Hlavní navigace

Postřehy z bezpečnosti: Intel SGX prolomen, enklávy nejsou v bezpečí

25. 10. 2021
Doba čtení: 3 minuty

Sdílet

 Autor: Intel
V dnešním díle postřehů se podíváme na útoky v jižní Asii, na e-mailovou kampaň trojanu FlawedGrace, na varování před chybami, na zatýkání kyberzločinců a na ostatní zajímavosti ze světa výpočetní techniky.

Útoky v jižní Asii

Společnost Symantec zaznamenala dosud neznámého útočníka zvaného Harvester, který útočí zejména na poskytovatele telekomunikačních služeb a IT firmy v Jižní Asii. V současnosti se zaměřuje na organizace v Afghánistánu. Seznam nástrojů využívaných skupinou Harvester při útocích zaznamenaných výzkumníky:

  • Backdoor Graphon – zadní vrátka, která používají infrastrukturu Microsoftu pro svou CC aktivitu
  • Custom Downloader – používá infrastrukturu Microsoftu pro svou CC aktivitu
  • Custom Screenshotter – periodicky zaznamenává obsah obrazovky do souboru
  • Cobalt Strike Beacon – používá infrastrukturu CloudFront pro svou CC aktivitu
  • Metasploit – modulární framework, který může být použit k různým škodlivým účelům na strojích obětí včetně eskalace oprávnění, zachytávání obsahu obrazovky a instalace zadních vrátek

Ačkoliv na výzkumníky ještě čeká objevení útočného vektoru, předpokládá se, že se jedná o phishingové zprávy sdílející škodlivé URL.

E-mailová kampaň trojanu FlawedGrace

Výzkumníci zjistili, že se odehrává masivní e-mailová kampaň za účelem šíření trojanu FlawedGrace, která je cílená především na Německo a Rakousko. Bezpečnostní firma Proofpoint tuto malwarovou kampaň připisuje skupině TA505, která se pohybuje v oblasti kybernetické kriminality přinejmenším od roku 2014 a která stojí za finančně motivovanými útoky pomocí nástrojů, jako například:

  • Dridex banking trojan
  • FlawedAmmyy
  • FlawedGrace
  • Neutrino botnet
  • Locky ransomware

FlawedGrace je trojan napsaný v C++ umožňující vzdálený přístup, který byl poprvé pozorován v listopadu 2017. Je navržen tak, aby překazil reverzní inženýrství a analýzu a přichází s řadou schopností komunikace s CC serverem pro příjem instrukcí a odeslání výsledků příkazů zpět na server.

Varování před útočníky z BlackMatter

Bezpečnostní autority jako CISA, FBI a NSA varují organizace před novou skupinou útočníků s názvem BlackMatter, která se specializuje na vyděračský malware ransomware. Skupina BlackMatter se pravděpodobně vytvořila ze skupiny DarkSide, která je nejspíše zodpovědná za útok na společnost Colonial Pipeline v květnu 2021.

Skupina za pomoci předem kompromitovaných přístupových oprávnění zneužívá protokoly LDAP a SMB k přístupu k Active Directory za účelem odhalení všech počítačů v síti. Následně jsou počítače a sdílené disky vzdáleně zašifrované. Odborníci doporučují kromě zavedení silných hesel a vícefaktorového ověřování zejména omezení přístupu ke sdíleným diskům na nezbytně nutné minimum a použití firewallu na koncových stanicích.

Varování Microsoftu před chybou zařízení Surface Pro 3

Microsoft zveřejnil nové varování před zranitelností, která překonává bezpečnostní nastavení u konvertibilních laptopů Surface Pro 3. Chyba může být zneužita k rozmístění škodlivých zařízení v podnikových sítích a překonání mechanizmu atestace zařízení.

Chyba je sledována jako CVE-2021–42299 s označením „TPM Carte Blanche“ a vypadá to, že zařízení jako Surface Pro 4 a Surface Book nejsou chybou zasaženy. Technické detaily o útoku a proof-of-concept jsou rovněž k dispozici.

Výzkumníci překonali Intel SGX

Nově objevená zranitelnost, která postihuje procesory Intel, může být protivníkem zneužita k získání citlivých informací umístěných v enklávách a dokonce ke spuštění libovolného kódu na zranitelných systémech. Zranitelnost nazvaná SmashEx je sledována jako CVE-2021–0186.

SGX je zkratka pro Software Guard eXtensions, která vývojářům dovoluje spustit část kódu v kompletně izolovaném prostředí zvaném enkláva nebo také Trusted Execution Environment (TEE). Intel uvolnil aktualizovaný software jakožto záplatu na tuto zranitelnost pro Windows (SGX SDK verze 2.13) a Linux (verze 2.14). Microsoft vydal aktualizovanou verzi SDK Open Enclave 0.17.1.

Uvěznění dvou lidí z východní Evropy

Ve Spojených Státech byli uvězněni dva lidé z východní Evropy za poskytování neprůstřelného hostingu kybernetickým kriminálníkům, kteří infrastrukturu použili k distribuci malwaru a k útokům na finanční instituce po celé zemi mezi lety 2009 a 2015.

root_podpora

Škodlivé balíčky NPM

U tří javascriptových knihoven nahraných na oficiální NPM repozitář balíčků bylo zjištěno, že se jedná o malware těžící kryptoměny. Jedná se o balíčky okhsa, klow a klown, které cílí na zařízení pro Windows, Linux a macOS. Všechny tyto balíčky byly nahrány pod uživatelem, kterému byl následně účet zablokován a škodlivé balíčky byly odstraněny.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

Byl pro vás článek přínosný?

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.