Útoky v jižní Asii
Společnost Symantec zaznamenala dosud neznámého útočníka zvaného Harvester, který útočí zejména na poskytovatele telekomunikačních služeb a IT firmy v Jižní Asii. V současnosti se zaměřuje na organizace v Afghánistánu. Seznam nástrojů využívaných skupinou Harvester při útocích zaznamenaných výzkumníky:
- Backdoor Graphon – zadní vrátka, která používají infrastrukturu Microsoftu pro svou CC aktivitu
- Custom Downloader – používá infrastrukturu Microsoftu pro svou CC aktivitu
- Custom Screenshotter – periodicky zaznamenává obsah obrazovky do souboru
- Cobalt Strike Beacon – používá infrastrukturu CloudFront pro svou CC aktivitu
- Metasploit – modulární framework, který může být použit k různým škodlivým účelům na strojích obětí včetně eskalace oprávnění, zachytávání obsahu obrazovky a instalace zadních vrátek
Ačkoliv na výzkumníky ještě čeká objevení útočného vektoru, předpokládá se, že se jedná o phishingové zprávy sdílející škodlivé URL.
E-mailová kampaň trojanu FlawedGrace
Výzkumníci zjistili, že se odehrává masivní e-mailová kampaň za účelem šíření trojanu FlawedGrace, která je cílená především na Německo a Rakousko. Bezpečnostní firma Proofpoint tuto malwarovou kampaň připisuje skupině TA505, která se pohybuje v oblasti kybernetické kriminality přinejmenším od roku 2014 a která stojí za finančně motivovanými útoky pomocí nástrojů, jako například:
- Dridex banking trojan
- FlawedAmmyy
- FlawedGrace
- Neutrino botnet
- Locky ransomware
FlawedGrace je trojan napsaný v C++ umožňující vzdálený přístup, který byl poprvé pozorován v listopadu 2017. Je navržen tak, aby překazil reverzní inženýrství a analýzu a přichází s řadou schopností komunikace s CC serverem pro příjem instrukcí a odeslání výsledků příkazů zpět na server.
Varování před útočníky z BlackMatter
Bezpečnostní autority jako CISA, FBI a NSA varují organizace před novou skupinou útočníků s názvem BlackMatter, která se specializuje na vyděračský malware ransomware. Skupina BlackMatter se pravděpodobně vytvořila ze skupiny DarkSide, která je nejspíše zodpovědná za útok na společnost Colonial Pipeline v květnu 2021.
Skupina za pomoci předem kompromitovaných přístupových oprávnění zneužívá protokoly LDAP a SMB k přístupu k Active Directory za účelem odhalení všech počítačů v síti. Následně jsou počítače a sdílené disky vzdáleně zašifrované. Odborníci doporučují kromě zavedení silných hesel a vícefaktorového ověřování zejména omezení přístupu ke sdíleným diskům na nezbytně nutné minimum a použití firewallu na koncových stanicích.
Varování Microsoftu před chybou zařízení Surface Pro 3
Microsoft zveřejnil nové varování před zranitelností, která překonává bezpečnostní nastavení u konvertibilních laptopů Surface Pro 3. Chyba může být zneužita k rozmístění škodlivých zařízení v podnikových sítích a překonání mechanizmu atestace zařízení.
Chyba je sledována jako CVE-2021–42299 s označením „TPM Carte Blanche“ a vypadá to, že zařízení jako Surface Pro 4 a Surface Book nejsou chybou zasaženy. Technické detaily o útoku a proof-of-concept jsou rovněž k dispozici.
Výzkumníci překonali Intel SGX
Nově objevená zranitelnost, která postihuje procesory Intel, může být protivníkem zneužita k získání citlivých informací umístěných v enklávách a dokonce ke spuštění libovolného kódu na zranitelných systémech. Zranitelnost nazvaná SmashEx je sledována jako CVE-2021–0186.
SGX je zkratka pro Software Guard eXtensions, která vývojářům dovoluje spustit část kódu v kompletně izolovaném prostředí zvaném enkláva nebo také Trusted Execution Environment (TEE). Intel uvolnil aktualizovaný software jakožto záplatu na tuto zranitelnost pro Windows (SGX SDK verze 2.13) a Linux (verze 2.14). Microsoft vydal aktualizovanou verzi SDK Open Enclave 0.17.1.
Uvěznění dvou lidí z východní Evropy
Ve Spojených Státech byli uvězněni dva lidé z východní Evropy za poskytování neprůstřelného hostingu kybernetickým kriminálníkům, kteří infrastrukturu použili k distribuci malwaru a k útokům na finanční instituce po celé zemi mezi lety 2009 a 2015.
Škodlivé balíčky NPM
U tří javascriptových knihoven nahraných na oficiální NPM repozitář balíčků bylo zjištěno, že se jedná o malware těžící kryptoměny. Jedná se o balíčky okhsa, klow a klown, které cílí na zařízení pro Windows, Linux a macOS. Všechny tyto balíčky byly nahrány pod uživatelem, kterému byl následně účet zablokován a škodlivé balíčky byly odstraněny.
Ve zkratce
- Zákaz prodeje hackerských nástrojů
- Útok na poskytovatele telekomunikačních služeb
- VPN vystavuje data uživatelů
- Únosy YouTube účtů
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…