Starkiller – AitM reverzní proxy pro obcházení MFA
Nová sada nástrojů z dílny kyberzločinců Junkusu pro tzv. credential harvesting využívá techniku Adversary-in-the-Middle (AitM). Tento nástroj na straně útočníků spouští v Docker kontejneru v headless módu prohlížeč Chrome (prohlížeč bez grafického rozhraní), přes který se připojuje k legitimnímu serveru cílové organizace. Vše, co tento prohlížeč vidí, následně zobrazuje na phishingové doméně, přes kterou oběť interaguje. Veškerý provoz tak proudí skrze útočníkovu infrastrukturu.
Přihlašovací údaje, bankovní operace či vygenerované tokeny – vše je přes proxy posíláno na legitimní server, útočníci však zadané údaje vidí na proxy nešifrované. Díky tomuto modelu nemusí upravovat šablony phishingových stránek; obsah zůstává vždy aktuální v poměru 1:1 s bankou nebo sociální sítí, kterou napodobují. V tomto případě oběť nezachrání ani druhý faktor, jelikož jednorázový kód zadá do formuláře vygenerovaného na falešné doméně.
Nástroje typu AitM fungují jako reverzní proxy služba a data mohou během přenosu nejen pasivně sledovat, ale i aktivně měnit. Útočníci tak mohou například v požadavku pro banku změnit číslo účtu i částku, a následně upravit odpověď serveru tak, aby se oběti v potvrzení zobrazily původní zadané hodnoty. Pokud však oběť používá pro potvrzení transakce mobilní aplikaci, měla by se v ní před odesláním zobrazit skutečná data zadaná útočníkem. K dokončení podvodné transakce by tak mohlo dojít pouze v případě nepozornosti uživatele.
Pozor na výchozí nastavení řídicí jednotky IQ4 Honeywell
Analytik Gjoko Krstic upozornil na problém řídicí jednotky IQ4 od společnosti Honeywell. Podle Krstice je problém ve výchozím nastavení, kdy je možné se k webovému rozhraní zařízení dostat bez nutnosti ověření. Zároveň zjistil, že že pokud nebyl produkt správně nakonfigurován během inicializace, může vzdálený útočník s přístupem k rozhraní pro správu vytvořit administrátorský účet a oříznout tak legitimní správce od možnosti zařízení spravovat.
Analytik zranitelnost nahlásil společnosti Honeywell v prosinci 2025, ta ovšem odmítla věc řešit s tím, že produkt je určen pro lokální použití a neměl by být vystaven do internetu. Samotný analytik ovšem tvrdí, že identifikoval téměř 7 500 instancí tohoto produktu vystavených do internetu a odhadem 20 procent z nich umožňuje přístup bez přihlášení.
Skupina APT28 využívala zero-day zranitelnost v MSHTML
Společnost Akamai zjistila, že ruská skupina APT28 pravděpodobně zneužívala zranitelnost CVE-2026–21513 v komponentě MSHTML systému Windows nejméně od ledna 2026 — ještě před tím, než ji Microsoft opravil v rámci únorového Patch Tuesday.
Zranitelnost s hodnocením CVSS 8.8 se týká logiky navigace hypertextových odkazů v knihovně ieframe.dll: nesprávná validace URL adres umožňovala předávat vstup přímo do funkce ShellExecuteExW a spouštět libovolný kód mimo sandbox prohlížeče. Útok byl postaven na speciálně vytvořeném zástupci Windows (.lnk) s vloženým škodlivým HTML obsahem, který prostřednictvím vnořených iframe a manipulací s kontexty DOM obcházel Mark of the Web a Internet Explorer Enhanced Security Configuration.
Výzkumníci společnosti Akamai zranitelnost reprodukovali pomocí nástroje PatchDiff-AI a na VirusTotal objevili vzorek exploitu document.doc.LnK.download, nahraný 30. ledna 2026 a spojený s doménou wellnesscaremed[.]com přisuzovanou skupině APT28. Microsoft problém opravil zpřísněním ověřování protokolů hypertextových odkazů a zamezením předávání odkazů file://, http:// a https:// do funkce ShellExecuteExW.
Akamai varuje, že zranitelná cesta spuštění kódu může být aktivována prostřednictvím jakékoli komponenty obsahující MSHTML, a proto lze očekávat další útočné vektory kromě LNK phishingu.
Těžká rána pro phishing kit Tycoon 2FA
Tycoon 2FA je platforma, která umožňuje útočníkům provozovat phishing, který je schopen obejít vícefaktorovou autentikaci Microsoftu, Googlu a dalších společností. Útočníci přitom nemusí mít velké IT znalosti.
Nyní se povedlo rozbít klíčovou infrastrukturu této platformy a zablokovat 330 používaných domén. Akci vedl Microsoft společně s Europolem, 10 dalšími významnými firmami a orgány z Litvy, Lotyšska, Portugalska, Polska, Španělska a Velké Británie.
Platforma se objevila v létě 2023 a každý den chrlila desítky milionů phishingových zpráv do stovek tisíc organizací. Předpokládá se, že se celkově podařilo nachytat sto tisíc obětí, z toho polovina zákazníku Microsoftu.
Přestože Tycoon 2FA může vzniknout znovu na jiné infrastruktuře, zločinné značce zásah velmi ublížil.
Jak si AI poradí s průnikem do firemní infrastruktury?
Český bezpečnostní expert Patrik Žák otestoval schopnosti moderní umělé inteligence v realistickém laboratorním prostředí simulujícím dvě propojené firmy. AI měla za úkol proniknout do firemní infrastruktury. Povedlo se jí to během 21 hodin.
Samostatně našla slabiny v serverech, překonala ochrannou zónu, unikla z izolovaného vývojářského prostředí, postupně získala přístup k databázím i systému správy identit a nakonec ovládla hlavní řídicí systém celé organizace s nejvyššími administrátorskými právy. Během útoku přitom sama vytvářela a používala tisíce pomocných skriptů, přizpůsobovala strategii při překážkách a postupovala podobně jako zkušený lidský hacker, což podle autora testu ukazuje, že AI může výrazně urychlit a automatizovat komplexní kybernetické útoky.
Výzkumník neútočil na skutečnou firmu, ale speciální testovací prostředí. To však detailně napodobuje běžnou firemní infrastrukturu včetně serverů, databází, e-mailů, přihlašovacích systémů i bezpečnostních prvků. Na základě výsledků testu doporučuje jeho autor pravidelné penetrační testy na vlastní systémy, ideálně včetně testů s AI nástroji.
Kybernetická kriminalita se ve velkém přesunula na Telegram
Nedávno publikovaný analytický rozbor platformy Telegram ukazuje, jak se tato služba v posledních letech proměnila z běžné komunikační aplikace v jednu z hlavních platforem, kde se organizuje a propaguje kybernetická kriminalita. Část aktivit, které dříve probíhaly především na darknetových fórech dostupných přes síť Tor, se přesouvá právě sem, protože Telegram umožňuje rychlé zakládání kanálů, snadné sdílení dat, přímou komunikaci mezi aktéry a využívání automatizovaných botů.
Na platformě tak vznikl rozsáhlý ekosystém zahrnující prodej přístupů do firemních sítí, distribuci malwaru formou předplatného, prodej phishingových nástrojů, šíření uniklých databází nebo koordinaci hacktivistických aktivit a zveřejňování obětí ransomware útoků. Díky vysoké dostupnosti, možnosti rychle obnovit zablokované kanály a integrovaným nástrojům pro automatizaci a propagaci se Telegram stal významnou operační vrstvou současného kyberkriminálního prostředí, která doplňuje tradiční darknetové služby a urychluje organizaci útočníků i generování zisků útočníků.
Ruští státní aktéři nasazovali Corunu
V jediném exploit kitu bylo nalezeno několik exploitů pro iOS a pět exploitových řetězců, který kdysi používali ruští státní aktéři proti Ukrajincům.
Samostatné zprávy analyzující stejnou hrozbu pro iOS ve stejný den zveřejnily organizace Google Threat Intelligence Group (GTIG) a iVerify. GTIG se s touto hrozbou poprvé setkala v únoru 2025, po objevení kompletního kódu později zjistila, že vývojáři tento kit nazvali Coruna.
Společnost iVerify narazila na stejný exploit kit nezávisle a strávila několik týdnů prováděním vlastní nezávislé technické analýzy. Obě zprávy popisují Corunu jako exploit kit obsahující 23 exploitů v pěti úplných exploitových řetězcích zaměřených na iOS 13 až 17.2.1.
GTIG uvádí, že jeho technická hodnota spočívá v pokročilejších exploitech „využívajících neveřejné exploitační techniky a obcházení zmírňujících opatření“. iVerify dodává, že se jedná o první případ, kdy bylo na veřejnosti pozorováno masové zneužití zařízení iOS. Popisuje Corunu jako exploit kit pro iOS na úrovni národního státu, který je nyní také v rukou masivních kriminálních operací.
Zneužití OAuth v rámci phishingových útoků
Microsoft varuje, že útočníci zneužívají mechanismus přesměrování v protokolu OAuth – běžně používaném pro přihlašování přes služby jako Microsoft Entra ID nebo Google Workspace – k tomu, aby uživatele přesměrovali z důvěryhodných stránek na stránky ovládané útočníky. Tato technika není založena na chybě softwaru nebo krádeži přihlašovacích údajů, ale na legálně definovaném chování OAuth: pokud se při autorizaci objeví chyba (např. kvůli neplatnému rozsahu oprávnění), systém přesměruje uživatele na redirect URI, které si útočník sám zaregistroval. Z tohoto důvodu mohou být odkazy s přesměrováním zcela legitimní na první pohled – teprve následné přesměrování vede na škodlivé stránky, kde může dojít buď k phishingu přihlašovacích dat nebo k okamžitému stažení malware.
V praxi takové útoky často začínají věrohodně vypadajícími e-maily, které slibují například zobrazení Teams nahrávky, potvrzení elektronického podpisu či naléhavé upozornění na reset hesla. Po kliknutí na odkaz je uživatel přesměrován — prostřednictvím legitimní přihlašovací stránky – na útočníkem kontrolovaný server, který nabízí stažení ZIP archivu. Ten obsahuje spouštěcí soubory, které po otevření spustí škodlivé skripty a vedou až k načtení konečného malware modulu, který naváže spojení s řídicími servery útočníků. Microsoft proto doporučuje organizacím omezit udělování souhlasů aplikacím, pravidelně kontrolovat oprávnění a odstranit nepoužívané nebo přespříliš privilegované aplikace, a dále posilovat politiky podmíněného přístupu a monitorovat podezřelou aktivitu ve svých systémech.
Budování infrastruktury odolné i vůči fyzickým katastrofám
Poškození tří zařízení společnosti Amazon Web Services na Blízkém východě v důsledku útoků íránských dronů ukazuje na jednu stranu na rychlý růst datových center v regionu, na stranu druhou ale také zranitelnost tohoto odvětví vůči konfliktům.
Divize cloudových služeb v pondělí večer uvedla, že dvě datová centra ve Spojených arabských emirátech byla „přímo zasažena“ a další zařízení v Bahrajnu bylo poškozeno poté, co poblíž přistál dron.
„Tyto údery způsobily strukturální škody, narušily dodávky energie do naší infrastruktury a v některých případech si vyžádaly hašení požárů, které mělo za následek další škody způsobené vodou,“ uvedla společnost AWS v aktualizaci na svém online panelu.
Přestože svým rozsahem se jednalo pouze o lokální a omezené narušení, stále více se ukazuje, že konflikty a specifická geopolitická situace hrají velkou roli ve výběru lokalit pro nová datacentra.
Ve zkratce
- Když AI špatně rozumí, může to skončit i bouračkou
- Proaktivní vyhledávání podvodných stránek s využitím certifikátů
- Bezpečnostní výzkumníci publikovali detailní technickou analýzu útoku připisovaného skupině APT37
- Známé LeakBase forum s více než 140tis. uživateli „vypnuto“ při globální razii
- Phishingová kampaň drze využívá desing stránky Google Security k oklamání obětí
- Obtěžující telefonáty a jak jim předcházet
Pro pobavení
Nezvratná logika
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU