FIN6 cílí na HR: sofistikovaný phishing skrze falešné životopisy
Hackerská skupina FIN6, známá také pod názvy Skeleton Spider, ITG08 nebo Camouflage Tempest, rozšířila své taktiky o sofistikované phishingové kampaně zaměřené na personalisty a HR oddělení. Prostřednictvím platforem jako LinkedIn a Indeed oslovují útočníci vybrané cíle a zasílají jim zdánlivě legitimní odkazy na životopisy – ty však ve skutečnosti slouží k šíření malwaru.
K hostování škodlivého obsahu využívají legitimní cloudové služby jako Amazon AWS, Google Storage nebo Pastebin. Kombinace důvěryhodného vzhledu, ochrany CAPTCHA a selektivního doručení malwaru ztěžuje odhalení tradičními bezpečnostními nástroji.
FIN6 je dlouhodobě známá svými útoky na platební systémy v pohostinství a maloobchodu. V posledních letech však svou činnost rozšířila o ransomwarové kampaně (např. Ryuk, LockerGoga) a o využívání pokročilých nástrojů jako Cobalt Strike, Mimikatz nebo frameworku More_eggs. Útočníci využívají registrační klíče Windows pro zachování přístupu, WMI pro vzdálené spouštění PowerShell skriptů a PSExec pro laterální pohyb v síti.
Tato kampaň demonstruje evoluci skupiny od útoků zaměřených čistě na point-of-sale systémy k širšímu zaměření využívajícímu HR oddělení jako atraktivní vstupní bod kvůli jejich pravidelné práci s dokumenty od neznámých osob.
Bez jediného kliknutí: iMessage tajně sledoval novináře a aktivisty
Začátek roku 2025 přinesl vážné odhalení o zneužívání bezpečnostních chyb v Apple iOS. Dvě různé zranitelnosti v aplikaci iMessage byly využity ke špehování novinářů a vysoce postavených osob v EU a USA, přičemž útoky byly vedeny bez jakékoliv interakce uživatele – tzv. zero-click.
První zranitelnost, označená jako Nickname, objevila firma iVerify na iPhonech šesti osob napojených na politiku, média a technologické společnosti. Útoky pravděpodobně pocházely z Číny a zneužívaly chybu v procesu imagent, který zpracovává kontaktní údaje v iMessage. Apple zranitelnost opravil v systému iOS 18.3.1, ale jakékoli záměrné zneužití odmítl.
Druhou zranitelnost CVE-2025–43200 Apple přiznal sám. Chyba umožňovala útočníkovi infikovat zařízení škodlivým médiem přes iCloud Link. Podle Citizen Lab byla využita k nasazení izraelského spywaru Graphite na telefonech italského novináře Cira Pellegrina a dalšího evropského reportéra. Spyware vyvinula firma Paragon, jejíž nástroje běžně využívají vlády. Apple o útoku postižené informoval až zpětně.
Obě kauzy ukazují, že i přes marketing Applu jako bezpečné platformy se jeho zařízení stávají cílem sofistikovaných špionážních nástrojů. Evropské instituce volají po přísnější kontrole komerčního spywaru, jehož zneužívání proti novinářům a občanské společnosti je stále častější.
Interpol zneškodnil útočníky používající více než 20 000 škodlivých IP adres
Interpol a úřady z 26 zemí během února–dubna 2025 v operaci Secure deaktivovali přes 20 000 škodlivých IP adres a domén spojených s 69 variantami infostealerů. Bylo zlikvidováno 79 % podezřelých IP, zabaveno 41 serverů a přes 100 GB dat. Celkem bylo zadrženo 32 podezřelých – 18 ve Vietnamu (spolu s hotovostí 11 500 USD), 12 ve Srí Lance a dva v Nauru.
Hongkongská policie zneškodnila 117 řídících a kontrolních serverů hostovaných u 89 ISP, které sloužily k organizaci phishingu, podvodů a šíření škodlivých kampaní na sociálních sítích. Akce navazuje na globální zásahy proti stealerům Lumma (2 300 domén) a v říjnu 2024 proti RedLine a MetaStealer.
V boji sehrál zásadní roli i soukromý sektor: Group‑IB poskytl informace o kompromitovaných účtech, Trend Micro a Kaspersky sdílely technické detaily o infikovaných infrastrukturách. Infostealery představují nebezpečný odrazový můstek k ransomware útokům, únikům dat a podvodům typu BEC.
Když se penetrační nástroje snoubí s vyděračstvím
Výzkumníci objevili neobvyklou kampaň ransomwaru Fog, která kombinuje legitimní penetrační testovací nástroje s tradičním vyděračským softwarem a zaměstnaneckým monitorovacím softwarem při útocích na finanční instituce.
Útočníci nasadili neobvyklou kombinaci nástrojů včetně legitimního monitorovacího softwaru Syteca (dříve Ekran) používaný pro keylogging a zachytávání obrazovky, open-source nástroje GC2 využívající Google Sheets a Microsoft SharePoint jako command-and-control mechanismus, a Adaptix Beacon – open-source alternativu k známému Cobalt Strike.
Kampaň se zaměřovala na významnou asijskou finanční instituci v květnu 2025, přičemž útočníci strávili až dva týdny průzkumem sítě před nasazením ransomwaru. Tato prodloužená fáze průzkumu naznačuje, že hlavním cílem mohly být špionážní aktivity, zatímco ransomware mohl sloužit jako zakrytí nebo sekundární záměr.
Pro exfiltraci dat útočníci využili nástroje FreeFileSync a MegaSync pro přenos souborů společně s 7-Zip pro jejich kompresi. PSExec a SMBExec byly použity pro laterální pohyb v síti, zatímco mechanismus process watchdog zajišťoval, že kritické nástroje útočníků jako GC2 implant zůstaly v systémech aktivní.
Po nasazení ransomwaru útočníci vytvořili novou systémovou službu pro udržení trvalého přístupu k síti. Tento postup je v rámci ransomwarových útoků velmi neobvyklý a ukazuje na narůstající sofistikovanost těchto operací.
SmartAttack: ultrazvukový útok přes hodinky
Výzkumníci z izraelské Ben-Gurionovy univerzity demonstrovali novou techniku SmartAttack, která umožňuje získat data z odpojených systémů pomocí ultrazvukové komunikace a běžných chytrých hodinek.
Takové systémy bývají fyzicky oddělené od sítí a používají se v kritické infrastruktuře — od armádních zařízení po jaderné elektrárny. Přesto nejsou zcela imunní vůči útokům, zejména pokud se útočníkovi podaří do systému dostat malware například přes USB zařízení.
V případě SmartAttack malware shromažďuje citlivá data (např. stisky kláves, šifrovací klíče) a vysílá je ven přes reproduktor počítače pomocí ultrazvukových signálů v rozsahu 18–22 kHz, tedy mimo rozsah lidského sluchu. Chytré hodinky v blízkosti tato data zachytí pomocí vestavěného mikrofonu, dekódují je a následně odešlou přes Wi-Fi, Bluetooth nebo mobilní síť. V experimentech byla úspěšně navázána komunikace na vzdálenost až devět metrů při přenosové rychlosti 5–50 bps. Významnou roli hraje orientace hodinek, typ reproduktoru i úroveň hluku v okolí.
Tento výzkum demonstruje, že ani fyzicky izolované systémy nejsou imunní vůči útokům využívajícím postranní komunikační kanály a že běžná spotřební elektronika, jako jsou chytré hodinky, může představovat reálné riziko v prostředí s vysokými bezpečnostními nároky.
Masivní password-spraying na Microsoft Entra ID zasáhl 80 000 účtů
Od prosince 2024 probíhá koordinovaná vlna útoků převzetí účtů (ATO) na účty Microsoft Entra ID, při níž aktér označený jako UNK_SneakyStrike zasáhl více než 80 000 účtů napříč stovkami organizací. Útočníci využívají framework TeamFiltration – open-source nástroj původně určený pro penetrační testy, který umožňuje v jednom balíčku automatizovanou enumeraci účtů, password-spraying, exfiltraci dat a dokonce i persistentní přístup díky backdooru přes OneDrive.
Kampaň probíhá v krátkých intenzivních vlnách, například 8. ledna 2025 bylo za jeden den napadeno 16 500 účtů, poté následují 4–5denní pauzy, což snižuje riziko detekce. Pro enumeraci účtů využívají kombinaci Microsoft Teams API a rotace AWS serverů v různých regionech (US 42 %, Irsko 11 %, Velká Británie 8 %), čímž útoky maskují a komplikují detekční systémy. V menších tenantech jsou napadáni všichni uživatelé; ve větších je vybírána jen skupina, což odpovídá filtrům v toolu.
Po úspěšném průniku dochází k získání přístupových tokenů, z nichž následuje exfiltrace dat (e-maily, soubory) a tvorba perzistentních přístupových cest skrze OneDrive. Díky zašifrovaným refresh tokenům může být přístup dlouhodobě udržen.
Organizace by měly blokovat všechny IP adresy uvedené v sekci Indicators of Compromise (IOCs) od Proofpointu a vytvořit detekční pravidla pro řetězec user‑agenta používaný nástrojem TeamFiltration.
Ve zkratce
- Kyberútok na distributora UNFI ochromil dodávky potravin v USA a Kanadě
- Brute-force útoky cílící na panel pro správu Apache Tomcat
- Dva botnety zneužívají zranitelnost Wazuh serverů pro šíření malwaru Mirai
- Google opravil zranitelnost umožňující brute-force útoky na telefonní čísla
Pro pobavení
Zdroj: linkedin.com – Yoel Florimon
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU