Běžný den telefonických podvodníků
Se vzrůstajícím množstvím phishingových útoků využívajících pokročilé techniky sociálního inženýrství při telefonních hovorech se objevují také podrobnější detaily o fungování týmů, které tyto podvody realizují.
Tyto podvody ve většině případů cílí na majitele cryptoměn, kteří mohou v mžiku přijít o celé jmění jako např. v detailně popsaném případě Tonyho , který takto přišel o zhruba čtyři miliony dolarů. V této situaci šlo o podvod, při kterém se podvodníci vydávali za zaměstnance uživatelské podpory společnosti Google jednající v nejlepším zájmu Tonyho, jehož účet byl, dle jejich slov, pravděpodobně kompromitován.
Jak ale vlastně vypadá fungování týmu, který takovýto podvod realizuje? Tím se kupodivu velice detailně pochlubí občas i samotní podvodníci jako např. na tomto videu, které ukazuje jinou variantu hlasového podvodu, tentokrát s využitím zvučného jména společnosti Apple, a kterou sdílel v komunitě ne zcela neznámý uživatel Stotle.
Stotle se, kromě názorné ukázky útoku, podělil např. také o informace o dělení kořisti mezi účastníky podvodu. Uvedl také, že většina údajů potenciálních cílů pochází z několika úniků informací souvisejících s kryptoměnami včetně úniku uživatelských dat společnosti Trezor.io v lednu 2024.
Video ukazuje, že útočníci spolu komunikují přes aplikaci Discord, která jím umožňuje v reálném čase sdílet vlastní obrazovky. Každý v týmu má také předem přesně definovanou roli – je zde volající, který mluví s budoucí obětí, operátor, který do hovoru nezasahuje, ale na pozadí řídí pohyb oběti po potřebných stránkách. Další zajímavá role je role tzv. drainera, který se stará o to, aby na žádných účtech oběti nic nezůstalo a na celý proces dohlíží „vlastník“ útoku.
Útočníci se na vlastní útok připravují pomocí množství více či méně automatizovaných nástrojů, kterými ověřují, zda jsou emailové adresy z úniků aktivní, zda mají účet na některém z kryptoměnových portálů a jdou tak daleko, že si pomocí adres z kontaktních údajů a veřejně dostupných online katastrů řadí možné cíle tak, aby ti nejbohatší s nejcennějšími nemovitostmi byli na vrcholu.
Kritická zranitelnost v SimpleHelp
SimpleHelp je software pro vzdálenou podporu zařízení, napsaný je v Javě. Výzkumníci z Horizon3.ai objevili kritické zranitelnosti v tomto programu, které mohou vést k plnému ovládnutí systému. Tyto zranitelnosti umožňují útočníkům získat kontrolu nad SimpleHelp serverem i nad zařízeními, která jsou aktuálně spravována napadeným serverem.
Seznam nalezených CVE:
- CVE-2024–57727: Path Traversal
Tato zranitelnost umožňuje útočníkům přistupovat k libovolným souborům na SimpleHelp serveru. Jelikož veškerá konfigurace serveru je uložena v souboru serverconfig.xml, může útočník získat hashovaná hesla administrátorských účtů a další citlivé informace. - CVE-2024–57728: Arbitrary File Upload to Remote Code Execution as Admin
Útočník s oprávněním administrátora může nahrát škodlivý kód na libovolné místo na serveru. Tento kód lze následně spustit, například pomocí cron souborů na Linuxu. Na systémech Windows mohou útočníci dosáhnout stejného výsledku přepsáním spustitelných souborů nebo knihoven DLL. Pokud je navíc aktivována funkce „unattended access“, může útočník získat kontrolu i nad klientskými zařízeními připojenými k napadenému serveru. - CVE-2024–57726: Privilege Escalation
Tato zranitelnost umožňuje uživateli s nižšími oprávněními povýšit svůj účet na úroveň administrátora. Útočník toho dosáhne pomocí speciálně vytvořených síťových požadavků, které zasílá na server. Jakmile získá administrátorská oprávnění, může zneužít i ostatní zranitelnosti uvedené výše.
Ohrožené jsou verze 5.5.8, 5.4.10, 5.3.9 a pravděpodobně všechny starší buildy vydané před koncem roku 2024. Doporučuje se okamžitě aktualizovat na nejnovější verzi. Společnost SimpleHelp vydala opravy pro verze 5.5.8, 5.4.10 a 5.3.9 do 14 dnů od nahlášení zranitelností výzkumníky z Horizon3.ai.
Britský registr domén nejvyšší úrovně čelil útoku
Britský registr domén nejvyšší úrovně informoval o bezpečnostním incidentu, kdy útočníci zneužili zero-day zranitelnost v produktech Ivanti VPN. Nominet, který spravuje více než 11 milionů domén .uk, stejně jako .wales a .cymru, minulý týden vydal varování svým zákazníkům.
Hackeři napojení na Rusko cílí na Kazachstán
Podle nové analýzy provádějí hackeři napojení na Rusko rozsáhlou kybernetickou špionážní kampaň zaměřenou na Kazachstán a další země Střední Asie. Skupina známá jako UAC-0063 je pravděpodobně spojena s ruskou vojenskou zpravodajskou službou GRU a její jednotkou APT28 (také známou jako Fancy Bear). Tato skupina byla poprvé odhalena ukrajinským CERT-UA začátkem roku 2023, když napadla vládní instituce pomocí speciálního malwaru HATVIBE, CHERRYSPY a STILLARCH.
V poslední sérii útoků hackeři použili jako návnadu oficiální dokumenty kazachstánského ministerstva zahraničí. Dokumenty obsahovaly škodlivý makro kód, který po otevření vytvořil skrytý soubor v dočasné složce Windows. Tento soubor pak spustil složitý infekční řetězec nazvaný Double-Tap, který instaloval malware HATVIBE. Program fungoval jako zavaděč pro výkonnější backdoor CHERRYSPY, který umožňoval získat plnou kontrolu nad infikovaným počítačem.
Francouzská společnost pro kybernetickou bezpečnost Sekoia poznamenává, že cílem UAC-0063 je shromažďování zpravodajských informací ve vládním sektoru, včetně diplomacie, nevládních organizací, akademické sféry, energetiky a obrany. Geografické zaměření skupiny zahrnuje Ukrajinu, Střední Asii a východní Evropu.
Současně bylo zjištěno, že několik zemí ve Střední Asii a Latinské Americe zakoupilo ruský odposlouchávací systém SORM od nejméně osmi ruských společností, včetně Citadel, Norsi-Trans a Protei. SORM umožňuje zachytávat širokou škálu komunikace: od telefonních hovorů po internetový provoz, Wi-Fi a sociální sítě. Mezi zeměmi, které tuto technologii zakoupily, jsou Bělorusko, Kazachstán, Kyrgyzstán, Uzbekistán, Kuba a Nikaragua.
Odborníci zdůrazňují, že ačkoli tyto systémy mají legitimní bezpečnostní využití, vlády těchto zemí historicky zneužívaly sledovacích technologií k potlačování politické opozice, novinářů a aktivistů. Navíc je vývoz ruských sledovacích technologií považován za nástroj k rozšíření vlivu Moskvy v regionech, které považuje za svou tradiční sféru vlivu.
Organizace Woman4Cyber hledá ambasadorku pro mladé
Česká pobočka organizace Women4Cyber s hlavním sídlem v Bruselu hledá ambasadorku pro mladé na rok 2025. Women4Cyber je organizace, jíž cílem je podporovat diverzitu v oblasti kybernetické bezpečnosti a přispět k většímu uplatnění žen a dívek v tomto oboru. V rámci výkonu této role její reprezentantku čeká možnost účasti na odborných kurzech a získání certifikací v oboru zdarma, možnost věnovat se publikační činnosti, spolupracovat na organizaci aktivit a podílet se na směřování organizace.
Akcelerační program pro inovace v obranném sektoru
Agentura CzechInvest ve spolupráci s Ministerstvem obrany spustí od ledna 2025 jedno z akceleračních pracovišť programu NATO (Defence Innovation Accelerator for the North Atlantic – DIANA). Jedná se o podporu vývoje technologií v obranném sektoru. Startupy a malé podniky z členských zemí NATO mohou absolvovat šestiměsíční kurz s možností získat až 100 tisíc eur na rozvoj svých projektů.
Program nabídne mentoring, školení a podporu v oblastech, jako je umělá inteligence či robotika, a zároveň bude sloužit jako kontaktní místo pro další programy NATO a EU.
Falešné žádosti o platbu přes PayPal
Výzkumníci varují před novou phishingovou kampaní, která obchází běžné bezpečnostní protokoly pomocí testovacích domén Microsoft 365 a distribučních seznamů. Útočníci posílají falešné žádosti o platbu PayPal, které vypadají důvěryhodně, a lákají oběti k zadání přihlašovacích údajů.
Volkswagen odhalil citlivé údaje o majitelích aut
Společnost Cariad, softwarová divize Volkswagenu, přiznala masivní únik citlivých dat z přibližně 800 000 elektromobilů, který odhalil německý Chaos Computer Club (CCC). V nezabezpečeném cloudovém úložišti Amazonu byly měsíce volně přístupné terabajty dat, včetně přesných poloh vozidel a osobních údajů jejich majitelů. Mezi postiženými byly vozy značek VW, Seat, Audi a Škoda, přičemž u některých modelů byla geolokace přesná na 10 centimetrů.
CCC ukázalo, jak snadno lze z těchto dat vytvořit detailní profily pohybu, včetně lokalit zpravodajských služeb či osobních návštěv politiků. Společnost Cariad uvedla, že problém vznikl špatnou konfigurací IT aplikací a byl po upozornění během hodin odstraněn. Incident však znovu ukazuje, jak je nutná debata o bezpečnosti dat nejen v moderních vozidlech. Kyberútočníci cílí na kritickou infrastrukturu – kvůli cenným datům i vysokému výkupnému
Vzestup malwaru Androxgh0st
Globální index dopadu hrozeb, který uveřejnil Check Point, ukázal na rychlý vzestup malwaru Androxgh0st, který je nově propojen s botnetem Mozi a zaměřuje se i na IoT zařízení a na kritickou infrastrukturu. Kritická infrastruktura zahrnující energetické sítě, dopravní systémy nebo třeba zdravotnické sítě je častým terčem kyberútoků, protože narušení bezpečnosti těchto systémů může vést k chaosu, obrovským finančním škodám nebo ohrozit lidské životy. V případě úspěšného útoku mohou kyberzločinci žádat vysoké výkupné nebo získat velmi cenná data.
Výzkumníci zjistili, že Androxgh0st zneužívá zranitelnosti napříč platformami, včetně zařízení internetu věcí a webových serverů, klíčových součástí kritické infrastruktury.
Androxgh0st převzal taktiku botnetu Mozi a používá vzdálené spouštění kódu a krádeže přihlašovacích údajů, aby v napadeném systému zůstal dlouhodobě bez odhalení, což mu umožňuje provádět řadu škodlivých aktivit, jako jsou DDoS útoky a krádeže dat. Botnet proniká do kritických infrastruktur prostřednictvím neopravených zranitelností.
Ve zkratce
- Cloudové úložiště Amazon Simple Storage Service (S3) čelí sofistikovanému útoku
- SAP vydal záplaty na kritické zranitelnosti v NetWeaveru
- Výzkum odhalil, jak útočníci zneužívají důvěryhodné platformy jako například YouTube k šíření falešných instalačních balíčků
- Hackeři zveřejnili konfigurace a přihlašovací údaje k VPN pro 15 000 zařízení FortiGate
- Ransomware útok napodobující taktiku skupiny Black Basta zasáhl e-mailové schránky 1 165 zprávami během 90 minut
Pro pobavení
1998: The article "Smurfing Cripples ISPs" was published.
— Today In Infosec (@todayininfosec) January 7, 2025
Of those who've entered the cybersecurity field since June 1, 2017, only 3.8% can give a layman description of a Smurf attack. More alarmingly, only 2% of that population can name a single Smurf.https://t.co/GJ7PzoLSBm pic.twitter.com/6KBZqAFS2C
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
