DeepSeek přenáší nešifrovaně citlivá data
Nový audit mobilní aplikace DeepSeek pro operační systém iOS odhalil několik bezpečnostních problémů. Hlavním z nich je, že aplikace odesílá citlivá data přes internet bez jakéhokoliv šifrování, čímž je vystavuje odposlechu a manipulaci.
Audit provedla společnost NowSecure, která rovněž zjistila, že aplikace nedodržuje osvědčené bezpečnostní postupy a že shromažďuje rozsáhlé údaje o uživatelích a zařízeních. „Aplikace DeepSeek pro iOS odesílá některé údaje o registraci mobilních aplikací a data zařízení přes internet bez šifrování,“ uvedla společnost. „Tím jsou veškerá data v internetovém provozu vystavena pasivním i aktivním útokům.“
Rozbor odhalil také několik implementačních nedostatků, pokud jde o použití šifrování uživatelských dat. Patří mezi ně použití zastaralého symetrického šifrovacího algoritmu 3DES, pevného (hard-coded) šifrovacího klíče a opakované použití inicializačních vektorů. Data jsou navíc odesílána na servery spravované cloudovou platformou Volcano Engine, kterou vlastní čínská společnost ByteDance, jež provozuje také TikTok.
„Aplikace DeepSeek pro iOS globálně deaktivuje zabezpečení přenosu aplikací (ATS, App Transport Security), což je ochrana na úrovni platformy iOS, která zabraňuje odesílání citlivých dat přes nešifrované kanály,“ uvedla společnost NowSecure. „Protože je tato ochrana vypnutá, aplikace může odesílat (a odesílá) nešifrovaná data přes internet.“
Tato zjištění se přidávají k rostoucímu seznamu obav, které se objevily v souvislosti se službou chatbotů s umělou inteligencí, přestože se na několika trzích po celém světě vyšplhala na vrchol žebříčků obchodů s aplikacemi pro Android i iOS.
Kyberbezpečnostní společnost Check Point uvedla, že zaznamenala případy, kdy aktéři hrozeb využívali enginy umělé inteligence z DeepSeek spolu s Alibaba Qwen a OpenAI ChatGPT k vývoji programů pro krádeže informací, generování necenzurovaného nebo neomezeného obsahu a optimalizaci skriptů pro masovou distribuci spamu.
„Vzhledem k tomu, že aktéři hrozeb využívají pokročilé techniky, jako je například jailbreaking, k obcházení ochranných opatření a vyvíjejí infostealery, finanční krádeže a distribuci spamu, organizace by měly zavést proaktivní obranu, která zajistí robustní ochranu proti potenciálnímu zneužití technologií AI,“ uvedla společnost.
Začátkem minulého týdne zveřejnila agentura Associated Press informaci, že webové stránky DeepSeek jsou nakonfigurovány tak, aby odesílaly přihlašovací údaje uživatelů do China Mobile, státní telekomunikační společnosti, která má ve Spojených státech zakázanou činnost.
Propojení aplikace s ČLR, podobně jako u TikToku, přimělo americké zákonodárce k tomu, aby prosadili celostátní zákaz DeepSeek ve vládních zařízeních kvůli riziku, že by mohla Pekingu poskytovat informace o jejich uživatelích.
Kyberzločinci mezitím neztrácejí čas a využívají šílenství kolem DeepSeek k zakládání podobných stránek, které šíří malware, falešné investiční podvody a podvody s kryptoměnami.
Microsoft identifikoval 3 000 uniklých klíčů ASP.NET
Společnost Microsoft varuje před nebezpečným postupem, u kterého vývojáři softwaru používají zveřejněné strojové klíče ASP.NET z veřejně přístupných zdrojů, čímž se jejich aplikace dostávají do hledáčku útočníků.
Threat intel tým Microsoftu uvedl, že v prosinci 2024 zaznamenal aktivitu, při níž neznámý aktér hrozeb použil veřejně dostupný statický strojový klíč ASP.NET k injektování škodlivého kódu a dodání post-exploatačního rámce Godzilla. Rovněž uvedl, že identifikoval více než 3 000 zveřejněných klíčů, které by mohly být použity pro typy útoků ViewState code injection.
„Zatímco řada dříve známých útoků ViewState code injection využívala kompromitované nebo ukradené klíče, které se často prodávaly na fórech dark webu, tyto zveřejněné klíče by mohly představovat vyšší riziko, protože jsou k dispozici ve více úložištích kódu a mohly být do vývojového kódu vloženy bez úprav,“ uvedla společnost Microsoft.
ViewState je metoda používaná ve frameworku ASP.NET k uchování hodnot stránek a ovládacích prvků mezi zpětnými zálohami. Může také zahrnovat data aplikace, která jsou specifická pro danou stránku.
„Ve výchozím nastavení jsou data stavu zobrazení uložena na stránce ve skrytém poli a jsou kódována pomocí base64,“ uvádí společnost Microsoft ve své dokumentaci. „Kromě toho je z dat stavu zobrazení vytvořen hash pomocí MAC (Machine Authentication Code) klíče. Hodnota hashe je přidána k zakódovaným datům stavu zobrazení a výsledný řetězec je uložen na stránce.“
Při použití hashe jde o to, aby bylo zajištěno, že data stavu zobrazení nebyla poškozena nebo pozměněna škodlivými aktéry. To znamená, že pokud jsou tyto klíče odcizeny nebo zpřístupněny neoprávněným třetím stranám, otevírá to dveře scénáři, kdy může aktér hrozby využít klíče k odeslání škodlivého požadavku ViewState a spuštění libovolného kódu.
„Když je požadavek zpracován ASP.NET Runtime na cílovém serveru, je stav ViewState úspěšně dešifrován a ověřen, protože jsou použity správné klíče,“ poznamenal Redmond. „Škodlivý kód je poté načten do paměti pracovního procesu a spuštěn, čímž poskytuje aktérovi hrozby možnost vzdáleného spuštění kódu na cílovém IIS webovém serveru.“
Microsoft poskytl seznam hashovacích hodnot pro zveřejněné strojové klíče a vyzval zákazníky, aby si je zkontrolovali podle strojových klíčů používaných v jejich prostředích. Upozornil také, že v případě úspěšného zneužití zveřejněných klíčů nebude pouhá rotace klíčů stačit, protože aktéři hrozeb již mohou mít na hostiteli vytvořenou perzistenci.
Pro zmírnění rizika, které takové útoky představují, doporučuje nekopírovat klíče z veřejně dostupných zdrojů a klíče pravidelně rotovat. Jako další krok k odrazení aktérů hrozeb společnost Microsoft uvedla, že odstranila artefakty klíčů z „omezených případů“, které byly obsaženy v její dokumentaci.
Falešné stránky Google Chrome distribuují malware ValleyRAT
Pomocí falešných webových stránek propagujících Google Chrome byly distribuovány škodlivé instalační programy trojského koně pro vzdálený přístup s názvem ValleyRAT.
Tento malware, který byl poprvé detekován v roce 2023, je připisován aktérovi hrozeb sledovanému jako Silver Fox. Jeho předchozí útočné kampaně byly zaměřeny především na čínsky mluvící oblasti, mj. Hongkong, Tchaj-wan a nebo ČLR.
„Tento aktér se stále častěji zaměřuje na klíčové pozice v organizacích, zejména ve finančním, účetním a obchodním oddělení, což poukazuje na zaměření na vysoce hodnotné pozice s přístupem k citlivým datům a systémům,“ uvedl výzkumník společnosti Morphisec Shmuel Uzan ve zprávě zveřejněné na začátku tohoto týdne.
První zaznamenané útočné řetězce doručily ValleyRAT spolu s dalšími rodinami malwaru, jako jsou Purple Fox a Gh0st RAT, z nichž druhý byl hojně využíván různými čínskými hackerskými skupinami. Ještě minulý měsíc sloužily jako distribuční mechanismus trojského koně padělané instalační programy legitimního softwaru pomocí loaderu DLL s názvem PNGPlug.
Stojí za zmínku, že schéma drive-by download zaměřené na čínsky mluvící uživatele systému Windows bylo dříve použito k nasazení Gh0st RAT pomocí škodlivých instalačních balíčků pro webový prohlížeč Chrome. Podobně i nejnovější sekvence útoku spojená s ValleyRAT využívá falešnou webovou stránku prohlížeče Google Chrome, která cílové uživatele přiměje ke stažení archivu ZIP obsahujícího spustitelný soubor Setup.exe.
Technický ředitel společnosti Morphisec Michael Gorelik sdělil serveru The Hacker News, že existují důkazy spojující tyto dva klastry aktivit a že podvodná stránka s instalátorem Chrome byla již dříve využita ke stažení payloadu Gh0st RAT.
„Odkazy na falešné stránky prohlížeče Chrome jsou distribuovány především prostřednictvím schémat drive-by download. Uživatelé, kteří vyhledávají prohlížeč Chrome, jsou přesměrováni na tyto škodlivé stránky, odkud si nechtěně stáhnou falešný instalátor. Tato metoda zneužívá důvěry uživatelů ve stahování legitimního softwaru a činí je náchylnými k infekci.“
Instalační binární soubor po spuštění zkontroluje, zda má oprávnění správce, a poté stáhne čtyři další payloady, včetně legitimního spustitelného souboru spojeného s Douyinem Douyin.exe, čínskou verzí TikToku, který se použije k načtení podvržené knihovny DLL tier0.dll, jež následně spustí malware ValleyRAT. Získán je také další soubor DLL sscronet.dll, který je zodpovědný za ukončení všech běžících procesů přítomných v exclusion listu.
ValleyRAT, zkompilovaný v čínštině a napsaný v jazyce C++, je trojský kůň, který je navržen tak, aby monitoroval obsah obrazovky, zaznamenával stisky kláves a vytvořil perzistenci na svém hostiteli. Je také schopen zahájit komunikaci se vzdáleným serverem a čekat na další pokyny, které mu umožní mimo jiné enumerovat procesy a stahovat a spouštět libovolné DLL a binární soubory.
Kimsuky používá forceCopy ke krádeži přihlašovacích údajů v prohlížeči
Jihokorejské kyberbezpečnostní centrum AhnLab Security Intelligence Center (ASEC) zpozorovalo hackerskou skupinu Kimsuky napojenou na Severní Koreu při provádění spear-phishingových útoků, jejichž cílem bylo doručit infostealer forceCopy.
Útoky začínají phishingovými e-maily se souborem Windows shortcurt (LNK), který je maskován jako dokument Microsoft Office nebo PDF. Otevřením této přílohy se spustí PowerShell nebo mshta.exe, legitimní binární soubor společnosti Microsoft určený ke spouštění souborů HTML aplikací (HTA), které jsou zodpovědné za stahování a spouštění dalších fází payloadu z externího zdroje.
Společnost ASEC uvedla, že útoky vyvrcholily nasazením známého trojského koně PEBBLEDASH a vlastní verze open-source nástroje pro vzdálenou plochu RDP Wrapper. Součástí útoků je proxy malware, který aktérům umožňuje navázat trvalou komunikaci s externí sítí prostřednictvím protokolu RDP.
Kimsuky používá keylogger založený na PowerShellu, který zaznamenává stisky kláves, a nový stealer malware s označením forceCopy, který slouží ke kopírování souborů uložených v adresářích souvisejících s webovým prohlížečem. „Všechny cesty, kam se malware instaluje, jsou instalační cesty webového prohlížeče,“ uvedla společnost ASEC. „Předpokládá se, že se aktér hrozby pokouší obejít omezení v konkrétním prostředí a ukrást konfigurační soubory webových prohlížečů, v nichž jsou uloženy přihlašovací údaje.“ Použití nástrojů RDP Wrapper a proxy k ovládnutí infikovaných hostitelů ukazuje na taktický posun skupiny, která k tomuto účelu v minulosti využívala své backdoory.
Skupina označovaná také jako APT43, Black Banshee, Emerald Sleet, Sparkling Pisces, Springtail, TA427 a Velvet Chollima je podle odhadů napojena na Reconnaissance General Bureau (RGB), hlavní severokorejskou zahraniční zpravodajskou službu.
Ruské kyberkriminální skupiny zneužívají chybu v 7-Zip
Nedávno opravená bezpečnostní chyba v archivačním nástroji 7-Zip byla ve velkém zneužita k šíření malwaru SmokeLoader.
Chyba označená CVE-2025–0411 (skóre CVSS: 7.0) umožňuje vzdáleným útočníkům obejít ochranu MotW (Mark-of-the-Web) a spustit libovolný kód v kontextu aktuálního uživatele. Chyba byla vyřešena 7-Zip v listopadu 2024 ve verzi 24.09.
„Zranitelnost byla aktivně zneužívána ruskými kyberkriminálními skupinami prostřednictvím spear-phishingových kampaní, které používaly homoglyfy k podvržení přípon dokumentů a oklamání uživatelů i operačního systému Windows ke spuštění škodlivých souborů,“ uvedl bezpečnostní výzkumník společnosti Trend Micro Peter Girnus.
Existuje podezření, že CVE-2025–0411 bylo pravděpodobně použito jako zbraň zaměřenou na vládní a nevládní organizace na Ukrajině v rámci kyberšpionážní kampaně na pozadí probíhajícího rusko-ukrajinského konfliktu.
MotW je bezpečnostní funkce implementovaná společností Microsoft do systému Windows, která zabraňuje automatickému spouštění souborů stažených z internetu bez provedení dalších kontrol skrze Microsoft Defender SmartScreen. Funguje tak, že využívá funkci alternativního datového toku (ADS) souborového systému NTFS systému Windows k umístění Zone.Identifier s hodnotou ZoneId=3, která označuje stažení souboru z externího, nedůvěryhodného zdroje a že je třeba jej podrobit dalším kontrolám.
CVE-2025–0411 obchází MotW dvojitou archivací obsahu pomocí 7-Zip, tj. vytvořením archivu a následným vložením tohoto archivu do jiného archivu za účelem skrytí škodlivého payloadu. „Hlavní příčinou CVE-2025–0411 je to, že před verzí 24.09 7-Zip správně nepropagoval ochranu MotW na obsah dvojitě zabalených archivů,“ vysvětlil Girnus. „To umožňuje aktérům hrozeb vytvářet archivy obsahující škodlivé skripty nebo spustitelné soubory, které neobdrží ochranu MotW, takže jsou uživatelé systému Windows zranitelní vůči tomuto typu útoků.“
Útoky využívající tuto chybu jako zero-day byly poprvé zjištěny 25. září 2024. Infekční sekvence vedly k malwaru SmokeLoader, který byl opakovaně použit k útokům na Ukrajinu. Výchozím bodem je phishingový e-mail, který obsahuje speciálně vytvořený archivní soubor, jenž následně využívá homoglyf k tomu, aby se vnitřní archiv ZIP vydával za soubor dokumentu Microsoft Word.
Podle společnosti Trend Micro byly phishingové zprávy zasílány z e-mailových adres spojených s ukrajinskými řídícími orgány a obchodními účty městských organizací i podniků, což naznačuje předchozí kompromitaci. „Použití těchto kompromitovaných e-mailových účtů dodává e-mailům zasílaným cílovým skupinám zdání autenticity a manipuluje potenciální oběti, aby důvěřovaly obsahu a jejich odesílatelům,“ upozornil Girnus.
Tento přístup vede ke spuštění souboru s příponou .URL, který se nachází v archivu ZIP a který odkazuje na útočníkem ovládaný server hostující jiný soubor ZIP. Nově stažený soubor ZIP obsahuje spustitelný soubor SmokeLoader, který je maskován jako dokument PDF.
Bylo vyhodnoceno, že kampaň ovlivnila nejméně devět ukrajinských vládních subjektů a dalších organizací, včetně ministerstva spravedlnosti, kyjevské veřejné dopravní služby, kyjevské vodárenské společnosti a městské rady.
Vzhledem k aktivnímu zneužívání CVE-2025–0411 se uživatelům doporučuje aktualizovat instalace na nejnovější verzi, implementovat funkce filtrování e-mailů k blokování pokusů o phishing a zakázat spouštění souborů z nedůvěryhodných zdrojů.
Ve zkratce
- Cisco opravuje kritické zranitelnosti ISE v root CmdExec a PrivEsc
- CISA přidává do KEV čtyři aktivně zneužívané zranitelnosti a vyzývá k jejich opravě do 25. února
- Severokorejští hackeři nasadili FERRET pro macOS skrze falešné pracovní pohovory
- Microsoft opravuje kritickou zranitelnost Azure AI Face Service
- PyPI zavádí stav archivace, který uživatele upozorní na neudržované balíčky Pythonu
K pobavení
Všichni neřeší stejné problémy
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
