ShinyHunters se hlásí k odpovědnosti za útoky na SSO
Vyděračská skupina ShinyHunters se přihlásila k odpovědnosti za probíhající vlnu vishingových útoků zaměřených na účty využívající Single Sign-On (SSO) u platforem Okta, Microsoft Entra a Google. Jejich cílem je získat přístup k podnikovým SaaS službám, odcizit citlivá data a následně oběti vydírat.
Útočníci se vydávají za pracovníky IT podpory a volají zaměstnancům, aby je přiměli k zadání přihlašovacích údajů a kódů pro vícefaktorové ověřování (MFA) na phishingových stránkách, které vypadají jako firemní přihlašovací portály. Pokud se oběť nechá přesvědčit, útočníci získají přístup k jejímu SSO účtu, a ten jim může otevřít cestu k dalším připojeným aplikacím a službám v rámci organizace.
SSO služby od Okta, Microsoft Entra a Google firmám umožňují propojit aplikace třetích stran do jediného ověřovacího toku. Zaměstnanci se tak jedním přihlášením dostanou ke cloudovým službám, interním nástrojům i obchodním platformám. SSO panel obvykle obsahuje seznam všech připojených služeb, takže se kompromitovaný účet může stát bránou do firemních systémů a dat. Mezi běžně připojované platformy patří Salesforce, Microsoft 365, Google Workspace, Dropbox, Adobe, SAP, Slack, Zendesk, Atlassian a řada dalších.
Server BleepingComputer uvádí, že má informace o několika společnostech, které se staly terčem těchto útoků a následně obdržely vyděračské požadavky podepsané skupinou ShinyHunters. To podle něj naznačuje, že za kampaní stojí právě tato skupina. BleepingComputer na začátku minulého týdne kontaktoval společnost Okta s dotazy k narušením, ale Okta se odmítla k útokům zaměřeným na krádež dat vyjádřit.
Právě Okta však později zveřejnila zprávu popisující phishingové sady použité při těchto hlasových útocích. Podle Okty phishingové kity obsahují webový ovládací panel, jenž útočníkům umožňuje dynamicky měnit to, co oběť na phishingovém webu vidí, zatímco s ní mluví po telefonu. Díky tomu mohou oběť provést každým krokem přihlášení a ověření MFA. Pokud útočníci použijí ukradené přihlašovací údaje ve skutečné službě a systém vyžádá MFA, mohou na phishingovém webu v reálném čase zobrazit nové dialogové okno s instrukcemi, například aby oběť schválila push notifikaci, zadala TOTP kód nebo provedla další ověřovací krok.
Ačkoliv ShinyHunters nejprve útoky odmítli komentovat, později BleepingComputer potvrdili, že jsou zodpovědní za některé z nich. Zároveň uvedli, že jejich hlavním zájmem a cílem zůstává Salesforce a ostatní označili za „sponzory“. Skupina také potvrdila další aspekty zprávy, včetně detailů o phishingové infrastruktuře a doménách použitých v kampani.
ShinyHunters tvrdí, že se zaměřují také na platformy Microsoft Entra a Google SSO. Microsoft při dotázání uvedl, že v tuto chvíli nemá co sdělit. Google naopak uvedl, že nemá žádné důkazy o tom, že by jeho produkty byly v kampani zneužívány.
Podle ShinyHunters skupina k identifikaci a kontaktování zaměstnanců používá data ukradená při předchozích únicích, například při rozsáhlých útocích na data Salesforce. Získaná data mají zahrnovat telefonní čísla, pracovní pozice, jména a další detaily, které zvyšují přesvědčivost vishingových hovorů.
EU plánuje revizi ke kybernetické bezpečnosti
Evropská komise navrhla novou legislativu v oblasti kybernetické bezpečnosti, která ukládá povinnost odstranit vysoce rizikové dodavatele, aby byla zajištěna bezpečnost telekomunikačních sítí a posílena obrana proti státem podporovaným a kyberkriminálním skupinám, jež se zaměřují na kritickou infrastrukturu.
Tento krok je reakcí na dlouholeté frustrace z nerovnoměrného uplatňování dobrovolného bezpečnostního nástroje EU pro 5G, který byl zaveden v lednu 2020 s cílem povzbudit členské státy k omezení závislosti na vysoce rizikových dodavatelích. Ačkoliv návrh nejmenuje konkrétní společnosti, představitelé EU při zavádění bezpečnostního nástroje pro 5G vyjádřili obavy ohledně čínských technologických společností (jako jsou Huawei a ZTE).
Nový balíček opatření v oblasti kybernetické bezpečnosti by Komisi udělil pravomoc organizovat celoevropská hodnocení rizik a podporovat omezení nebo zákazy určitých zařízení používaných v citlivé infrastruktuře. Členské státy EU by také společně posuzovaly rizika v 18 kritických odvětvích EU na základě zemí původu dodavatelů a dopadů na národní bezpečnost.
Legislativa zahrnuje také revidovaný zákon o kybernetické bezpečnosti, jehož cílem je zabezpečit dodavatelské řetězce v oblasti IKT a který ukládá povinnost odstranit vysoce rizikové zahraniční dodavatele z evropských mobilních telekomunikačních sítí. Revidovaný zákon o kybernetické bezpečnosti také zjednoduší certifikační postupy pro společnosti, což jim umožní snížit regulační zátěž a náklady prostřednictvím dobrovolných certifikačních systémů spravovaných Evropskou agenturou pro kybernetickou bezpečnost (ENISA).
Jak Komise dále vysvětlila, nová legislativa zmocňuje agenturu ENISA k vydávání včasných varování před hrozbami, provozování jednotného kontaktního místa pro hlášení incidentů a pomoci při reakci na útoky ransomwarem ve spolupráci s Europolem a CERT týmy. Agentura rovněž zavede celoevropské systémy osvědčování dovedností v oblasti kybernetické bezpečnosti a spustí pilotní projekt Akademie dovedností s cílem vybudovat evropskou pracovní sílu v této oblasti.
Zákon o kybernetické bezpečnosti vstoupí v platnost okamžitě po schválení Evropským parlamentem a Radou EU a členské státy budou mít jeden rok na provedení změn v oblasti kybernetické bezpečnosti do vnitrostátního práva.
AI rozšíření na VSCode Marketplace kradou data vývojářů
Dvě škodlivá rozšíření v obchodě Microsoft Visual Studio Code (VSCode) Marketplace, která byla nainstalována celkem 1,5 milionkrát, odesílají data vývojářů na servery v Číně.
Obě rozšíření jsou inzerována jako asistenti kódování založení na AI, kteří poskytují slibovanou funkcionalitu. Neinformují však o nahrávání dat ani nepožadují souhlas uživatelů s jejich odesíláním na vzdálený server.
VS Code Marketplace je oficiální obchod s doplňky pro editor kódu společnosti Microsoft. Rozšíření VS Code jsou instalovatelné pluginy z obchodu, které přidávají funkce nebo integrují nástroje do editoru. Jednou z nejoblíbenějších kategorií doplňků jsou v současné době asistenti pro kódování založení na AI.
Výzkumníci ze společnosti Koi, která se zabývá bezpečností koncových bodů a dodavatelského řetězce, tvrdí, že tato dvě škodlivá rozšíření jsou součástí kampaně, kterou nazvali MaliciousCorgi, a sdílejí stejný kód pro krádež dat vývojářů. Kromě toho obě používají stejnou spywarovou infrastrukturu a komunikují se stejnými backendovými servery. V době zveřejnění jsou obě rozšíření k dispozici na trhu:
- ChatGPT – 中文版, vydavatel: WhenSunset, 1,34 milionu instalací
- ChatMoss (CodeMoss), vydavatel: zhukunpeng, 150 tisíc instalací
Rozšíření používají tři odlišné mechanismy sběru dat. První zahrnuje monitorování souborů otevřených v klientovi VS Code v reálném čase. Při přístupu k souboru je celý jeho obsah zakódován v Base64 a přenesen na servery útočníků. Jakékoliv změny v otevřeném souboru jsou také zachyceny a odeslány.
Druhý mechanismus zahrnuje serverem řízený příkaz ke sběru souborů, který pokaždé nepozorovaně přenese až 50 souborů z pracovního prostoru oběti.
Třetí mechanismus využívá iframe s nulovým rozlišením (zero-pixel) ve webovém rozhraní rozšíření k načtení čtyř komerčních analytických SDK: Zhuge.io, GrowingIO, TalkingData a Baidu Analytics. Tyto SDK se používají ke sledování chování uživatelů, vytváření profilů identity, otisků zařízení a monitorování aktivity v editoru.
Zatímco první dvě shromažďují pracovní soubory vývojářů, třetí se zaměřuje na profilování uživatelů.
Společnost Koi Security zdůrazňuje rizika, která představují nedokumentované funkce v těchto rozšířeních, včetně odhalení soukromého zdrojového kódu, konfiguračních souborů, přihlašovacích údajů ke cloudovým službám a souborů .env obsahujících klíče API a přihlašovací údaje.
Společnost Microsoft v současné době informace prošetřuje.
Automatizované útoky zneužívají FortiCloud SSO ke změně konfigurace
Společnost Arctic Wolf zabývající se kybernetickou bezpečností varovala před „novou skupinou automatizovaných škodlivých aktivit“, které zahrnují neoprávněné změny konfigurace firewallu na zařízeních Fortinet FortiGate.
Tato aktivita podle ní začala 15. ledna 2026 a má podobné rysy jako kampaň z prosince 2025, při které byla zaznamenána škodlivá přihlášení SSO na zařízeních FortiGate k administrátorskému účtu od různých poskytovatelů hostingu pomocí zneužití CVE-2025–59718 a CVE-2025–59719.
Obě zranitelnosti umožňují neautorizované obejití ověřování přihlášení SSO pomocí upravených zpráv SAML, pokud je na postižených zařízeních povolena funkce FortiCloud single sign-on. Tyto nedostatky mají dopad na FortiOS, FortiWeb, FortiProxy a FortiSwitchManager.
„Tato aktivita zahrnovala vytvoření generických účtů určených k trvalému použití, změny konfigurace umožňující přístup k těmto účtům přes VPN a také exfiltraci konfigurací firewallu,“ uvedl Arctic Wolf o rozvíjejícím se klastru hrozeb.
Konkrétně to znamená provedení škodlivých přihlášení SSO ke škodlivému účtu cloud-init@mail.io ze čtyř různých IP adres, po kterém jsou konfigurační soubory firewallu exportovány na stejné IP adresy prostřednictvím rozhraní GUI. Seznam zdrojových IP adres je uveden níže:
104.28.244.115104.28.212.114217.119.139.5037.1.209.19
Kromě toho společnost pozorovala, že útočníci vytvářejí sekundární účty, jako například „secadmin“, „itadmin“, „support“, „backup“, „remoteadmin“ a „audit“, aby zajistili svou perzistenci. „Všechny výše uvedené události se odehrály v rozmezí několika sekund, což naznačuje možnost automatizované činnosti,“ dodala společnost Arctic Wolf.
Zpráva Arctic Wolf následuje po vlně zpráv od zákazníků Fortinet o útočnících, kteří pravděpodobně využívají obcházení záplaty pro zranitelnost CVE-2025–59718 k útokům proti záplatovaným firewallům. Dotčení administrátoři uvedli, že společnost Fortinet údajně potvrdila, že nejnovější verze FortiOS (7.4.10) plně neřeší chybu obcházení autentizace, která měla být opravena již na začátku prosince vydáním FortiOS 7.4.9.
Fortinet údajně také plánuje v nejbližších dnech vydat FortiOS 7.4.11, 7.6.6 a 8.0.0, aby plně vyřešil bezpečnostní chybu CVE-2025–59718.
Organizace Shadowserver, která dohlíží na bezpečnost internetu, v současné době sleduje téměř 11 000 zařízení Fortinet, která jsou vystavena online a mají povolenou funkci FortiCloud SSO.
CISA také 16. prosince přidala CVE-2025–59718 do svého katalogu chyb zneužitých při útocích a nařídila federálním agenturám, aby do týdne nainstalovaly opravu.
Chyby v Chainlit AI umožňují proniknout do cloudových prostředí
Dvě závažné chyby zabezpečení v Chainlit, populárním open-source frameworku pro vytváření konverzačních aplikací AI, umožňují čtení libovolných souborů na serveru a únik citlivých informací.
Tyto chyby, nazvané „ChainLeak“ a objevené výzkumníky společnosti Zafran Labs, lze zneužít bez interakce uživatele a mají dopad na „AI systémy připojené k internetu, které jsou aktivně nasazeny v mnoha odvětvích, včetně velkých podniků.“ Framework pro vytváření aplikací Chainlit AI má v registru PyPI průměrně 700 000 stažení měsíčně a 5 milionů stažení ročně.
Platforma poskytuje hotové webové uživatelské rozhraní pro chatovací AI komponenty, backendové nástroje a vestavěnou podporu pro autentizaci, správu relací a nasazení v cloudu. Obvykle se používá v podnikových nasazeních a akademických institucích a nachází se v produkčních systémech připojených k internetu.
Dvě bezpečnostní chyby leží v libovolném čtení souborů sledovaném jako CVE-2026–22218 a padělání požadavků na straně serveru (SSRF) sledovaném jako CVE-2026–22219. CVE-2026–22218 lze zneužít prostřednictvím koncového bodu /project/element a umožňuje útočníkům odeslat vlastní prvek s kontrolovaným polem path, což donutí Chainlit zkopírovat soubor v této cestě do relace útočníka bez ověření. To má za následek, že útočníci mohou číst jakýkoliv soubor přístupný serveru Chainlit, včetně citlivých informací, jako jsou klíče API, přihlašovací údaje k cloudovému účtu, zdrojový kód, interní konfigurační soubory, databáze SQLite a autentizační tajemství.
CVE-2026–22219 ovlivňuje nasazení Chainlit využívající datovou vrstvu SQLAlchemy a je zneužíván nastavením pole url vlastního prvku, což nutí server načíst URL prostřednictvím odchozího požadavku GET a uložit odpověď. Útočníci pak mohou načíst získaná data, získat přístup k interním službám REST a prozkoumat interní IP adresy a služby.
Společnost Zafran prokázala, že tyto dvě chyby lze kombinovat do jediného řetězce útoků, který umožňuje úplné narušení systému a laterální pohyb v cloudových prostředích.
Výzkumníci informovali správce Chainlit o těchto chybách 23. listopadu 2025 a potvrzení obdrželi 9. prosince 2025. Zranitelnosti byly opraveny 24. prosince 2025 vydáním verze Chainlit 2.9.4.
Vzhledem k závažnosti a potenciálu zneužití CVE-2026–22218 a CVE-2026–22219 se postiženým organizacím doporučuje co nejdříve provést upgrade na verzi 2.9.4 nebo novější (nejnovější je 2.9.6).
Britská vláda varovala před pokračujícími útoky ruské hacktivistické skupiny
Britská vláda varovala před pokračujícími škodlivými aktivitami hackerských skupin spojených s Ruskem, které se zaměřují na kritickou infrastrukturu a místní vládní organizace pomocí útoků typu denial-of-service (DDoS).
Cílem těchto útoků je odstavit webové stránky a znemožnit fungování služeb, uvádí britské Národní centrum pro kybernetickou bezpečnost (NCSC) ve varování. Přestože útoky DDoS nejsou nijak sofistikované, mohou způsobit vysoké náklady pro organizaci, na kterou jsou zaměřeny.
NCSC odkazuje na konkrétního aktéra DDoS hrozby, nechvalně známou skupinu NoName057(16), která je známá jako proruská hacktivistická skupina působící od března 2022. Tento aktér provozuje projekt DDoSia, platformu, která umožňuje dobrovolníkům přispívat výpočetními zdroji k provádění crowdsourcingových DDoS útoků a získávat za to finanční odměny nebo uznání od komunity.
Mezinárodní policejní operace s názvem „Operace Eastwood“ narušila činnost NoName057(16) v polovině července 2025 zatčením dvou členů skupiny, vydáním osmi zatykačů a odstraněním 100 serverů. Vzhledem k tomu, že hlavní provozovatelé skupiny jsou mimo dosah a pravděpodobně pobývají v Rusku, se však kyberzločinci mohli vrátit do akce, jak potvrzuje nejnovější bulletin NCSC.
Agentura poznamenává, že NoName057(16) je motivována spíše ideologií než finančním ziskem a představuje vyvíjející se hrozbu, která ovlivňuje také prostředí operačních technologií (OT). Speciální bezpečnostní průvodce pro provozovatele OT je k dispozici zde.
Ve zkratce
- Víceúrovňová phishingová kampaň cílí na Rusko pomocí Amnesia RAT a ransomwaru
- Nový malware DynoWiper použitý při pokusu o útok skupinou Sandworm na polský energetický sektor
- Společnost Cisco opravila aktivně zneužívanou Zero-Day CVE-2026–20045 v Unified CM a Webex
- Severokorejská kampaň PurpleBravo zacílila na 3 136 IP adres skrze falešné pracovní pohovory
- LastPass varuje před falešnými zprávami o údržbě, které se zaměřují na master hesla uživatelů
- Hackeři využívají zprávy na LinkedIn k šíření RAT skrze sideloading DLL
ČLÁNKY DO MAILU