Starý dobrý krypto miner ukrytý v herních instalátorech
V instalačních souborech cracknutého softwaru se opět objevil trojský kůň, který kyberzločincům umožňuje těžit kryptoměny. Kyberbezpečnostní společnost Kaspersky tuto hrozbu označila kódovým názvem StaryDobry. Poprvé byl malware detekován 31. prosince 2024 a zůstal aktivní po celý následující měsíc.
Cílem útoků byli jak jednotlivci, tak firmy v Rusku, Brazílii, Německu, Bělorusku a Kazachstánu. Podle výzkumníků Tatiany Shishkové a Kirilla Korchemnyho byl malware nasazován především na počítačích s vysokým výpočetním výkonem. Infikované soubory se vyskytovaly v populárních hrách, jako jsou BeamNG.drive, Garry’s Mod nebo Dyson Sphere Program.
Škodlivý instalační program byl distribuován prostřednictvím torrentů. Po instalaci prováděl sérii testů, které měly zjistit, zda běží v debugovacím nebo sandboxovém prostředí. Další fáze infekce se spustila pouze tehdy, pokud malware rozpoznal, že se nachází v běžném uživatelském systému. Malware rovněž obsahoval techniky pro detekci monitorovacích procesů – pokud uživatel spustil taskmgr.exe (Správce úloh) nebo procmon.exe (Process Monitor), těžba kryptoměn se okamžitě přerušila a obnovila se až po jejich ukončení. Jediným viditelným znakem infekce tak byla zvýšená aktivita ventilátorů počítače.
Zatím není známo, která kyberzločinecká skupina za tímto malwarem stojí. Analýza však odhalila řetězce slov v azbuce, což naznačuje, že stopy vedou do Ruska.
Nová služba CZ.NIC-CSIRT a národního CSIRTu
Na začátku našeho projektu byl článek, ve kterém jsme popisovali naši zkušenost s některými blacklisty. Šlo o to, že podle informací od organizace DNS Abuse Institute jsme měli mít v doméně .CZ výrazně menší podíl škodlivých domén, než odpovídalo našim číslům. Organizace DNS Abuse Institute nám poskytla data ze tří různých blacklistů, včetně jednoho s placeným přístupem, ze kterých čerpá své informace.
Porovnání poskytnutých informací s našimi vlastními daty vedlo ke zjištění, že phishingové a další na doménách založené útoky na české uživatele jsou nejspíše z vícero důvodů mimo rozpoznávací schopnosti generických blacklistů. To nás během roku 2024 dovedlo až ke spuštění služby Deny listy. Na čem náš Deny list stavíme a jak vám jeho nasazení může pomoci s odfiltrováním nejen phishingových útoků již na úrovni DNS, si můžete přečíst v našem aktuálním blogpostu.
Signál vyslán – proruské skupiny cílí na bezpečný komunikátor
Výzkumníci z Google Threat Intelligence Group v poslední době pozorují množící se úsilí proruských skupin kompromitovat účty zájmových osob v hledáčku ruských tajných služeb v aplikaci Signal. Dle nich se dá očekávat, že se jejich techniky a taktiky zanedlouho přelijí z bojiště ukrajinsko-ruského do širšího pole působnosti a do rukou jiných skupin útočníků.
Kvůli své pověsti bezpečné aplikace a širokým použitím mezi významnými uživateli je vysoce ceněným cílem útočníků zejména pro sledovací a špionážní aktivity. Toto se týká i podobných rozšířených aplikací jako jsou WhatsApp a Telegram, na které je cíleno ze stejných důvodů. S šířením těchto technik se pak očekává jejich použití u jiných APT skupin.
Doporučením Google a Signalu je pak provést update na nejnovější verzi aplikace, ve které je ošetřena zranitelnost vůči níže popsaným technikám.
Phishing pomocí spárování zařízení
Nejnovější technikou je zneužití funkcionality spárovaných zařízení, které umožňuje stejný účet používat na více zařízeních a tkví v podvržení párovacího QR kódu, který přesměruje na útočníkem ovládanou instanci Signalu. Po úspěšném provedení se pak zobrazují příchozí zprávy na zařízeních oběti i útočníka zároveň, perzistentně a v reálném čase, bez nutnosti kompromitace celého zařízení oběti.
Upravené pozvánky do skupin
Tato technika zneužívá odkaz přesměrování legitimní pozvánky do skupiny podvržením upravené URL ke spárování zařízení oběti se zařízením útočníka.
Skupina UNC5792, která tento útok prováděla, vytvořila vlastní infrastrukturu, na které hostovala vlastní upravené stránky Signalu.
Vlastní Signal phishing kit
Proruská skupina UNC4221 cílila na Signal účty členů ukrajinských bojových jednotek pomocí vlastního phishing kitu napodobujícího aplikaci Kropyva, kterou používají k navádění artilerie. Podobně jako u výše uvedených technik zneužívali sociálního inženýrství v podobě pozvánky do skupiny od důvěryhodného kontaktu. Byly pozorovány různé varianty, včetně přesměrování na sekundární phishingovou infrastrukturu, párování pomocí QR kódu na stránce vypadající jako aplikace Kropyva nebo phishingové stránky, které vypadaly jako legitimní bezpečnostní notifikace od Signalu.
Jádrem kampaně pak byl JavaScriptový kód sbírající základní informace o uživateli a geolokační data pomocí GeoLocation API prohlížeče. Dá se očekávat, že budou zabezpečené zprávy v tandemu s geolokačními daty cílem pro podobné operace v budoucnu, zejména v souvislosti s monitorovacími operacemi nebo jako podpora konvenčních bojových operací.
Další podrobnosti o krádežích databází aplikace Signal z Android zařízení a Windows desktopů v blogpostu Google.
Zranitelnost multifunkčních tiskáren Xerox
Výzkumníci Rapid7 objevili zranitelnost multifunkčních tiskáren Xerox Versalink C7025, která umožňuje útočníkům ulovit přihlašovací údaje pass-back útokem skrz LDAP a SMB/FTP služeb.
Zranitelnosti se týkají verze firmware 57.69.91 a starších, a jsou následující:
CVE-2024–12511 (CVSS score: 7.6) SMB / FTP pass-back vulnerability
CVE-2024–12510 (CVSS score: 6.7) LDAP pass-back vulnerability
Při zkoumání multifunkční tiskárny Xerox Versalink C7025 zjistil Rapid7, že je zranitelná vůči pass-back útoku. Tento útok zneužívá zranitelnost umožňující útočníkovi změnit konfiguraci zařízení a poslat přihlašovací údaje zpět útočníkovi. Tento způsob útoku lze využít k zachycení autentizačních dat pro následující služby: LDAP, SMB, FTP.
Níže popis zranitelností:
Pass-back útok skrze LDAP
- útočník s přístupem ke konfiguraci LDAPové stránky může změnit IP adresu LDAPu na škodlivý server a dotázat se tak na LDAP jím ovládaného hostitele. Spuštění odposlechu portů pak mohou zachytit přihlašovací údaje LDAPu, zcela nezašifrovaně v cleartextu. Tento útok vyžaduje přímý přístup k administrátorskému účtu tiskárny a již nakonfigurovanou službu LDAP.
Pass-back útok skrz uživatelský adresář – SMB / FTP
Útočník může upravit přesměrování uživatelského adresáře skenu SMB nebo FTP na hosta, který ovládá, a zachytit tak přihlašovací údaje. To mu pak umožňuje zachytit NetNTLMV2 handshake a ten dál použít v útoku SMB přesměrování nebo získat nezašifrované údaje k přihlášení FTP, v cleartextu. Útok vyžaduje zřízenou služby SMB nebo FTP skenovací funkcionality a přístup ke konzoli tiskárny nebo webového rozhraní, potenciálně s administrátorskými oprávněními
„Podaří-li se útočníkovi úspěšně zneužít tyto zranitelnosti, může získat přihlašovací údaje z Windows Active Directory“, píše se ve zprávě. „To znamená, že pak může laterálně pohybovat po organizaci a zneužít tak další kritické systémy Windows a systémy souborů.“
Organizace používající Xerox Versalink C7025 multifunkční tiskárny by pak měly updatovat na poslední firmware. Pokud není možné provést update, měly by nastavit silné administrátorské heslo, nepoužívat Windows účty s vysokými právy pro LDAP nebo SMB a vypnout vzdálený přístup bez přihlášení.
Nový útok „whoAMI“ využívá záměnu názvů AWS AMI
Výzkumníci objevili nový útok whoAMI v AWS, který umožňuje získat přístup k účtům prostřednictvím podvržení AMI (Amazon Machine Image). Podstata útoku spočívá v tom, že útočník může publikovat škodlivý obraz virtuálního stroje ve veřejném katalogu AWS a následně oklamat špatně nakonfigurované systémy, aby tento obraz použily místo legitimního.
Pro úspěšný útok jsou potřeba tři podmínky: použití filtru podle názvu při vyhledávání AMI, neuvedení vlastníka obrazu a nastavení výběru nejnovějšího obrazu ze seznamu. Když jsou tyto podmínky splněny, systémy mohou náhodně vybrat škodlivý obraz, což útočníkovi umožňuje vzdálené spuštění kódu.
Podle Datadog bylo zranitelných přibližně 1 % sledovaných organizací. Problém se týká kódu v Pythonu, Go, Javě, Terraform, Pulumi a Bashi. AWS reagovala rychle – tři dny po nahlášení zranitelnosti 16. září 2024. Společnost uvedla, že nenašla důkazy o využití této techniky útočníky.
V prosinci 2024 AWS vydala bezpečnostní aktualizaci – Allowed AMIs, která umožňuje omezit použití AMI v účtech. Terraform také zareagoval – ve verzi 5.77.0 se objevila varování při použití nebezpečných nastavení a ve verzi 6.0.0 se tato varování změní na blokující chyby.
Útok je podobný dependency confusion, ale místo podvržení softwarových závislostí je zde podvržen obraz virtuálního stroje. Pro ochranu AWS doporučuje používat nový kontrolní mechanismus Allowed AMIs a vždy uvádět vlastníka při vyhledávání obrazů přes API.
Dvě zranitelnosti OpenSSH
Výzkumný tým Qualys Threat Research Unit (TRU) zveřejnil dvě nově nalezené zranitelnosti v OpenSSH. Obě zranitelnosti se nacházejí ve více verzích OpenSSH.
OpenSSH uvedl, že chyba typu man-in-the-middle, sledovaná jako CVE-2025–26465, existuje ve verzi 6.8p1 vydané v březnu 2018 až po verzi 9.9p1 a mohla by být použita „útočníkem na cestě“ k předstírání identity jakéhokoli serveru.
Jednou z polehčujících okolností je, že klient OpenSSH je zranitelný vůči CVE-2025–26465 pouze v případě, že je v konfiguraci povolena možnost VerifyHostKeyDNS, která je ovšem ve výchozím nastavení obvykle zakázána. Výjimkou je distribuce FreeBSD, kde byla tato možnost povolena ve výchozím nastavení od září 2013 do března 2023.
Zranitelnost typu odepření služby, sledovaná jako CVE-2025–26466, byla vytvořena s OpenSSH verzí 9.5p1. vydané v říjnu 2023 a existovala zde do verze 9.9p1 na klientech i serverech. Tuto zranitelnost by mohli zneužít útočníci pomocí SSH2_MSG_PING paketů k vytvoření „útoku typu denial-of-service před ověřením“ prostřednictvím „asymetrické spotřeby zdrojů paměti i CPU,“ dodal Qualys.
Projekt OpenSSH vydal opravy obou zranitelnosti v rámci úterního vydání OpenSSH 9.9p2.
Upozornění na podvodné telefonáty
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) upozorňuje na další kampaň podvodných telefonátů, ve kterých se neznámý útočník vydává za pracovníka důvěryhodné instituce a pod záminkou blokace účtu a nutnosti převodu peněz na rezervní účet se snaží z lidí vylákat finanční prostředky. Tento druh kyberpodvodů nespadá mezi činnosti, kterými se NÚKIB zabývá. Doporučujeme dodržovat základní pravidla kybernetické bezpečnosti, především nikam neposílat peníze pod časovým tlakem.
NÚKIB dlouhodobě upozorňuje na podvodné telefonáty (vishing), které zneužívají telefonní čísla (spoofing) a identity důvěryhodných institucí, jako jsou banky, policie a další instituce, včetně NÚKIB. Součástí promyšleného scénáře nemusí být pouze jeden telefonát. Mnohdy jich je více jakoby z různých institucí a snaží se pod tlakem oběť přimět ke konkrétním krokům.
Nejčastěji kyberpodvodníci volají se záminkou, že oběti bude zablokován bankovní účet, a aby mohla i nadále využívat své finanční prostředky, je potřeba peníze neprodleně převést na účet rezervní. K tomuto rezervnímu účtu však oběť nikdy přístup nedostane, a přijde tak s velkou pravděpodobností o své úspory.
Běžní hackeři se stále častěji paktují s těmi vládními
V Číně, Rusku a Íránu dochází stále častěji k symbióze mezi kyberšpiony ve službách státu a těmi „běžnými“, motivovanými finančním ziskem. Podle nedávných zjištění společností Mandiant a Symantec dochází stále častěji ke spolupráci mezi hackerskými skupinami spadajícími pod některé z vlád a „běžnými“ kyberzločinci. V praxi tak narůstá množství případů sdílení malwaru nebo infrastruktury mezi vládou sponzorovanými špionážními operacemi a finančně motivovaným kyberzločinem.
Výzkumníci společnosti Mandiant poznamenali, že státem podporované skupiny stále častěji nakupují malware a osobní údaje (včetně těch přihlašovacích) od zločineckých organizací, namísto aby je vyvíjely samy.
Často je to jednak levnější, a za druhé to státním skupinám pomáhá splynout se světem kyberzločinu a stát se tak nenápadnějšími. Uveřejněné reporty identifikují konkrétní případy spolupráce zahrnující ruské, čínské a íránské státní subjekty.
Největší únik dat v historii USA
Elon Musk a služba DOGE čelí dalším žalobám kvůli neoprávněnému přístupu k údajům, který některé organizace označují za „největší únik dat v historii USA“. V uplynulém týdnu bylo podáno několik žalob, které napadají přístup americké služby DOGE k soukromým údajům amerických občanů a federálních zaměstnanců. Jejich cílem je zamezit přístup organizace k těmto údajům a požadovat vymazání nezákonně zpřístupněných informací.
Tři samostatné žaloby směřují jednak přímo proti službě US DOGE Service, ale taky proti Elonu Muskovi a různým vládním agenturám, včetně amerického Úřadu pro řízení lidských zdrojů (United States Office of Personnel Management, OPM) a jeho šéfa Charlese Ezella. Žaloby se týkají rozsáhlého porušování ochrany osobních údajů při nakládání s citlivými osobními údaji.
Ve zkratce
- Jak se data z phishingu mění v Apple a Google peněženky
- Severokorejští hackeři cílí na vývojáře pracující na sebe
- NailaoLocker ransomware je nová hrozba pro evropské zdravotnické organizace
- Útoky na nedávno záplatovanou zranitelnost firewallů Palo Alto
- Let’s Encrypt vydal první certifikát s krátkodobou platností
- Čínští hackeři používají vlastní malware ke špehování amerických telekomunikačních sítí
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU