Operace Red Card
Operace Red Card pod vedením Interpolu přinesla zatčení 306 lidí podezřelých z páchání kybernetických podvodů. Cílem operace bylo narušení a likvidace mezinárodních zločineckých sítí, které způsobují značné škody jednotlivcům i podnikům. Na operaci se mezi listopadem 2024 a únorem 2025 podílelo sedm afrických zemí, jmenovitě Benin, Pobřeží Slonoviny, Nigérie, Rwanda, Jihoafrická republika, Togo a Zambie. Jen v Nigérii se podařilo zatknout 130 lidí. Většina z nich byli cizinci, někteří se sami stali oběťmi nelegálního obchodu s lidmi a na ilegálních aktivitách byli nuceni se podílet proti své vůli.
Několik týdnů před hromadným zatýkáním Interpol spojil síly s Nigerijskou bankou African Development Bank Group pro lepší spolupráci v boji proti kyberpodvodům, korupci a praní špinavých peněz.
Ve Rwandě policii zatkla 45 členů kriminální organizace, která se specializovala na podvody využívající sociální inženýrství. Tato skupina svými podvody připravila oběti o více než 305 tisíc dolarů, z nichž přes 100 tisíc dolarů se podařilo vrátit okradeným lidem. Pachatelé se vydávali za pracovníky telekomunikační společnosti s cílem vylákat od obětí citlivé informace pod záminkou výhry falešného jackpotu. Jiný scénář spočíval ve vydávání se za člena rodiny po autonehodě, dožadující se finanční pomoci na nákladnou léčbu.
Vyšetřovatelé v Zambii zadrželi čtrnáct členů kriminálního syndikátu, kteří hackovali chytré telefony svých obětí, čímž získávali přístup k jejich bankovním aplikacím. K tomu používali phishingové odkazy v SMS. V Jihoafrické republice se dále podařilo zatknout 40 lidí a zabavit přes tisíc SIM karet využívaných ve smishingových kampaních.
I autoritám v Thajsku se dařilo, když na začátku měsíce března došlo k zatčení jednotlivce zodpovědného za únik dat ve více než 90 incidentech. Jeho metodika spočívala ve využití slabé ochrany proti SQL injection a ukradená data poté prodával na dark netu nebo je zašifroval a po obětech požadoval výkupné.
Úspěch operace Red Card dokazuje sílu mezinárodní spolupráce v boji proti kybernetickým zločinům, které neznají hranice a mají zničující dopady pro jednotlivce i celé komunity,
říká Neal Jetton, šéf ředitelství kyberkriminality v Interpolu. Zatčení pachatelů posílá jasný vzkaz kyberzločincům, že jejich činy nezůstanou nepotrestány.
Čtyři kritické zranitelnosti RCE v Ingress NGINX Controller pro Kubernetes
V Ingress NGINX Controller pro Kubernetes byly objeveny čtyři kritické zranitelnosti umožňující vzdálené spuštění kódu (RCE) s hodnocením CVSS 9.8. Tyto zranitelnosti, známé pod názvem „IngressNightmare“, nyní označené jako CVE-2025–1097, CVE-2025–1098, CVE-2025–24514 a CVE-2025–1974, ovlivňují komponentu admission kontroleru, která zpracovává příchozí objekty Ingress, vytváří konfigurace NGINX a provádí jejich validaci.
Útočníci mohou zaslat škodlivý Ingress objekt přímo do admission kontroleru. To jim umožňuje vkládat libovolné direktivy do konfigurace NGINX, které se spouští během validačního procesu. Výsledkem je možnost spuštění kódu v podech Ingress NGINX Controller. Tyto zranitelnosti poskytují útočníkům plný přístup k tajným informacím a zdrojům clusteru, což umožňuje kompletní převzetí kontroly nad cílovým clusterem.
Pro zabezpečení systému by správci Kubernetes měli aktualizovat Ingress NGINX Controller na verze 1.12.1 nebo 1.11.5 a zamezit veřejnému přístupu k webhooku admission kontroleru. Pro ty, kteří nemohou komponenty okamžitě aktualizovat, jsou k dispozici dočasná opatření ke snížení rizik.
Společnost Wiz Research zdůrazňuje, že problém by mohl být rozšířen i na další admission kontrolery v Kubernetes. Důvodem je nedostatečná izolace a přítomnost nadbytečných oprávnění. Ve Wiz Research se domnívají, že je třeba zlepšit přístup k bezpečnosti těchto komponent, aby se minimalizovala útočná plocha a zcela eliminoval veřejný přístup.
Phishing Lucid zneužívající zabezpečení iMessage a RCS k vlastnímu prospěchu
iMessage a Rich Communication Services (RCS) jsou preferované způsoby, jak posílat zprávy ostatním pomocí telefonů s iOS a Android. Na rozdíl od služeb SMS/MMS nabízejí koncové šifrování, zprávy s potvrzením o přečtení, zasílání medií v lepší kvalitě a jsou také mnohem benevolentnější v omezení počtu znaků či velikosti souborů. Čínští vývojáři malwaru nyní přišli se způsobem jak tyto veskrze pozitivní funkce zneužít ve svůj prospěch.
Výsledkem je „Lucid“, platforma phishing-as-a-service (PhaaS) od stejných vývojářů, kteří stojí i za phishingovou kampaní Darcula. Lucid je podle všeho až pozoruhodně úspěšný, z údajů zveřejněných společností Prodaft vyplývá, že kampaně Lucid vedené proti cílům z šesti kontinentů, jsou úspěšné přibližně v 5 % případů.
Výzkumníci společnosti Prodaft dále zjistili, že Lucid využívá k podvodům „převlek“ za 169 organizací z 88 zemí s více než 1000 registrovaným doménami a 129 aktivními instancemi, mezi nimiž je i celá řada národních poštovních služeb (Australská pošta, Botswanská pošta, Královská pošta atd.), kurýrních služeb (například DHL v Německu, Iráku a na Madagaskaru), ale také firmy zabývající se rozvozem potravin, maloobchodníci, finanční instituce, vládní agentury atd.
Lucid není na první pohled nijak zvlášť originální: obdržíte zprávu o nezaplaceném clu popř. doručované nezaplacené zásilce s odkazem a na phishingových stránkách nerozeznatelných od originálů vás navedou k zadání platebních údajů. Potud nic mimořádného, Lucid poskytuje i jiné „bonusy“. Pokud si Lucid jako PhaaS zakoupíte, můžete nastavit i přesné cílení kampaně – vybrat pouze oběti se zařízeními, kde běží Android nebo iPhone, zvolit geografické zacílení. Navíc se phishingové stránky mohou zobrazit pouze při návštěvě přes zkrácenou adresu URL – tu, která přijde ve zprávě iMessage a vypadá relativně legitimně, nikoli přes celou adresu URL, což mohou při svém vyšetřování zkoušet analytici kybernetické bezpečnosti.
O kampani mají útočníci přehled v reálném čase s živými daty o nových infekcích, včetně toho, zda oběť zadala údaje o své kreditní kartě. Mohou také spustit libovolný počet kampaní najednou. Někteří uživatelé Lucidu provozují farmy mobilních telefonů – desítkami zařízení, která jsou současně vybaveny nástroji, které dokáží zaslat zprávy obrovskému množství telefonních čísel. Při takovém rozsahu samozřejmě hrozí, že podvodné kampaně budou brzy identifikovány a zablokovány. Zde ovšem přichází to, v čem se Lucid liší od běžných phishingových kampaní.
SMS zprávy nejsou šifrované, což teoreticky umožňuje poskytovatelům telekomunikačních služeb cílit na spamové kampaně na úrovni vlastní sítě a posílat je na black list, obzvlášť ty, které se svojí nenasytností prozradí. Naproti tomu zprávy, odesílané prostřednictvím RCS nebo iMessage, jsou vybavené koncovým šifrováním. Přestože zpráva iMessage projde přímo přes server společnosti Apple, společnost Apple sama nemůže při přenosu analyzovat obsah. Lucid toho využívá a odesílá podvodné zprávy prostřednictvím iMessage a RCS, čímž tuto jinak pozitivní bezpečnostní vlastnost nestydatě zneužívá.
Lucid je nyní s přehledem převládající phishing v USA, Velké Británii a Evropě. Skupina stojící za Lucidem a Darculou – „XinXin“ alias „Black Technology“ – tvrdí, že denně získá údaje z více než 100 000 karet. Tento údaj je nejspíš poměrně přehnaný, ale skutečný údaj není o mnoho lepší. Výzkumníci našli příklad phishingovou stránku Lucid, která zaznamenala 550 návštěv stránek a úspěšně získala 30 údajů kreditních karet za pouhý týden.
Google vydal opravu závažné zranitelnosti v prohlížeči Chrome pro Windows
Zranitelnost CVE-2025–2783 nahlásili výzkumníci společnosti Kaspersky 20.března 2025 a týká se knihovny Mojo pouze na systémech Windows. Mojo je IPC knihovna společnosti Google pro prohlížeče založené na platformě Chromium, která se stará o sandboxované procesy pro zabezpečení komunikace. Nalezená zranitelnost za určitých podmínek umožňuje překročení hranice sandboxu a eskalaci oprávnění.
Zneužití chyby v knihovně bylo zaznamenáno při útocích zaměřených na organizace v Rusku. Co se týče mechanismu zneužití a dalších podrobností, Google v tomto ohledu nebyl sdílný a další podrobnosti nesdělil. O závažnosti této zranitelnosti každopádně napovídá i to, že Americká agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) ji přidala do svého katalogu známých zneužitelných zranitelností (KEV) a nařídila federálním úřadům opravit tuto zranitelnost do 17. dubna 2025.
Staronový malware ReaderUpdate cílí na jablíčkáře
Výzkumníci SentineOne varují před novou variantou ReaderUpdate napsanou v jazycích Crystal, Nim, Rust a Go. Jedná se o malware loader aktivní od roku 2020, prvně zaznamenaný jako zkompilovaný binární soubor v Pythonu, doručovaný adwarem Genieo. Do konce roku 2024 zůstával nedetekován, pak se ale objevily jeho varianty napsané v Crystalu, Nimu a Rustu.
SentinelOne v současnosti hlásí pět variant zkompilovaných z různých zdrojů:
| Jazyk | Velikost | SHA-1 |
| Kompilovaný Python | 5.6Mb | fe9ca39a8c3261a4a81d3da55c02ef3ee2b8863f |
| Go | 4.5Mb | 36ecc371e0ef7ae46f25c137aa0498dfd4ff70b3 |
| Crystal | 1.2Mb | 86431ce246b54ec3372f08c7739cd1719715b824 |
| Rust | 400Kb | 01e762ef8a10bbcda639ed62ef93b784268d925a |
| Nim | 166Kb | 21a2ec703a68382b23ce9ff03ff62dae07374222 |
Nové varianty se šíří pomocí starých infekčních cest a třetích stran, často trojanizovanými aplikacemi, jako jsou DragonDrop. Všechny verze cílí na architekturu Intel x86, na jablečných procesorech vyžadují však Rosettu 2.
Poprvé je dokumentována verze v Go, která sbírá informace o hardwaru systému k vytvoření unikátního ID oběti, schovává se pak pod cestou ~/Library/Application Support/. Malware udržuje perzistenci skrz .plist soubor; spouští příkazy ze vzdáleného C2. Experti ze SentinelOne se tak domnívají, že škodlivý kód je využíván k pay-per-install (PPI) platebnímu modelu nebo Malware-as-a-Service (MaaS) a je nabízen jiným zločineckým uskupením.
Tvůrci binárního souboru obfuskují spoustu znaků včetně URL C2 centra a obsah property listu, používají funkce, kterými skládají znaky na stack nebo spouštějí substituční algoritmus, jak píší v reportu.
Varianty v Nimu, Crystalu i Rustu jsou plošně rozšířeny, vzácnější je pak varianta v Go, u které bylo pozorováno pouze devět výskytů, navázaných na sedm domén v širší malwarové infrastruktuře.
ReaderUpdate je rozsáhlá kampaň využívající binární soubory napsané v různých zdrojových jazycích, z nichž každý obsahuje vlastní jedinečné výzvy pro detekci a analýzu. Zajímavé je, že tato platforma loaderu tiše infikuje oběti prostřednictvím starých infekcí, které zůstaly z velké části nepovšimnuty, protože malware zůstal neaktivní nebo poskytoval jen o málo více než adware,
uzavírá zpráva.
Nicméně v případě kompromitace zůstávají hostitelé zranitelní vůči doručení jakéhokoli payloadu, který se provozovatelé rozhodnou doručit, ať už vlastního nebo prodávaného jako Pay-Per-Install nebo Malware-as-a-Service na nelegálních trzích.
Stovky tisíc webů byly infikovány škodlivým JavaScriptem
Bezpečnostní analytici odhalili rozsáhlou kampaň, která infikuje legitimní weby škodlivým JavaScriptem. Cílem je přesměrování návštěvníků na čínské hazardní stránky, často pomocí iframe překryvů a napodobenin značek známých sázkových portálů jako Bet365. Útok probíhá prostřednictvím skriptů vložených do kódu webu a využívá pět domén pro šíření škodlivého obsahu.
Zároveň bezpečnostní firma GoDaddy zveřejnila podrobnosti o dlouhodobé kampani „DollyWay“, která od roku 2016 kompromitovala přes 20 000 WordPress webů. Kampaň využívá sofistikované TDS systémy (Traffic Direction System) a affiliate sítě jako VexTrio k monetizaci návštěvnosti a šíření malwaru. Útočníci modifikují PHP pluginy, deaktivují bezpečnostní pluginy a zneužívají admin přístupy.
Výzkumníci odhalili téměř 200 řídících serverů Raspberry Robin
Bezpečnostní analytici identifikovali téměř 200 unikátních C&C serverů spojených s malwarem Raspberry Robin (známý též jako Roshtyak nebo Storm-0856). Tento škodlivý kód byl poprvé zaznamenán v roce 2019 a slouží jako vstupní brána pro další nástroje, jako jsou Dridex, LockBit nebo IcedID. Raspberry Robin se šíří mimo jiné prostřednictvím infikovaných USB disků, archivních souborů nebo skriptů rozesílaných přes Discord.
Je rovněž známý jako tzv. QNAP worm, protože ke stažení škodlivého kódu využívá napadená QNAP zařízení. Raspberry Robin používá Tor a techniku fast flux pro rotaci IP adres a domén, což výrazně ztěžuje jeho detekci. Mezi nejčastěji používané TLD domény patří .wf, .pm, .re a .eu. Většina jmenných serverů byla registrována u bulharské společnosti ClouDNS. Raspberry Robin je navíc úzce propojen se známými kyberkriminálními skupinami, jako jsou LockBit, Clop nebo TA505.
Útočníci využívají sofistikovaný nástroj ke krádežím účtů
Atlantis AIO je sofistikovaný nástroj, který usnadňuje útočníkům automatizované testování přihlašovacích údajů (credential stuffing). Tento nástroj přesně cílí na více než 140 služeb, od e-mailových platforem po e-shopy, a dokáže obcházet CAPTCHA ochranu. Nejvíce ohrožené jsou účty se slabými nebo opakovaně použitými hesly, které po prolomení často končí na darknetu nebo slouží k dalším útokům.
Většina chytrých televizí skrývá bezpečnostní hrozby
Výzkumný tým společnosti Cyfox, specializující se na kybernetickou bezpečnost, objevil významné zranitelnosti v chytrých televizorech a monitorech, které mohou ohrozit podnikové sítě. Na problém se přišlo pomocí nové platformy OmniSec vCISO, která využívá umělou inteligenci pro autonomní správu bezpečnosti a dodržování předpisů.
Výzkumníci zjistili, že problém se týká širokého spektra značek a modelů televizorů, což naznačuje spíše obecnou architektonickou chybu v tom, jak chytré televizory zacházejí s TCP komunikací, než problém specifický pro jednoho výrobce. Z důvodu odpovědného zveřejňování zatím firma nechce detailně uvést konkrétní značky a modely, které jsou k tomuto typu útoku nejvíce náchylné. O problému již informovala příslušné vládní agentury.
Ve zkratce
- CSIRT.CZ Publikoval Výroční zprávu za rok 2024
- CrushFTP varuje před zranitelností umožňující přístup k serveru přes HTTP(S)
- OpenAI láká na vyšší odměny za nalezení zranitelností v rámci svého bug bounty programu
- Rozsáhlý kyberútok zasáhl ukrajinskou národní železniční společnost Ukrzaliznytsia
Pro pobavení
Když vás omylem někdo zahrne do skupiny pro řešení válečných plánů.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
