CERT-SE:s veckobrev v.23

Blandade nyheter från CERT-SE!

Varje vecka publicerar vi en sammanfattning från veckan som gått på CERT.se.

Nyheter i veckan

Hackers hijack legitimate sites to host credit card stealer scripts (4 jun)
https://www.bleepingcomputer.com/news/security/hackers-hijack-legitimate-sites-to-host-credit-card-stealer-scripts/

Bortglömda konton en enorm säkerhetsrisk (5 jun)
https://computersweden.idg.se/2.2683/1.779272/bortglomda-konton-en-enorm-sakerhetsrisk

Ransomware Group Used MOVEit Exploit to Steal Data From Dozens of Organizations (5 jun)
https://www.securityweek.com/ransomware-group-used-moveit-exploit-to-steal-data-from-dozens-of-organizations/

SpinOk Android malware found in more apps with 30 million installs (5 jun)
https://www.bleepingcomputer.com/news/security/spinok-android-malware-found-in-more-apps-with-30-million-installs/

It-attack mot Systembolaget och Swish (5 jun)
https://sverigesradio.se/artikel/it-attack-mot-systembolaget-och-swish

New ‘PowerDrop’ malware targeting US aerospace industry (6 jun)
https://therecord.media/powerdrop-malware-targets-us-aerospace-industry

MoveIt hack: What action can data-breach victims take? (7 jun)
https://www.bbc.com/news/technology-65820603

#StopRansomware: CL0P Ransomware Gang Exploits CVE-2023-34362 MOVEit Vulnerability (7 jun)
https://www.cisa.gov/news-events/cybersecurity-advisories/aa23-158a

BBC, BA and Boots issued with ultimatum by cyber gang Clop (8 jun)
https://www.bbc.com/news/technology-65829726

Aix-Marseille, France’s largest university, hit by cyberattack (8 jun)
https://therecord.media/aix-marseille-university-cyberattack-france

Pharmaceutical Giant Eisai Takes Systems Offline Following Ransomware Attack (8 jun)
https://www.securityweek.com/pharmaceutical-giant-eisai-takes-systems-offline-following-ransomware-attack/

Nokia report: IoT Botnet DDoS Attacks Threaten Global Telecom Networks (9 jun)
https://www.hackread.com/iot-botnet-ddos-attacks-telecom-networks-nokia/

Informationssäkerhet och blandat

10 notable critical infrastructure cybersecurity initiatives in 2023 (5 jun)
https://www.csoonline.com/article/3698190/10-notable-critical-infrastructure-cybersecurity-initiatives-in-2023.html

Introducing PCVARK and their malicious ad blockers (5 jun)
https://palant.info/2023/06/05/introducing-pcvark-and-their-malicious-ad-blockers/

2023 Data Breach Investigations Report (DBIR) 
https://www.verizon.com/business/resources/T12f/reports/2023-data-breach-investigations-report-dbir.pdf

Service Rents Email Addresses for Account Signups (6 jun)
https://krebsonsecurity.com/2023/06/service-rents-email-addresses-for-account-signups/

Guide to Securing Remote Access Software (6 jun)
https://www.cisa.gov/resources-tools/resources/guide-securing-remote-access-software

Adversaries increasingly using vendor and contractor accounts to infiltrate networks (6 jun)
https://blog.talosintelligence.com/vendor-contractor-account-abuse/

ChatGPT Hallucinations Open Developers to Supply Chain Malware Attacks (6 jun)
https://www.darkreading.com/application-security/chatgpt-hallucinations-developers-supply-chain-malware-attacks

Microsoft Preps $425M Payment for LinkedIn GDPR Violations (6 jun)
https://www.darkreading.com/endpoint/microsoft-425m-payment-linkedin-gdpr-violations

Experten: Prata inte hemligheter i Kina-bilar (7 jun)
https://teknikensvarld.expressen.se/nyheter/bil-och-trafik/experten-prata-inte-hemligheter-i-kina-bilar/

6 av 10 incidenter orsakas av mänskliga faktorn (7 jun)
https://www.imy.se/nyheter/6-av-10-incidenter-orsakas-av-manskliga-faktorn/

Över 5 300 incidenter anmäldes till IMY förra året – men mörkertalet är stort ( 7 jun)
https://computersweden.idg.se/2.2683/1.779363/over-5-300-incidenter-anmaldes-till-imy-forra-aret-men-morkertalet-ar-stort

10 security tool categories needed to shore up software supply chain security (7 jun)
https://www.csoonline.com/article/3697792/10-security-tool-categories-needed-to-shore-up-software-supply-chain-security.html

Nödfunktion i iPhone 14 kan larma falskt

En nödfunktion, Crash Detection, i Apple:s senaste modell, iPhone 14, kan leda till felaktiga larmsamtal till larmnumret 112. Hos SOS Alarm har man märkt en ökning av antalet larm som utlöses utan att en person befinner sig i nöd, enligt TV4 Nyheterna som var först med att berätta om nyheten.

I grund och botten handlar det om en bra funktion. Tanken är att om man råkar kollidera med ett föremål ska Crash Detection med sina inbyggda algoritmer känna av ett visst krockvåld från t ex en bil. Mobilen larmar då närmsta räddningstjänst via 112.

En motsvarande funktion finns även i Androidmodellen Pixel. Både Apple och Google uppger att man gjort mycket noggranna tester för att undvika felaktiga larmsamtal till räddningstjänsten. Men nu verkar det ändå funktionen vara en aning för känslig vilket leder till att räddningstjänsten åker på onödiga larm.

EU-förordning om e-Call i bilar

En EU-förordning kräver att bilar tillverkade från 2018 ska ha en så kallad ”e-Call-funktion” som larmar om fordonet kolliderar med något t ex ett fordon. Även denna funktion leder till att larmnumret 112 belastas med onödiga larmsamtal.

Kritiska sårbarheter i Marval MSM

En svensk säkerhetsforskare har publicerat om tre sårbarheter i produkten Marval MSM från ITSM-leverantören Marval. Företaget har släppt säkerhetsuppdateringar som hanterar två av sårbarheterna. De två av sårbarheterna klassas som kritiska. [1,2,3]

Sårbarheten CVE-2023-33282 har fått CVSS-klassningen 9,1. Den beror på att System-användaren vid installation får ett förbestämt lösenord. Genom att använda inloggningsuppgifter lagrade i databasen kan en användare initiera en session med System-behörighet. [1]

Även CVE-2023-33284 har fått CVSS-klassningen 9,1. Sårbarheten kan göra det möjligt för en autentiserad användare att fjärrköra kod på servern. [3]

Påverkade produkter

Marval MSM

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter så snart som möjligt.

Källor

[1] https://www.cyberskydd.se/cve/2023/CVE-2023-33282.html
[2] https://www.cyberskydd.se/cve/2023/CVE-2023-33283.html
[3] https://www.cyberskydd.se/cve/2023/CVE-2023-33284.html

Källa: CERT.se

Kritisk sårbarhet i filöverföringsprogrammet Moveit

CERT.se som är en del av Myndigheten för samhällsskydd och beredskap (MSB) uppmanar IT-administratörer att omedelbart vidta åtgärder. Sårbarheten gör att Moveit kan användas för SQL-injection vilket i värsta fall kan leda till att angriparen kan ta kontroll över datorn eller servern.

Möjligt att placera bakdörr

Ett flertal rapporter varnar för en kritisk sårbarhet i MOVEit Transfer. [1,2,3]

Sårbarheten (CVE-2023-34362) innebär att en oautentiserad angripare kan utföra en SQL-injektion och få förhöjda rättigheter för att sedan kunna köra skadlig kod på systemet (RCE). När detta är gjort är det möjligt för angriparen att plantera en bakdörr på det drabbade systemet, ett s.k. webshell. På så sätt kan en angripare mer eller mindre ta kontroll över den drabbade maskinen (och potentiellt sett även andra maskiner på samma nätsegment).

Indikationer finns redan att denna sårbarhet utnyttjas aktivt mot organisationer i Sverige. 

Rekommenderade åtgärder och säkerhetspatchar finns publicerade. [2]

Påverkade produkter

Sårbarheten påverkar följande produkter: [2]

MOVEit Transfer 2023.0.0
MOVEit Transfer 2022.1.x    
MOVEit Transfer 2022.0.x    
MOVEit Transfer 2021.1.x    
MOVEit Transfer 2021.0.x

Rekommendationer

CERT-SE rekommenderar att uppdatera sårbara produkter där uppdatering finns tillgänglig. Där uppdatering inte finns tillgänglig ska systemet skiljas från internet för att förhindra otillbörlig åtkomst

Källor

[1] https://www.rapid7.com/blog/post/2023/06/01/rapid7-observed-exploitation-of-critical-moveit-transfer-vulnerability/
[2] https://community.progress.com/s/article/MOVEit-Transfer-Critical-Vulnerability-31May2023
[3] https://www.bleepingcomputer.com/news/security/new-moveit-transfer-zero-day-mass-exploited-in-data-theft-attacks/

Systembolaget utsatt för cyberattack

Systembolagets hemsida har under större del av måndagen varit helt eller delvis oåtkomlig för besökare. Driftstörningarna uppges ha att göra med en cyberattack.

Även Swish drabbades av omfattande tekniska störningar med följd att man inte kunde svischa pengar. Orsaken till driftstörningarna är när detta skrivs okänd. Efter någon timme fungerande tjänsten åter normalt.

Under måndagskvällen rapporterade Microsoft på Twitter att deras användare upplevde störa störningar i vissa tjänster i Office 365. Enligt Down Detector är störningarna omfattande och pågick ännu vid 23-tiden.

Över 1.000 cyberattacker mot hälsa- och sjukvård

Hälsa- och sjukvården utsattes för 1.039 cyberattacker det senaste halvåret, enligt cybersäkerhetsbolaget Checkpoint. Attackerna har bl a drabbat larmanordningar som äldre och funktionshindrade fått installerade för att kunna larm personal i nödsituationer. Andra attacker har riktat sig mot sjukhusens hemsidor genom att förövarna utför överbelastningsattacker. Åter andra IT-incidenter handlar om s k spoofing och phishing.

Hyltes trygghetslarm slutade fungera

I Hylte kommun orsakade en cyberattack den 23 mars mot en underleverantör ett allvarligt avbrott i kommunens trygghetslarm. Kommen har beredskap för att hantera en sådan händelse. Man kallade in extra personal, tog kontakt med alla brukare och inrättade ett särskilt nödnummer dit man som brukare kunde ringa om man behövde hjälp. I efterhand har kommunen kunnat konstatera att inga incidenter rapporterats.

Regelbundna övningar

Varje år övar kommunen på ett scenario där en krissituation uppstår i någon samhällsviktig funktion eller tjänst. Förra året var scenariot ett nationellt strömavbrott orsakat av en cyberattack mot elsystemet. Under övningen uppstår olika oväntade händelser som successivt blir allt mer besvärliga att hantera. En av de funktioner som slutade att fungera var just trygghetslarmen.

Genom att man övat på en sådan händelse hade alla den i färskt minne vilket gjorde att man snabbt kunde agera för att säkerställa att alla invånare med trygghetslarm kunde känna sig trygga om de behövde akut hjälp i hemmet.

Personuppgiftsläcka hos leverantören

När leverantören drabbades av cyberattacken konstaterade denne också att personuppgifter hade läckt till angriparen. En sådan händelse är desto svårare att hantera eftersom man som kommun inte har kontroll över skeendet. I Hylte följde man de riktlinjer och rutiner som finns genom att utreda och anmäla händelsen till IMY (Integritetsskyddsmyndigheten). Kommunens egen utredning visade att de personuppgifter som läckt var av låg känslighet ur integritetsskyddssynpunkt.

Specialistfunktioner samordnade riskanalys

När en personuppgiftsincident sker i en kommun involveras flera olika specialist- och stödfunktioner. Det handlar om informationssäkerhetssamordnare, dataskyddsombud, säkerhet- och beredskapsfunktionen, IT, jurist, berörda versamhetschefer och även kommundirektören. Om man misstänker att det skett en personuppgiftsläcka ska man inom 72 timmar anmäla händelsen till IMY från det man fått kännedom om incidenten. Eftersom flera funktioner behöver involveras är tidsfristen relativt tight. Det gäller att ha rätt prioriteringar och alla gör det som behöver göras.

Framgångsfaktorer

Det är viktigt att ha tydliga riktlinjer och rutiner. Nyckelfunktioner behöver få tydliga mandat att agera för att minimera konsekvenserna av en cyberattack. Ensam är inte stark. Sök stöd och hjälp av varandra både inom organisationen och utanför organisationen. Jobbar man i en kommun eller region sök hjälp hos grannkommunen. Och naturligtivs är det viktigt att ta till vara de kompetenser som finns i verksamheten.

Ta reda på fakta. Verifiera! Fatta ett inriktningsbeslut. Agera utifrån vad ni vet men ta samtidigt med osäkerhetsfaktorer. Var beredd att ompröva beslut om ny information framkommer.

Läs mer

Informationssäkerhet, cybersäkerhet och säkra kommunikationer (MSB)

Informationssäkerhet.se (Myndighetsgemensam sida)

CERT.se (IT-incidentberedskap)

Kompetensutveckling

CERT.SE:s veckobrev v.22

Nyheter i veckan

Med början idag återger vi CERT.se veckobrev och varningar för skadlig kod och pågående attacker mot IT-system och IT-infrastruktur.

Clever ‘File Archiver In The Browser’ phishing trick uses ZIP domains (28 maj)
https://www.bleepingcomputer.com/news/security/clever-file-archiver-in-the-browser-phishing-trick-uses-zip-domains/

Don’t Click That ZIP File! Phishers Weaponizing .ZIP Domains to Trick Victims (29 maj)
https://thehackernews.com/2023/05/dont-click-that-zip-file-phishers.html

Hackers hold city of Augusta hostage in a ransomware attack (29 maj)
https://www.csoonline.com/article/3697854/hackers-hold-city-of-augusta-hostage-in-a-ransomware-attack.html

This new malware hijacks Windows WordPad to avoid detection (29 maj)
https://www.techradar.com/news/this-new-malware-hijacks-windows-wordpad-to-avoid-detection

Flash loan attack on Jimbos Protocol steals over $7.5 million (29 maj)
https://www.bleepingcomputer.com/news/security/flash-loan-attack-on-jimbos-protocol-steals-over-75-million/

Android apps containing SpinOk module with spyware features installed over 421,000,000 times (29 maj)
https://news.drweb.com/show/?i=14705

Lessons from Denmark: Why knowledge sharing is the most important weapon against cyber threats (30 maj)
https://www.weforum.org/agenda/2023/05/denmark-knowledge-sharing-key-to-cybersecurity-resilience/

Tricks of the trade: How a cybercrime ring operated a multi‑level fraud scheme (30 maj)
https://www.welivesecurity.com/2023/05/30/tricks-trade-cybercrime-ring-fraud-scheme/

Hackers Win $105,000 for Reporting Critical Security Flaws in Sonos One Speakers (30 maj)
https://thehackernews.com/2023/05/hackers-win-105000-for-reporting.html

MSB värd för internationell cybersäkerhetsövning i Sverige (31 maj)
https://www.msb.se/sv/aktuellt/nyheter/2023/maj/msb-vard-for-internationell-cybersakerhetsovning-i-sverige/

Ddos-attack lamslår nationella gymnasieprov i Grekland (31 maj)
https://computersweden.idg.se/2.2683/1.779312/ddos-attack-lamslar-nationella-gymnasieprov-i-grekland

Dark Pink APT Group Leverages TelePowerBot and KamiKakaBot in Sophisticated Attacks (31 maj)
https://thehackernews.com/2023/05/dark-pink-apt-group-leverages.html

Mirai Variant Opens Tenda, Zyxel Gear to RCE, DDoS (31 maj)
https://www.darkreading.com/endpoint/mirai-variant-tenda-zyxel-rce-ddos

SAS Airlines hit by $3 million ransom demand following DDoS attacks (31 maj)
https://www.bitdefender.com/blog/hotforsecurity/sas-airlines-hit-by-3-million-ransom-demand-following-ddos-attacks/

Hackare kan orsaka SAS-problemen (2 jun)
https://www.svt.se/nyheter/snabbkollen/hackare-kan-orsaka-sas-problemen

BlackCat claims the hack of the Casepoint legal technology platform used by US agencies (1 jun)
https://securityaffairs.com/146915/cyber-crime/blackcat-ransomware-casepoint.html

Nytt cybersäkerhetscenter öppnar i Stockholm – ska sysselsätta 300 specialister (1 jun)
https://computersweden.idg.se/2.2683/1.779330/nytt-cybersakerhetscenter-oppnar-i-stockholm–ska-sysselsatta-300-specialister

A-kassornas motståndskraft ska utredas (1 jun)
https://www.svd.se/a/JQMkr8/a-kassornas-motstandskraft-ska-utredas

A-kassan ska fungera i kris och krig (2 jun)
https://www.regeringen.se/pressmeddelanden/2023/06/a-kassan-ska-fungera-i-kris-och-krig/

Rapporter och fördjupningar

Account Compromise, Financial Theft, and Supply Chain Attacks: Analyzing the Small and Medium Business APT Phishing Landscape in 2023 (24 maj)
https://www.proofpoint.com/us/blog/threat-insight/small-and-medium-business-APT-phishing-landscape-in-2023

Abusing Web Services Using Automated CAPTCHA-Breaking Services and Residential Proxies (25 maj)
https://www.trendmicro.com/en_us/research/23/e/abusing-web-services-using-automated-captcha-breaking-services-and-residential-proxies.html

What is a web shell? (26 maj)
https://blog.talosintelligence.com/what-is-a-web-shell/

Void Rabisu’s Use of RomCom Backdoor Shows a Growing Shift in Threat Actors’ Goals (30 maj)
https://www.trendmicro.com/en_us/research/23/e/void-rabisu-s-use-of-romcom-backdoor-shows-a-growing-shift-in-th.html

Investigating BlackSuit Ransomware’s Similarities to Royal (31 maj)
https://www.trendmicro.com/en_us/research/23/e/investigating-blacksuit-ransomwares-similarities-to-royal.html

New Horabot campaign targets the Americas (1 jun)
https://blog.talosintelligence.com/new-horabot-targets-americas/

Your web browsing habits may be less private than you think (1 jun)
https://research.ibm.com/blog/browser-fingerprinting

Informationssäkerhet och blandat

E-post från polisen efter intrång hos leverantör (26 maj)
https://polisen.se/aktuellt/nyheter/2023/maj/mail-fran-polismyndigheten-efter-intrang-hos-leverantor/

Sökande till polisen kan ha fått personuppgifter röjda efter cyberattack (26 maj)
https://www.svt.se/nyheter/inrikes/sokande-till-polisen-har-fatt-personuppgifter-rojda-efter-lacka

Ingen påverkan på IT-miljön efter cyberattack (1 jun)
https://www.kriminalvarden.se/om-kriminalvarden/nyheter/2023/juni/ingen-paverkan-pa-it-miljon-efter-cyberattack/

PyPI announces mandatory use of 2FA for all software publishers (28 maj)
https://www.bleepingcomputer.com/news/security/pypi-announces-mandatory-use-of-2fa-for-all-software-publishers/

MCNA Dental data breach impacts 8.9 million people after ransomware attack (29 maj)
https://www.bleepingcomputer.com/news/security/mcna-dental-data-breach-impacts-89-million-people-after-ransomware-attack/

New hacking forum leaks data of 478,000 RaidForums members (29 maj)
https://www.bleepingcomputer.com/news/security/new-hacking-forum-leaks-data-of-478-000-raidforums-members/

Capita cyber-attack: 90 organisations report data breaches (30 maj)
https://www.theguardian.com/business/2023/may/30/capita-cyber-attack-data-breaches-ico

FBI-attacken som slog ut ryska spionprogrammet (31 maj)
https://sverigesradio.se/avsnitt/sa-fick-fbi-det-ryska-spionprogrammet-att-forstora-sig-sjalvt

Toyota finds more misconfigured servers leaking customer info (31 maj)
https://www.bleepingcomputer.com/news/security/toyota-finds-more-misconfigured-servers-leaking-customer-info/

FTC Orders Ring to Pay $5.8 Million in Refunds For Surveilling Customers, Failing to Stop Hackers (31 maj)
https://www.vice.com/en/article/5d9375/ftc-orders-ring-to-pay-5-million-in-refunds-failing-stop-hackers

Maryland License Plates Now Inadvertently Advertising Filipino Online Casino (31 maj)
https://www.vice.com/en/article/4a3xe9/maryland-license-plates-now-inadvertently-advertising-filipino-online-casino

Adversaries can reconstruct classified information from unclassified data, warns White House official (31 maj)
https://therecord.media/classified-data-reconstructed-from-unclassified-kemba-walden-cycon

Ethernet (50th Birthday) (1 jun)
https://youtu.be/TkOVgkcrvbg

CERT-SE i veckan

Kritisk sårbarhet i MOVEit Transfer

Nordisk-amerikansk cybersäkerhetsövning i Sverige

Hälsofarligt höga temperaturer väntar stora delar av Europa

CET: 23.53

Stora delar av Europa har under flera veckor upplevt historiskt höga dagstemperaturer. Men den kommande veckan kommer värmeböljan att breda ut sig och nå hälsofarligt höga temperaturer i bland annat delar av södra Storbritannien, nordvästra Spanien, Frankrike och Nederländerna. Dagstemperaturerna kan nå 40 grader eller mer på många håll. Vid så höga temperaturer riskerar även personer som inte är i riskgrupper att avlida.

Uttorkade floder och skogsbränder

Värmeböljorna har också lett till att floder och mindre vattendrag torkat ut. Räddningstjänsterna i bl a Franrike och Portugal har i veckor kämpat med omfattande skogs- och vegetationsbränder. Flera hundra har evakuerats från sina bostäder. Det vet inte om de någonsin kommer att kunna återvända till sina hem.

Mordet på Ing-Marie Wieselgren rubriceras som terrorbrott – den misstänkte utreds även för försök till terroristbrott

CET: 19.52

Åklagaren har beslutat att ändra brottsrubriceringen från misstanke om mord till terroristbrott genom mord på målsäganden Ing-Marie Wieselgren i centrala Visby under Almedalsveckan. Mannen misstänks också för försök till terroristbrott då han tros ha planerat mord på ytterligare personer.

Det var förra veckan i onsdags (6 juli) som den nu brottsmisstänkte mannen mördade målsäganden genom att åsamka henne dödliga skador i halsen. Mannen kunde gripas nästan omgående då en allmänhet tacklade inom in i en vägg varpå framrusande poliser kastade sig över honom och förde bort honom till en väntande polisbil.

Att åklagare ändrar en brottsmisstanke från mord till terroristbrott genom mord och dessutom lägger till brottsmisstanken försök till terroristbrott är ovanligt. Det tyder på att åklagaren liksom säkerhetspolisen anser att det finns ett politiskt motiv bakom knivdådet.

Den misstänkte har i förhör erkänt mord.

Kvinna avliden efter knivdåd i samband med Almedalsveckan i Visby – en man anhållen för mord

CET: 20.40 – Uppdatering 22-07-08; 13.21

Klockan 13.50 igår, på eftermiddagen, knivskars en 60-årig kvinna så svårt att hon senare avled på sjukhus. Polis och ambulans larmades och var på plats bara minuter efter knivdådet men ändå kunde inte kvinnans liv räddas. En man som sågs springa från platsen kunde strax efter gripas genom ett rådigt ingripande från en privatperson som tacklade gärningsmannen så att han föll omkull. Därmed kunde tillskyndande poliser snabbt övermanna och gripa mannen.

Under kvällen meddelade åklagaren att den gripne mannen är anhållen på sannolika skäl misstänkt för mord.

Den avlidna kvinnan var Ing-Marie Wieselgren, 64 år, psykiatrisamordnare hos Sveriges Kommuner och Regioner, känd radioprofil i P1 och överläkare inom psykiatrin. Ing-Marie var en mycket uppskattad kollega och erkänt skicklig expert inom sitt område.

Häktningsförhandling på fredag

Vid en pressträff på eftermiddagen redogjorde polis, åklagare och representant för region Gotland för vad som hänt sedan igår då den misstänkte mannen greps. Polisen har genomfört för hör med den misstänkte. Vid ett av de förhören har åklagaren deltagit och då berättat att Ing-Marie Wieselgren var målet för hans handlande. Mannen har erkänt misstanke om mord och även berättat att han var narkotikapåverkad vid tidpunkten för mordet på målsäganden. Enligt åklagaren är det sannolikt att målet sätts ut till häktningsförhandling under fredagen.

Häktad på sannolika skäl

På fredagsförmiddagen häktades mannen på sannolika skäl som misstänkt för mord på målsäganden.