte målrettede cyberangrep (20 okt)
https://nsm.no/aktuelt/norge-rammes-av-avanserte-malrettede-cyberangrep
..
Nasjonalt digitalt risikobilde 2023
https://nsm.no/getfile.php/1313382-1697777843/NSM/Filer/Dokumenter/Rapporter/Nasjonalt%20digitalt%20risikobilde%202023.pdf

How hackers can use stolen DNA data (24 okt)
https://technology.inquirer.net/129159/how-hackers-can-use-stolen-dna-data

September blev ny rekordmånad för ransomware (25 okt)
https://computersweden.idg.se/2.2683/1.780261/september-blev-rekordmanad-for-ransomware-attacker

ChatGPT wrote code that can make databases leak sensitive information (25 okt)
https://www.newscientist.com/article/2399370-chatgpt-wrote-code-that-can-make-databases-leak-sensitive-information/

Hackers can force iOS and macOS browsers to divulge passwords and much more (25 okt)
https://arstechnica.com/security/2023/10/hackers-can-force-ios-and-macos-browsers-to-divulge-passwords-and-a-whole-lot-more/

DDoS threat report for 2023 Q3 (26 okt)
https://blog.cloudflare.com/ddos-threat-report-2023-q3

Your email account was hacked. What now? (27 okt)
https://www.pcworld.com/article/2116162/how-to-recover-from-hacked-email-account.html

CERT-SE i veckan

Kritisk sårbarhet i F5 Networks BIG-IP

Flera sårbarheter i VMware vCenter Server, VMware Cloud Foundation och Aria Operations for Logs

Kritiska sårbarheter i SolarWinds ARM

CERT-SE:s veckobrev v.42

Den senaste veckan har CERT-SE publicerat och uppdaterat flera artiklar om sårbarheter som utnyttjas aktivt. Installera säkerhetsuppdateringar så snart som möjligt och följ tillverkarnas rekommendationer i övrigt. För den som har en stund över är CERT-SE:s CTF tillgänglig fram till sista oktober. Den hittar ni här.

Nyheter i veckan

HTTP/2 Rapid Reset’ Zero-Day Exploited to Launch Largest DDoS Attacks in History (10 okt)
https://www.securityweek.com/rapid-reset-zero-day-exploited-to-launch-largest-ddos-attacks-in-history/

Europe mulls open sourcing TETRA emergency services’ encryption algorithms (12 okt)
https://www.theregister.com/2023/10/12/etsi_tetra_open_source/

Rakel-systemets krypteringsalgoritm kan bli öppen källkod (16 okt)
https://computersweden.idg.se/2.2683/1.780201/europa-overvager-att-gora-raddningstjanstens-krypteringsalgoritm-till-oppen-kallkod

Void Rabisu Targets Female Political Leaders with New Slimmed-Down ROMCOM Variant (13 okt)
https://www.trendmicro.com/en_se/research/23/j/void-rabisu-targets-female-leaders-with-new-romcom-variant.html

DarkGate malware spreads through compromised Skype accounts (14 okt)
https://www.bleepingcomputer.com/news/security/darkgate-malware-spreads-through-compromised-skype-accounts/
..
DarkGate Opens Organizations for Attack via Skype, Teams (12 okt)
https://www.trendmicro.com/en_ph/research/23/j/darkgate-opens-organizations-for-attack-via-skype-teams.html

Liberalerna segrade i Ålands lagtingsval – åländska medier utsattes för överbelastningsattack under valkvällen (15 okt)
https://svenska.yle.fi/a/7-10043585

How hackers piled onto the Israeli-Hamas conflict (15 okt)
https://www.politico.eu/article/israel-hamas-war-hackers-cyberattacks/

Steam enforces SMS verification to curb malware-ridden updates (15 okt)
https://www.bleepingcomputer.com/news/security/steam-enforces-sms-verification-to-curb-malware-ridden-updates/

Kansas Supreme Court Probes Potential Ransomware Attack (16 okt)
https://www.govinfosecurity.com/kansas-supreme-court-probes-potential-ransomware-attack-a-23320

Sveriges cybersäkerhet rankas sämst i Norden (16 okt)
https://computersweden.idg.se/2.2683/1.780204/sveriges-cybersakerhet-rankas-samst-i-norden

Hackers steal sensitive info of thousands of Sony employees (16 okt)
https://www.pandasecurity.com/en/mediacenter/mobile-news/sony-employees-hack/

Försvarsmakten: Främmande makt förbereder cyberangrepp mot Sverige (16 okt)
https://www.svt.se/nyheter/inrikes/forsvarsmakten-frammande-makt-forbereder-cyberangrepp-mot-sverige
..
Transportsektorn och Försvarsmakten i gemensam övning mot cyberhot (16 okt)
https://foi.se/nyheter-och-press/nyheter/2023-10-16-transportsektorn-och-forsvarsmakten-i-gemensam-ovning-mot-cyberhot.html

Signal says there is no evidence rumored zero-day bug is real (16 okt)
https://www.bleepingcomputer.com/news/security/signal-says-there-is-no-evidence-rumored-zero-day-bug-is-real/

CERT-UA Reports: 11 Ukrainian Telecom Providers Hit by Cyberattacks (17 okt)
https://thehackernews.com/2023/10/cert-ua-reports-11-ukrainian-telecom.html

Crackdown on nuclear firm after cyber security ‘shortfalls’ (18 okt)
https://theferret.scot/cyber-security-nuclear-security-crackdown/

Finland Charges Psychotherapy Hacker With Extortion (18 okt)
https://www.securityweek.com/finland-charges-psychotherapy-hacker-with-extortion/

D-Link confirms data breach, but downplayed the impact (18 okt)
https://securityaffairs.com/152631/hacking/d-link-confirmed-data-breach.html

Twitter glitch allows CIA informant channel to be hijacked (18 okt)
https://www.bbc.com/news/technology-67137773

Cybersäkerhet en allt tyngre budgetpost – mest kostar det för vården (18 okt)
https://computersweden.idg.se/2.2683/1.780221/cybersakerhet-en-allt-tyngre-budgetpost-mest-kostar-det-for-varden
..
Ny global rapport om cybersäkerhet: Dataintrången alltmer kostsamma
https://www.pwc.se/sv/cyber-security/digital-trust-insights.html

23andMe Users’ Info Leaked Again, Millions of Records Found on Dark Web (19 okt)
https://gizmodo.com/23andme-users-info-leaked-again-records-found-dark-web-1850942298

Dataintrång sprids från en organisation till en annan – sätt stopp för nätfiske (20 okt)
https://www.kyberturvallisuuskeskus.fi/sv/dataintrang-sprids-fran-en-organisation-till-en-annan-satt-stopp-natfiske

Informationssäkerhet och blandat

Understanding DNS Tunneling Traffic in the Wild (13 okt)
https://unit42.paloaltonetworks.com/dns-tunneling-in-the-wild/

“EtherHiding” — Hiding Web2 Malicious Code in Web3 Smart Contracts (13 okt)
https://labs.guard.io/etherhiding-hiding-web2-malicious-code-in-web3-smart-contracts-65ea78efad16

Threat Actors Exploit Atlassian Confluence CVE-2023-22515 for Initial Access to Networks (16 okt)
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-289a

The forgotten malvertising campaign (16 okt)
https://www.malwarebytes.com/blog/threat-intelligence/2023/10/the-forgotten-malvertising-campaign

Are typos still relevant as an indicator of phishing? (16 okt)
https://isc.sans.edu/diary/Are+typos+still+relevant+as+an+indicator+of+phishing/30316/

Discord, I Want to Play a Game (16 okt)
https://www.trellix.com/about/newsroom/stories/research/discord-i-want-to-play-a-game/

IT admins are just as culpable for weak password use (17 okt)
https://outpost24.com/blog/it-admins-weak-password-use/

Are You Sure Your Browser is Up to Date? The Current Landscape of Fake Browser Updates (17 okt)
https://www.proofpoint.com/us/blog/threat-insight/are-you-sure-your-browser-date-current-landscape-fake-browser-updates
..
The Fake Browser Update Scam Gets a Makeover (18 okt)
https://krebsonsecurity.com/2023/10/the-fake-browser-update-scam-gets-a-makeover/

Clever malvertising attack uses Punycode to look like KeePass’s official website (18 okt)
https://www.malwarebytes.com/blog/threat-intelligence/2023/10/clever-malvertising-attack-uses-punycode-to-look-like-legitimate-website

BlackCat Climbs the Summit With a New Tactic (18 okt)
https://unit42.paloaltonetworks.com/blackcat-ransomware-releases-new-utility-munchkin/

Government-backed actors exploiting WinRAR vulnerability (18 okt)
https://blog.google/threat-analysis-group/government-backed-actors-exploiting-winrar-vulnerability/

Multiple North Korean threat actors exploiting the TeamCity CVE-2023-42793 vulnerability (18 okt)
https://www.microsoft.com/en-us/security/blog/2023/10/18/multiple-north-korean-threat-actors-exploiting-the-teamcity-cve-2023-42793-vulnerability/

Unraveling Real-Life Attack Paths – Key Lessons Learned (18 okt)
https://thehackernews.com/2023/10/unraveling-real-life-attack-paths-key.html

There’s a new way to flip bits in DRAM, and it works against the latest defenses (19 okt)
https://arstechnica.com/security/2023/10/theres-a-new-way-to-flip-bits-in-dram-and-it-works-against-the-latest-defenses/

CERT-SE i veckan

Kritisk 0-day-sårbarhet i Confluence utnyttjas aktivt (uppdaterad 2023-10-17)

Oracles kvartalsvisa säkerhetsuppdatering för oktober 2023

Kritisk sårbarhet i Cisco IOS XE Software Web UI (Uppdaterad 2023-10-19)

Flera sårbarheter i Citrix Netscaler ADC och Netscaler Gateway (Uppdaterad 2023-10-19)

Två svenskar döda i terrorattentat i Bryssel –

Publicerad 2023-10-15 – Uppdaterad 2023-10-16; kl 11.05

Pressträff med Ulf Kristersson kl 11

Statsminister håller en pressträff klockan 11 med anledning av terrorattentatet i Bryssel igår.

Riksdagen håller tyst minut för dödsoffren

Riksdagen håller en tyst minut kl 13 för att hedra de som sköts till döds i terrorattentatet igår kväll.


Två svenska medborgare dödades och ytterligare en skadades när en man öppnade eld i Belgiens huvudstad Bryssel i vad den belgiska regeringen betecknar som ett terrorattentat riktat mot svenska medborgare. En av de avlidna svenskarna är bosatt i Schweiz. Tillståndet för den skadade svensken uppges vara allvarligt.

Kvalmatch i Bryssel

Samtidigt med terrorattentatet pågick Sveriges EM-kvalmatch. Denna avbröts efter det att arenan nåddes av uppgifterna om terrorattentatet. Svenska Fotbollsförbundet SvFF:s ordförande, Fredrik Reinfeldt, evakuerades omgående från arenan.

Lockdown och evakuering av svenskar

Efter att matchen avbrutits hölls arenan i ett s k Lockdown-läge med myndigheterna och arrangörerna planerade för hur de 700 svenska supportrarna och landslaget skulle kunnas föras från arenan till sina respektive hotell och sedan vidare till flygplatsen. Enligt uppgift hos TV4 Nyheterna pågick evakueringen ännu vid 04-tiden på tisdagens morgon.

Höjd terrorhotnivå

Belgiens regering har beslutat att höja terrorhotnivån till den högsta i Bryssel, en fyra på den fyrgradiga skalan. På nationell nivå ligger hotnivån kvar på en trea. Den svenska säkerhetspolisen meddelar att man följer händelseutvecklingen mycket noga och står i nära kontakt med sina belgiska motsvarigheter. Någon höjning av terrorhotnivån är i nuläget inte aktuell men att läget kan snabbt förändras om ny information framkommer.

Svenskar varnas

Svenska medborgare på besök i Bryssel uppmanas att inte röra sig på stan och att noga följa myndigheternas anvisningar. Det rekommenderas också att man bär en neutral klädsel som inte väcker uppmärksamhet. Det kan även vara klokt att inte prata svenska.

Pågående terrorhändelse

Den svenska regeringen står i direktkontakt med sin belgiska motsvarighet och har också mottagit kondoleanser för det hemska och avskyvärda terrordådet.

Händelsen betraktas som en pågående terrorhändelse.

Belgiska myndigheter uppger att man i morse grep den misstänkte gärningsmannen. Mannen avled till följd av den skottlossning som uppstod vid gripandet. Den belgiska polisen utesluter inte att att fler gärningsmän med kopplingar till händelsen kan vara på fri fot.

Frankrike och Nederländerna har skärpt gränskontrollen med anledning av terrorattentatet.

Säkerhetspolisens pressmeddelande om dåden i Bryssel

CERT-SE:s veckobrev v.41

Patchtisdag firar 20 år denna månad! Vi hoppas att detta firas med extra mycket patchning. Titta gärna på de artiklar som vi på CERT-SE publicerat denna vecka med information om kritiska sårbarheter i produkter från flera tillverkare.

Nyheter i veckan

Genetics firm 23andMe says user data stolen in credential stuffing attack (6 okt)
https://www.bleepingcomputer.com/news/security/genetics-firm-23andme-says-user-data-stolen-in-credential-stuffing-attack/

Manufacturing services tech giant hit with cyberattack (10 okt)
https://therecord.media/manufacturing-giant-hit-with-cyberattack

Air Europa customers urged to cancel cards following hack on payment system (10 okt)
https://therecord.media/air-europa-cyberattack-payment-cards

Finnish websites hit by more cyberattacks (11 okt)
https://yle.fi/a/74-20054766

SEC is investigating MOVEit mass-hack, says Progress Software (11 okt)
https://techcrunch.com/2023/10/11/sec-is-investigating-moveit-mass-hack-says-progress-software/

Manufacturing giant dealing with ‘disruptive’ cyberattack (12 okt)
https://therecord.media/manufacturing-giant-dealing-with-disruptive-cyberattack

Microsoft Defender Thwarts Large-Scale Akira Ransomware Attack (12 okt)
https://thehackernews.com/2023/10/microsoft-defender-thwarts-akira.html

Rapporter och analyser

The Art of Concealment: A New Magecart Campaign That’s Abusing 404 Pages (9 okt)
https://www.akamai.com/blog/security-research/magecart-new-technique-404-pages-skimmer

Patch Now: Massive RCE Campaign Wrangles Routers Into Botnet (9 okt)
https://www.darkreading.com/cloud/patch-now-massive-rce-campaign-d-link-zyxel-botnet

Microsoft Digital Defense Report 2023 (10 okt)
https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report-2023

StopRansomware: AvosLocker Ransomware (Update) (11 okt)
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-284a

Resurgence of LinkedIn Smart Links Identified in Sizable Credential Phishing Campaign (11 okt)
https://cofense.com/blog/linkedin-smart-links-credential-phishing-campaign/

Hackers will use AI to orchestrate worldwide cyberattacks (12 okt)
https://macleans.ca/society/technology/ai-cyberattacks/

NSA releases a repository of signatures and analytics to secure Operational Technology (12 okt)
https://www.nsa.gov/Press-Room/Press-Releases-Statements/Press-Release-View/Article/3554537/nsa-releases-a-repository-of-signatures-and-analytics-to-secure-operational-tec/

Ransomware attacks now target unpatched WS_FTP servers (12 okt)
https://www.bleepingcomputer.com/news/security/ransomware-attacks-now-target-unpatched-ws-ftp-servers/

Phishing, the campaigns that are targeting Italy (12 okt)
https://securityaffairs.com/152372/cyber-crime/phishing-campaigns-targt-italy.html

DarkGate Opens Organizations for Attack via Skype, Teams (12 okt)
https://www.trendmicro.com/en_us/research/23/j/darkgate-opens-organizations-for-attack-via-skype-teams.html

Ransomware Roundup – Akira (12 okt)
https://www.fortinet.com/blog/threat-research/ransomware-roundup-akira

ToddyCat: Keep calm and check logs (12 okt)
https://securelist.com/toddycat-keep-calm-and-check-logs/110696/

Shadow PC warns of data breach as hacker tries to sell gamers’ info (12 okt)
https://www.bleepingcomputer.com/news/security/shadow-pc-warns-of-data-breach-as-hacker-tries-to-sell-gamers-info/

ShellBot Uses Hex IPs to Evade Detection in Attacks on Linux SSH Servers (12 okt)
https://thehackernews.com/2023/10/shellbot-uses-hex-ips-to-evade.html

Informationssäkerhet och övrigt

Så fungerar de nya digitala id-korten – bilden förfalskades på några minuter (8 okt)
https://www.dn.se/ekonomi/sa-fungerar-de-nya-digitala-id-korten-bilden-forfalskades-pa-nagra-minuter/

Finlands andra kvantdator invigs – körs i 273 minusgrader (10 okt)
https://svenska.yle.fi/a/7-10043189

CISA, Government, and Industry Partners Publish Fact Sheet for Organizations Using Open Source Software (10 okt)
https://www.cisa.gov/news-events/news/cisa-government-and-industry-partners-publish-fact-sheet-organizations-using-open-source-software

Svenskarna och internet 2023 (10 okt)
https://svenskarnaochinternet.se/rapporter/svenskarna-och-internet-2023/

From chaos to cadence: Celebrating two decades of Microsoft’s Patch Tuesday (11 okt)
https://www.theregister.com/2023/10/11/microsoft_patch_tuesday_turns_20/

Sverige ska få fler cyberexperter – ”finns stort behov” (12 okt)
https://sverigesradio.se/artikel/sverige-ska-fa-fler-cyberexperter-finns-stort-behov

Riksrevisionens rapport om regeringens styrning av samhällets informations- och cybersäkerhet (12 okt)
https://www.regeringen.se/rattsliga-dokument/skrivelse/2023/10/skr.-20232426

Ransomlooker, a new tool to track and analyze ransomware groups’ activities (12 okt)
https://securityaffairs.com/152416/malware/ransomlooker-tool.html

CISA Releases New Resources Identifying Known Exploited Vulnerabilities and Misconfigurations Linked to Ransomware (12 okt)
https://www.cisa.gov/news-events/alerts/2023/10/12/cisa-releases-new-resources-identifying-known-exploited-vulnerabilities-and-misconfigurations-linked

CERT-SE:s veckobrev v.40

Cybersäkerhetsmånaden har snart pågått i en vecka. Flera bra initiativ finns med målsättning att höja medvetenheten och kompetensen hos privatpersoner och organisationer för säker närvaro online. 

Tänk Säkert! är kampanjen som genomförs i samverkan mellan svenska myndigheter och organisationer.

Antar du CERT-SE:s utmaning? eller läs om det europeiska iniitativet #BeSmarterThanAHacker.

Nyheter i veckan

Cloudflare DDoS protections ironically bypassed using Cloudflare (30 sep)
https://www.bleepingcomputer.com/news/security/cloudflare-ddos-protections-ironically-bypassed-using-cloudflare/

Praoelevers uppgifter kan ha läckt efter stort intrång (2 okt)
https://www.dn.se/sverige/praoelevers-uppgifter-kan-ha-lackt-efter-stort-intrang/

FBI Warns of Dual Ransomware Attacks and Data Destruction Trends (2 okt)
https://www.infosecurity-magazine.com/news/fbi-warns-dual-ransomware-data/

BunnyLoader: New Malware-as-a-Service Threat Emerges in the Cybercrime Underground (2 okt)
https://thehackernews.com/2023/10/bunnyloader-new-malware-as-service.html

Nederländerna varnar för solcellsanläggningar – risk även i Sverige (3 okt)
https://sverigesradio.se/artikel/nederlanderna-varnar-for-solpaneler-risk-aven-i-sverige

CISA and NSA Release New Guidance on Identity and Access Management (4 okt)
https://www.cisa.gov/news-events/alerts/2023/10/04/cisa-and-nsa-release-new-guidance-identity-and-access-management

Police Issue “Quishing” Email Warning (4 okt)
https://www.infosecurity-magazine.com/news/police-issue-quishing-email-warning/

CERT-In issues alert against LuaDream info-stealing malware (4 okt)
https://www.thehindu.com/sci-tech/technology/cert-in-alert-against-luadream-malware/article67379383.ece

Check Point discovers new phishing scam on Dropbox (4 okt)
https://securitybrief.co.nz/story/check-point-discovers-new-phishing-scam-on-dropbox

Cyberattack on British telecom Lyca prevented customers from making calls, topping up (4 okt)
https://therecord.media/cyberattack-on-lyca-stops-calls

NSA and CISA Red and Blue Teams Share Top Ten Cybersecurity Misconfigurations (5 okt)
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-278a

Bugg i datasystem – brottsoffers personnummer har läckt (5 okt)
https://sverigesradio.se/artikel/bugg-i-datasystem-brottsoffers-personnummer-har-lackt

NATO Probes Cyberattack Linked to Stolen Strategic Documents (5 okt)
https://www.thedefensepost.com/2023/10/05/nato-cyberattack-stolen-strategic-documents/

Curl 8.4.0 – Proactively Identifying Potential Vulnerable Assets (5 okt)
https://blog.qualys.com/vulnerabilities-threat-research/2023/10/05/curl-8-4-0-proactively-identifying-potential-vulnerable-assets

Cyber criminals access hospital patient information (5 okt)
https://www.canberratimes.com.au/story/8375849/cyber-criminals-access-hospital-patient-information/

Sony Confirms Data Stolen in Two Recent Hacker Attacks (5 okt)
https://www.securityweek.com/sony-confirms-data-stolen-in-two-recent-hacker-attacks/

Several Finnish websites report cyber-attacks (5 okt)
https://yle.fi/a/74-20053726
..
DoS attack hits Helsinki public transit app (6 okt)
https://yle.fi/a/74-20053889

Rapporter

Malicious Packages Hidden in NPM (2 okt)
https://www.fortinet.com/blog/threat-research/malicious-packages-hiddin-in-npm

Bitsight identifies nearly 100,000 exposed industrial control systems (2 okt)
https://www.bitsight.com/blog/bitsight-identifies-nearly-100000-exposed-industrial-control-systems

Defending new vectors: Threat actors attempt SQL Server to cloud lateral movement (3 okt)
https://www.microsoft.com/en-us/security/blog/2023/10/03/defending-new-vectors-threat-actors-attempt-sql-server-to-cloud-lateral-movement/

DRM Report Q2 2023 – Ransomware threat landscape (4 okt)
https://securityaffairs.com/151925/reports/drm-report-q2-2023-ransomware.html

Microsoft Digital Defense Report 2023 
https://www.microsoft.com/en-us/security/security-insider/microsoft-digital-defense-report-2023

Qakbot-affiliated actors distribute Ransom Knight malware despite infrastructure takedown (5 okt)
https://blog.talosintelligence.com/qakbot-affiliated-actors-distribute-ransom/

Let’s dig deeper: dissecting the new Android Trojan GoldDigger with Group-IB Fraud Matrix (5 okt)
https://www.group-ib.com/blog/golddigger-fraud-matrix/

Informationssäkerhet och blandat

Opinion | Nikka: Regeringen förespråkar mass­övervakning med Chat Control (21 sep) 
https://www.pcforalla.se/article/2078314/regeringen-foresprakar-massovervakning-med-chat-control.html

BLUE OLEX 2023: Getting Ready for the Next Cybersecurity Crisis in the EU (2 okt)
https://www.enisa.europa.eu/news/blue-olex-2023-getting-ready-for-the-next-cybersecurity-crisis-in-the-eu

Joint Letter of Experts on CRA and Vulnerability Disclosure (3 okt)
https://www.centerforcybersecuritypolicy.org/insights-and-research/joint-letter-of-experts-on-cra-and-vulnerability-disclosure

Quishing Triage 101: How to Investigate Suspicious QR Codes in Emails (4 okt)
https://intezer.com/blog/alert-triage/quishing-triage-how-to-investigate-suspicious-qr-codes-in-emails/

Moderna bilar riskerar att användas för spionage (4 okt)
https://sverigesradio.se/artikel/moderna-bilar-riskerar-att-anvandas-for-spionage

Could Cybersecurity Breaches Become Harmless in the Future? (5 okt)
https://www.darkreading.com/vulnerabilities-threats/could-cybersecurity-breaches-become-harmless-in-the-future-

LLMs lower the barrier for entry into cybercrime (5 okt)
https://www.helpnetsecurity.com/2023/10/05/traditional-perimeter-detection/

Addressing the People Problem in Cybersecurity (5 okt)
https://www.securityweek.com/addressing-the-people-problem-in-cybersecurity/

Cybersäkerhetsmånanden

CISA Kicks Off 20th Anniversary of Cybersecurity Awareness Month with New Public Awareness Campaign to Secure Our World (28 sep)
https://www.cisa.gov/news-events/news/cisa-kicks-20th-anniversary-cybersecurity-awareness-month-new-public-awareness-campaign
..
https://www.cisa.gov/cybersecurity-awareness-month

Kampanjen ”Tänk säkert!”
https://www.msb.se/sv/amnesomraden/informationssakerhet-cybersakerhet-och-sakra-kommunikationer/informationssakerhetsmanaden/

European Cyber Security Month – ECSM
https://cybersecuritymonth.eu/

CERT-SE i veckan

Kritisk sårbarhet i Cisco Emergency Responder

Allvarlig sårbarhet i libweb-biblioteket för WebP utnyttjas aktivt

Kritisk 0-day-sårbarhet i Confluence utnyttjas aktivt

Allvarlig sårbarhet i Linuxkomponent

Nolldagssårbarhet i Exim (uppdaterad 2023-10-03)

Vad betyder den nya avlyssningslagen i praktiken?

Den 1 oktober skärptes lagen om hemlig dataavläsning (2020:62). I media framställs lagen som att det nu blir fritt fram att avlyssna vem som helst. Det är felaktigt. Men lagen ger långtgående möjligheter att under vissa omständigheter besluta om hemlig dataavläsning utan misstanke om brott. Det är ovanligt för ett land som Sverige att lagstiftaren går så pass långt när det gäller hemliga och integritetskränkande tvångsmedel.

Vad är dataavläsning?

Dataavläsning är när du i realtid eller i efterhand kan analysera kommunikation som skett med ljud, bild och text. Det innebär att vissa utpekade myndigheter som exempelvis Polisen och Säkerhetspolisen har möjlighet att efter beslut av domstol hos begära hos operatör eller kommunikationsplattformar att få ta del av vissa individers kommunikation.

När får hemlig dataavläsning ske?

Hemlig dataavläsning som tvångsmedel får användas först efter beslut av domstol. Och vissa förutsättningar måste vara uppfyllda för att en begäran om hemlig dataavläsning ska beviljas. Det ska handla om mycket grova brott och det ska inte grunda sig på spekulationer eller rykten utan på en konkret misstanke om att det kan komma att utföras ett grovt brott. Exempel på brott där preventiva hemliga tvångsmedel (PHT) kan beviljas är

  • mord
  • terrorism
  • grova vappenbrott
  • grov narkotikasmuggling
  • grov brott mot lagen om explosiva varor

Brotten ska också vara kopplade till grov organiserad brottslighet eller terrorism. Man kan alltså inte använda PHT som exempelvis hemlig dataavläsning mot en enskild individ som inte är kopplad till någon av dessa kategorier. Hemlig dataavläsning som tvångsmedel kan alltså inte användas som preventiv metod vid mindre allvarliga brott. Det ska dock sägas att polisen har andra hemliga tvångsmedel att tillgå för den individ som planerar ett grovt brott utan att vara kopplad till terrorism eller grov organiserad brottslighet.

Nolldagssårbarhet i Exim

Zero Day Initiative har publicerat information om en nolldagssårbarhet (CVE-2023-42115) i e-postservern Exim med CVSS-klassning 9,8. [1]

Sårbarheten gör det möjligt för en oautentiserad angripare att fjärrköra kod på sårbara system. Bristande validering av data från användaren i SMTP-tjänsten kan uttnyttjas för buffertöverskridning och på så vis köra kod.

Påverkade produkter

Exim (alla versioner)

Rekommendationer

Till dess att en rättning görs tillgänglig rekommenderar CERT-SE att avskilja applikationen från nätverket.

Källor

[1] https://www.zerodayinitiative.com/advisories/ZDI-23-1469/

CERT-SE:s veckobrev v.39

Med anledning av att den europeiska cybersäkerhetsmånaden snart börjar har CERT-SE lanserat årets CTF-utmaning. Mer information om hur du kan delta hittar du på cert.se:

https://www.cert.se/2023/09/cert-se-ctf2023

Nyheter i veckan

Sony investigates cyberattack as hackers fight over who’s responsible (25 sep)
https://www.bleepingcomputer.com/news/security/sony-investigates-cyberattack-as-hackers-fight-over-whos-responsible/

City of Dallas Details Ransomware Attack Impact, Costs (25 sep)
https://www.securityweek.com/city-of-dallas-details-ransomware-attack-impact-costs/

Säkerhetshål hos fackförbund – medlemskap har kunnat kartläggas (26 sep)
https://computersweden.idg.se/2.2683/1.780069/sakerhetshal-hos-fackforbund–medlemskap-har-kunnat-kartlaggas

The Rhysida ransomware group hit the Kuwait Ministry of Finance (26 sep)
https://securityaffairs.com/151501/cyber-crime/rhysida-ransomware-kuwait-ministry-of-finance.html

Ransomware group demands $51 million from Johnson Controls after cyber attack (28 sep)
https://www.bitdefender.com/blog/hotforsecurity/ransomware-group-demands-51-million-from-johnson-controls-after-cyber-attack/

Nätverksfel fick Volkswagens fabriker att stanna (28 sep)
https://computersweden.idg.se/2.2683/1.780086/natverksfel-fick-volkswagens-fabriker-att-stanna

Intrång i Götegorgsregionens IT-system (28 sep)
https://goteborgsregionen.se/nyheterochpress/intrangigrsitsystem.5.2299e1a318a930fd21214d8d.html

Roundup: Medusa ransomware hit Philippine state insurer and more briefs (29 sep)
https://www.healthcareitnews.com/news/asia/roundup-medusa-ransomware-hit-philippine-state-insurer-and-more-briefs

Rapporter och analyser

Threat Analysis: MGM Resorts International ALPHV/Blackcat/Scattered Spider Ransomware Attack (25 sep)
https://blog.morphisec.com/mgm-resorts-alphv-spider-ransomware-attack

Almost 8 million DDoS attacks launched in first half of 2023 (26 sep)
https://betanews.com/2023/09/26/almost-8-million-ddos-attacks-launched-in-first-half-of-2023/

A new spin on the ZeroFont phishing technique (26 sep)
https://isc.sans.edu/diary/A+new+spin+on+the+ZeroFont+phishing+technique/30248/

LockBit 3.0 tops hacking list in August amid drop in ransomware attacks (26 sep)
https://siliconangle.com/2023/09/26/lockbit-3-0-tops-hacking-list-august-amid-decrease-ransomware-attacks/

People’s Republic of China-Linked Cyber Actors Hide in Router Firmware (27 sep)
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-270a

Researchers Release Details of New RCE Exploit Chain for SharePoint (27 sep)
https://www.darkreading.com/vulnerabilities-threats/reseachers-release-details-of-new-rce-exploit-chain-for-sharepoint

Google quietly corrects previously submitted disclosure for critical webp 0-day (27 sep)
https://arstechnica.com/security/2023/09/google-quietly-corrects-previously-submitted-disclosure-for-critical-webp-0-day/

Malicious ad served inside Bing’s AI chatbot (28 sep)
https://www.malwarebytes.com/blog/threat-intelligence/2023/09/malicious-ad-served-inside-bing-ai-chatbot

FBI: Dual ransomware attack victims now get hit within 48 hours (28 sep)
https://www.bleepingcomputer.com/news/security/fbi-dual-ransomware-attack-victims-now-get-hit-within-48-hours/

https://www.ic3.gov/Media/News/2023/230928.pdf

Phishing via Dropbox (28 sep)
https://blog.checkpoint.com/harmony-email/phishing-via-dropbox/

Microsoft breach led to theft of 60,000 US State Dept emails (28 sep)
https://www.bleepingcomputer.com/news/security/microsoft-breach-led-to-theft-of-60-000-us-state-dept-emails/

The anatomy of a Facebook account heist (28 sep)
https://www.vox.com/technology/2023/9/28/23892964/facebook-account-hacked-theft-stolen-online-scams-meta

APT34 Deploys Phishing Attack With New Malware (29 sep)
https://www.trendmicro.com/en_us/research/23/i/apt34-deploys-phishing-attack-with-new-malware.html

Informationssäkerhet och blandat

Europeiska cybersäkerhetsmånaden startar 1 oktober
https://cybersecuritymonth.eu/

Teachers encouraged to enter schoolgirls into UK’s flagship cyber security contest (25 sep)
https://www.ncsc.gov.uk/news/teachers-encouraged-to-enter-schoolgirls-into-uks-flagship-cyber-security-contest

What Does Secure by Design Actually Mean? (28 sep)
https://www.tripwire.com/state-of-security/what-does-secure-design-actually-mean

National Security Agency is starting an artificial intelligence security center (28 sep)
https://apnews.com/article/nsa-artificial-intelligence-security-deepfakes-f9b19dd64890884cc2b0700ddf66e666

Vägledning på gång för att minska antalet telefonbedrägerier (29 sep)
https://pts.se/sv/nyheter/telefoni/2023/vagledning-pa-gang-for-att-minska-antalet-telefonbedragerier/

CERT-SE i veckan

Kritiska sårbarheter i Progress WS_FTP

CERT-SE CTF 2023

Kritiska sårbarheter i Cisco-produkter (uppdaterad 2023-09-29)

Information gällande felaktigt utskick från CERT-SE