Vedle ransomware se vyplácí i kryptoscamy
Podle FBI investiční podvody převýšily ztráty všech ostatních typů kyberkriminality a meziročně vzrostly na trojnásobek na 2,6 miliardy dolarů. Krebsonsecurity přináší zajímavá zjištění Renauda Chaputa, programátora na volné noze, který se zabývá škálováním sociální sítě Mastodon.
Na začátku května nové registrace prudce vyskočily ze tří na devět set účtů za minutu. Ty bez výhrady lákaly uživatele sítě na podvodné kryptoscamy. Devět set účtu za minutu je však množství, na něž protokol není stavěný, tak nakonec Chaput nové registrace dočasně uzavřel. Tím vyprovokoval útočníky k masivnímu DDoS útoku, který trval několik hodin, a jenž byl upravován tak, aby se přizpůsobil mitigačním krokům. Chaput pak pátral, až se na Telegramu spojil s hackerem, jehož software stál za spammerskou kampaní, a dověděl se zajímavé detaily.
Trpělivost data přináší
Společnost Google odstranila z Play Store aplikaci iRecorder – Screen Recorder, určenou k zaznamenávání obrazovky. Aplikace se v Play Store objevila poprvé 19. září 2021 a téměř rok byla neškodná. Až dne 24.8.2022 byl přidán škodlivý kód založený na open source kódu AnMyth Android RAT. Aplikace s touto úpravou pak získává nahrávky mikrofonu nebo sbírá určité typy souborů. Na Google Play jsou nyní nedostupné také další aplikace stejného vývojáře:
- iBlock (com.tsoft.app.iblock.ad)
- iCleaner (com.isolar.icleaner)
- iEmail (com.tsoft.app.email)
- iLock (com.tsoft.app.ilock)
- iVideoDownload (com.tsoft.app.ivideodownload)
- iVPN (com.ivpn.speed)
- File speaker (com.teasoft.filespeaker)
- QR Saver (com.teasoft.qrsaver)
- Tin nóng tin lạnh (read: Hot news and cold news in Vietnamese) (com.teasoft.news)
NÚKIB upozorňuje na zranitelnost CVE-2023–23397
Národní úřad pro kybernetickou bezpečnost upozorňuje na zranitelnost CVE-2023–23397 týkající se aplikace Microsoft Outlook, kterou lze zneužít doručením speciálně upravené e-mailové zprávy na Outlook klienta. Aby se tak stalo, není potřeba interakce od uživatele.
Při úspěšném zneužití zranitelnosti útočník získá Net-NTLMv2 hash oběti, který lze využít k pohybu v síti napadené organizace. Podle společnosti Microsoft je tato zranitelnost již zneužívána. Zranitelnost se týká všech podporovaných verzí Microsoft Outlook pro Windows, které byly vydány před datem 14. březen 2023. Aktualizace, která zabraňuje zneužití této zranitelnosti, již byla vydána. Doporučujeme její bezodkladnou instalaci.
Kritické zranitelnosti v přepínačích Cisco Small Business
V síťových přepínačích Cisco Small Business bylo nalezeno devět zranitelností, z toho 4 kritické. Vesměs se jedná o buffer-overflow při zpracování požadavků poslaných na webové rozhraní, bez potřeby autentizace. Exploitace může způsobit odepření služby nebo ještě hůře spuštění libovolného kódu s root oprávněním.
Byly vydány opravné verze firmware (2.5.9.16 a 3.3.0.16), ale bohužel vzhledem k end-of-life se to netýká sérií 200, 300 a 500. Cisco PSIRT upozorňuje na dostupnost proof-of-concept exploitů a dodává, že zneužívání těchto zranitelností zatím nezaznamenali.
K neuvěření
Kriminální policie Jihovýchodní Anglie (SEROCU) vydala zprávu o odsouzení mladého muže, bývalého bezpečnostního IT analytika z jedné oxfordské firmy. Přibližně před pěti lety se měl jeho zaměstnavatel stát obětí ransomwaru a tento mladík se z titulu své pozice účastnil vyšetřování incidentu.
Kromě toho ale bohužel zahájil také svou vlastní operaci, kdy měl provést více než 300 přístupů k e-mailům členů představenstva a pozměnit platební adresu v původním vyděračském e-mailu tak, aby případná platba skončila u něj místo u útočníka. Také začal zaměstnavatele sám kontaktovat z e-mailové adresy naoko podobné té útočníkově.
Jak vložit backdoor do veřejných SSH klíčů
Na blogu thc.org se objevil článek popisující jak je možné vložit zadní vrátka do veřejných ssh klíčů. Myšlenka spočívá v tom, že pokud tak upravíte klíče admina sám je rozdistribuuje po své síti. Pokud infikujete veřejnou část klíče přímo na serveru, tak získáte zadní vrátka, která přežijí i restart serveru.
Celá myšlenka vychází z formátu souboru authorized keys a konkrétně se zde zneužívá direktiva command=. Jak již jistě tušíte, pomocí této direktivy lze spustit libovolný příkaz. Jeden velmi kreativní popisují přímo na uvedeném článku, kde využívají gsocket. To je jedna z dalších možností, jak obejít firewally blokující příchozí spojení.
Botnet Dark Frost útočí na herní průmysl
Nový botnet s názvem Dark Frost útočí na herní průmysl. Zatím byl pozorován, jak pouští DDoS útoky na servery herních společností, hostingových serverů a případně i online streamy. Podle zjištěných informací botnet od února 2023 kompromitoval až 414 strojů běžících na různých architekturách jako jsou například ARMv4, x86, MIPSEL, MIPS a ARM7.
Dark Frost je údajně schopný posílat až 629,28 Gb/s pomocí UDP flood. Zatím to vypadá, že útočník se pouze snaží ukázat co dokáže, což může napovídat například vytvořený kanál na discordu, kde nabízí pozastavení útoku za úplatek.
Zranitelnost Keepass
V password manageru KeePass byla minulý týden objevena zranitelnost, která umožňuje získání master hesla z operační paměti. Zranitelnost s označením CVE-2023–32784, bude podle vývojářů programu odstraněna začátkem června. Zranitelnost se projevuje ve všech verzích softwaru KeePass 2.x do verze 2.54.
Tuto zranitelnost nelze zneužít vzdáleně po síti, ale útočník již musí mít přístup k počítači na kterém je KeePas provozován. Proof of koncept se nachází na GitHubu a umožňuje extrahovat z operační paměti master heslo bez prvního znaku. Na cílovém systému není nutné vykonávat žádný kód. Stačí mít dump operační paměti, dump oblasti paměti procesu KeePass, swap (pagefile.sys), hibernační soubor (hyberfil.sys) nebo crash dump.
Čína zakázala používat čipy společnosti Micron v klíčové infrastruktuře
Podle čínské Ústřední komise pro záležitosti kyberprostoru představují produkty americké společnosti Micron pro zemi významné bezpečnostní riziko. Ukázala to prý jejich prověrka, byť čínské úřady neuvedly, které konkrétní výrobky Micronu na jejím základě zakáže, v čem jejich rizikovost spočívá ani co se stane s těmi stávajícími, už používanými. Bylo zjištěno, že výrobky společnosti Micron mají závažnější problémy s kybernetickou bezpečností a představují významné bezpečnostní riziko pro čínský dodavatelský řetězec kritické informační infrastruktury, což ovlivňuje národní bezpečnost Číny,
uvádí se ve strojovém překladu prohlášení komise. Dále se v něm uvádí, že provozovatelé kritické informační infrastruktury by měli přestat produkty Micronu kupovat
. V opačném případě by neměla být bezpečnost sítě úřady schválena.
Úspěšnost ransomwaru dosahuje rekordní úrovně
Bezpečnostní průzkum ukázal, že když organizace zaplatily výkupné za dešifrování svých dat, jejich náklady na obnovu se tím ve skutečnosti zdvojnásobily – na průměrných 750 000 dolarů v porovnání s 375 000 dolary u organizací, které k obnově dat použily zálohy.
Zaplacení výkupného navíc obvykle znamenalo delší dobu obnovy – 45 % organizací, které použily zálohy, se zotavilo do týdne, na rozdíl od 39 % organizací, které zaplatily výkupné. Celkově bylo ransomwarem napadeno 66 % z dotázaných organizací stejně jako v předchozím roce. To naznačuje, že počet ransomwarových útoků zůstává stabilní navzdory dojmu, že se počet útoků snižuje.
Ve zkratce
- Útočníci používají šifrované přílohy ke krádežím přístupů k MS 365
- COSMICENERGY – nový malware útočící na rozvodné sítě
- Společnost Barracuda varuje před aktivně zneužívanou 0-day zranitelností v ESG
- Společnost Zyxel vydala záplaty kritických zranitelností pro firewally a VPN
Pro pobavení
How dogs help us to understand the importance of principle of least privilege and zero-trust: pic.twitter.com/oRoikwqmnI
— Mike Manrod (@CroodSolutions) April 11, 2023
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
