Útoky na zranitelné Exchange servery
Společnost Positive Technologies v nové analýze zveřejněné minulý týden uvedla, že se prozatím neznámí aktéři zaměřují na veřejně vystavené servery Microsoft Exchange a do přihlašovacích stránek vkládají škodlivý kód, který získává přihlašovací údaje.
Na přihlašovací stránce aplikace Outlook identifikovala dva různé druhy kódu keyloggeru napsaného v jazyce JavaScript – ty, které ukládají shromážděná data do místního souboru přístupného přes internet, a ty, které shromážděná data okamžitě odesílají na externí server. Tyto útoky se zaměřily na 65 cílů ve 26 zemích světa a jsou pokračováním kampaně, která byla poprvé zdokumentována v květnu 2024 a zaměřena na subjekty v Africe a na Blízkém východě. V té době společnost uvedla, že zjistila ne méně než 30 obětí zahrnujících vládní agentury, banky, IT společnosti a vzdělávací instituce, přičemž důkazy o prvním napadení pocházejí z roku 2021.
Útočné řetězce zahrnují zneužití známých chyb v serveru Microsoft Exchange Server (např. ProxyShell) k vložení kódu keyloggeru do přihlašovací stránky. “Škodlivý kód JavaScriptu přečte a zpracuje data z ověřovacího formuláře a poté je odešle prostřednictvím požadavku XHR na konkrétní stránku na napadeném serveru Exchange," uvedli bezpečnostní výzkumníci Klimentiy Galkin a Maxim Suslov.
Některé ze zneužitých zranitelností jsou:
- CVE-2014–4078 – Zranitelnost obcházení funkcí zabezpečení služby IIS
- CVE-2020–0796 – Zranitelnost vzdáleného spuštění kódu klienta/serveru SMBv3 systému Windows
- CVE-2021–26855, CVE-2021–26857, CVE-2021–26858, a CVE-2021–27065 – Zranitelnost Microsoft Exchange Server Remote Code Execution (ProxyLogon)
- CVE-2021–31206 – Zranitelnost Microsoft Exchange Server Remote Code Execution
- CVE-2021–31207, CVE-2021–34473, CVE-2021–34523 – Zranitelnost Microsoft Exchange Server Security Feature Bypass (ProxyShell)
Soubor obsahující ukradená data je přístupný z vnější sítě. Společnost také uvedla, že vybrané varianty s možností lokálního keyloggingu shromažďují také uživatelské soubory cookie, řetězce User-Agent a časové razítko.
Druhá metoda zahrnuje použití tunelu DNS (Domain Name System) ve spojení s požadavkem HTTPS POST k odeslání přihlašovacích údajů uživatele a průnik přes obranné mechanismy organizace.
Velký počet serverů Microsoft Exchange přístupných z internetu zůstává zranitelný staršími zranitelnostmi,
uvedli výzkumníci. Vložením škodlivého kódu do legitimních autentizačních stránek mohou útočníci zůstat dlouho neodhaleni a přitom získat přihlašovací údaje uživatele v prostém textu.
Celkem 22 napadených serverů bylo nalezeno ve vládních organizacích, následovaly infekce v IT, průmyslových a logistických společnostech. Mezi deseti nejčastějšími cíli jsou Vietnam, Rusko, Tchaj-wan, Čína, Pákistán, Libanon, Austrálie, Zambie, Nizozemsko a Turecko.
Íránská spear-phishingová kampaň proti Izraeli
Íránská státem sponzorovaná hackerská skupina asociovaná s Islámskými revolučními gardami (IRGC) byla spojena se spear-phishingovou kampaní, jejímž cílem byli novináři, významní odborníci na kybernetickou bezpečnost a profesoři počítačových věd v Izraeli.
V některých případech byli izraelští odborníci na technologie a kybernetickou bezpečnost osloveni útočníky, kteří se prostřednictvím e-mailů a zpráv v aplikaci WhatsApp vydávali za fiktivní asistenty technologických manažerů nebo výzkumných pracovníků,
uvedla společnost Check Point ve zprávě zveřejněné ve středu. Aktéři hrozeb směrovali oběti, které se s nimi spojily, na falešné přihlašovací stránky Gmailu nebo na pozvánky na schůzky Google Meet.
Předpokládá se, že zprávy jsou vytvořeny pomocí nástrojů umělé inteligence vzhledem ke strukturovanému uspořádání a absenci gramatických chyb.
Check Point připisuje tuto aktivitu klastru, který sleduje pod názvem Educated Manticore a který se překrývá s APT35 (a jeho podklastrem APT42), CALANQUE, Charming Kitten, CharmingCypress, Cobalt Illusion, ITG18, Magic Hound, Mint Sandstorm (dříve Phosphorus), Newscaster, TA453 a Yellow Garuda.
Skupina má za sebou dlouhou historii organizování útoků pomocí sociálního inženýrství, při nichž využívá důmyslné návnady a oslovuje cíle na různých platformách, jako jsou Facebook a LinkedIn, a pomocí fiktivních osobností se snaží přimět oběti k nasazení malwaru do jejich systémů.
Jedna ze zpráv v aplikaci WhatsApp využila geopolitického napětí mezi oběma zeměmi, aby oběť přiměla ke schůzce, a tvrdila, že potřebuje okamžitou pomoc se systémem detekce hrozeb založeným na umělé inteligenci, který má od 12. června čelit nárůstu kybernetických útoků zaměřených na Izrael.
Počáteční zprávy, stejně jako ty, které byly zaznamenány v předchozích kampaních Charming Kitten, neobsahují žádné škodlivé artefakty a mají především získat důvěru svých cílů. Jakmile si aktéři hrozby v průběhu konverzace vybudují vztah, přechází útok do další fáze sdílením odkazů, které oběti nasměrují na falešné vstupní stránky schopné získat přihlašovací údaje k účtu Google.
Před odesláním phishingového odkazu požádají aktéři oběť o její e-mailovou adresu,
uvedl Check Point. Tato adresa je pak předvyplněna na phishingové stránce s přihlášením, aby se zvýšila důvěryhodnost a napodobilo se zdání legitimního ověřovacího toku Google. Vlastní phishingová sada […] věrně napodobuje známé přihlašovací stránky, jako jsou ty od společnosti Google, a využívá moderní webové technologie, jako jsou aplikace SPA (Single Page Applications) založené na technologii React a dynamické směrování stránek. K odesílání ukradených dat také využívá připojení WebSocket v reálném čase a jeho design umožňuje skrýt kód před další kontrolou.
Podvodná stránka je součástí vlastní phishingové sady, která dokáže zachytit nejen přihlašovací údaje, ale také kódy dvoufaktorového ověřování (2FA), čímž účinně usnadňuje útoky 2FA relay. Sada obsahuje také pasivní keylogger, jenž zaznamenává všechny stisky kláves zadané obětí a exfiltruje je v případě, že uživatel přeruší proces v polovině. Některé snahy o sociální inženýrství zahrnovaly také použití domén Google Sites k hostování falešných stránek Google Meet s obrázkem napodobujícím legitimní stránku schůzky. Kliknutím kamkoliv na obrázek je oběť přesměrována na podvodné stránky, které spustí proces ověřování.
Skupina pokračuje ve své stabilní činnosti, která se vyznačuje agresivním spear-phishingem, rychlým vytvářením domén, subdomén a infrastruktury a rychlým odstraňováním, pokud je identifikována. Tato agilita jí umožňuje zůstat efektivní i pod zvýšeným dohledem.
FBI varuje před útoky na letecký sektor
Americký Federální úřad pro vyšetřování (FBI) zaznamenal, že známá kyberkriminální skupina Scattered Spider rozšířila svůj zásah na sektor letecké dopravy. Za tímto účelem úřad uvedl, že aktivně spolupracuje s partnery z oblasti letectví a průmyslu na potírání této činnosti a pomoci obětem.
V příspěvku na X úřad uvedl, že se aktéři spoléhají na techniky sociálního inženýrství, často se vydávají za zaměstnance nebo dodavatele, aby oklamali IT helpdesky a přiměli je k udělení přístupu. „Tyto techniky často zahrnují metody, jak obejít vícefaktorovou autentizaci (MFA), například přesvědčit pracovníky helpdesku, aby ke kompromitovaným účtům přidaly neoprávněná zařízení MFA.“
Útoky skupiny jsou známé také tím, že se zaměřují na externí poskytovatele IT služeb s cílem získat přístup do velkých organizací, čímž se důvěryhodní dodavatelé a smluvní partneři vystavují riziku potenciálních útoků. Tyto útoky obvykle připravují půdu pro krádeže dat, vydírání a ransomware.
Sam Rubin z Unit 42 společnosti Palo Alto Networks ve svém prohlášení na síti LinkedIn potvrdil útoky aktérů na letecký průmysl a vyzval organizace, aby se měly na pozoru před pokročilými pokusy o sociální inženýrství a podezřelými žádostmi o resetování vícefaktorového ověřování (MFA). Společnost Mandiant, která nedávno varovala před útoky Scattered Spider zaměřenými na sektor pojišťovnictví v USA, rovněž zopakovala toto varování a uvedla, že si je vědoma několika incidentů v leteckém a dopravním sektoru, jež se podobají modus operandi této hackerské skupiny.
„Doporučujeme, aby odvětví neprodleně přijalo opatření ke zpřísnění procesů ověřování identity na helpdesku před přidáním nových telefonních čísel k účtům zaměstnanců/kontraktorů (které může aktér využít k samoobslužnému obnovení hesla), resetování hesel, přidání zařízení do MFA nebo poskytnutí informací o zaměstnancích (např. ID zaměstnanců), které by mohly být využity k následným útokům sociálního inženýrství,“ uvedl Charles Carmakal ze společnosti Mandiant.
Jedním z důvodů, proč je Scattered Spider stále úspěšný, je to, jak dobře rozumí lidským pracovním postupům. I když jsou zavedeny technické ochrany, jako je MFA, skupina se zaměřuje na lidi, kteří stojí za systémy, a ví, že pracovníky helpdesku, stejně jako kohokoliv jiného, může přesvědčivý příběh zaskočit. Nejde o hackování hrubou silou, ale o budování důvěry dostatečně dlouho na to, abyste se mohli vplížit dovnitř. A když je málo času nebo velký tlak, je snadné pochopit, jak může falešný požadavek zaměstnance proklouznout. Proto by se organizace měly podívat dál než jen na tradiční zabezpečení koncových bodů a přehodnotit způsob ověřování identity v reálném čase.
nZKB podepsán prezidentem
Minulý čtvrtek podepsal prezident Petr Pavel nový zákon o kybernetické bezpečnosti. Publikace zákona ve sbírce zákonů se tak očekává v průběhu srpna a dle NÚKIB nastane předpokládaná účinnost zákona k 1. listopadu 2025.
Nový zákon vychází ze směrnice NIS2 a dopadá na významně širší spektrum odvětví – od dopravy přes zdravotnictví a veřejnou správu až po vodárenství a e-commerce. Určení dopadu nového zákona o kybernetické bezpečnosti na firmu se řídí dle dvou základních kritérií – jednak odvětví firmy a také velikost firmy. Pokud společnost zaměstnává 50 a více zaměstnanců, vykazuje obrat 10 milionů euro ročně a více a spadá do odvětví kritické infrastruktury, bude pravděpodobně regulovaným subjektem.
Do 60 dnů po nabytí účinnosti vznikne většině regulovaných organizací povinnost provést ohlášení regulované služby. Podrobnější harmonogram povinností a další informace lze nalézt v Průvodci novým zákonem o kybernetické bezpečnosti. Lhůty k plnění dalších povinností se počítají ode dne doručení rozhodnutí o registraci (které regulovanému subjektu zasílá NÚKIB).
S postupem legislativního procesu NÚKIB aktualizoval i kalkulačku na Portálu NÚKIB, aby reflektovala nejnovější podobu vyhlášek. Výsledek kalkulačky napoví, jestli bude poskytovaná služba regulovaná dle nového zákona o kybernetické bezpečnosti a jakému režimu povinností bude podléhat.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU