Zero-day v e-mailových produktech Cisco
V polovině prosince upozornila bezpečnostní komunita na kritickou zero-day zranitelnost CVE-2025–20393 v e-mailových bezpečnostních produktech společnosti Cisco. Zranitelnost je podle dostupných informací aktivně zneužívána a umožňuje vzdálené spuštění libovolného kódu s nejvyššími oprávněními. Vzhledem k tomu, že se jedná o e-mailové bezpečnostní brány, je dopad zranitelnosti mimořádně závažný – útočník může získat plnou kontrolu nad tokem firemní komunikace, včetně přístupu k obsahu e-mailů, přílohám a bezpečnostním pravidlům.
Zranitelnost se týká produktů Cisco Secure Email Gateway (ESA) a Cisco Secure Email and Web Manager (SMA), a to jak fyzických, tak virtuálních appliance. Riziko zneužití se však nevztahuje na všechny instalace plošně – útok je možný především v případech, kdy je aktivní funkce Spam Quarantine a její webové rozhraní je přímo dostupné z internetu. Právě tato kombinace konfigurace vytváří útočný vektor, který není v běžných doporučených nasazeních standardem.
Podle veřejných analýz jde o plnohodnotnou vzdálenou kompromitaci zařízení s možností spuštění příkazů s root oprávněním. Taková úroveň přístupu útočníkovi umožňuje nejen jednorázový zásah, ale i nasazení perzistence, úpravu systémových souborů nebo skrytou manipulaci s bezpečnostními mechanismy. U e-mailových gateway je tento scénář obzvlášť nebezpečný, protože kompromitace může zůstat dlouhodobě neodhalená a současně sloužit jako vstupní bod pro další pohyb v infrastruktuře.
Více zdrojů připsalo aktivní zneužívání této zranitelnosti aktérovi označovanému jako UAT-9686, který je v otevřených reportech popisován jako skupina s vazbami na Čínu. Přes nejednoznačnou atribuci odpovídá charakter útoků, rychlost zneužití zero-day a zaměření na perimetrická bezpečnostní zařízení schopnostem pokročilých státem podporovaných aktérů.
Časová osa incidentu naznačuje, že útoky mohly probíhat již několik týdnů před zveřejněním. Cisco vydalo bezpečnostní upozornění v polovině prosince, následně se k incidentu vyjádřily i evropské a národní CERT týmy, včetně CERT-EU nebo irského NCSC. Ty ve svých advisory upozorňovaly nejen na samotnou zranitelnost, ale i na fakt, že v době zveřejnění ještě nebyla k dispozici okamžitá záplata a organizace se musely spoléhat především na mitigace a omezení expozice.
ShinyHunters vyhrožují zveřejněním dat prémiových uživatelů PornHubu
Hackerská skupina ShinyHunters tvrdí, že získala data prémiových uživatelů platformy PornHub. Podle informací agentury Reuters skupina požaduje výkupné v bitcoinu výměnou za nezveřejnění a smazání údajů a část dat poskytla jako důkaz jejich autenticity. Incident okamžitě vzbudil pozornost nejen kvůli jménu služby, ale především kvůli potenciálním dopadům na dotčené uživatele.
Reuters uvedl, že se mu podařilo ověřit pravost dat u několika osob, jejichž údaje se ve vzorku objevily, a zároveň porovnat část informací s historickými databázemi dřívějších úniků. Zároveň však agentura zdůraznila, že v danou chvíli nebylo možné nezávisle potvrdit celkový rozsah úniku ani přesný způsob, jakým měla skupina ShinyHunters k datům přijít.
Podle dostupných zpráv se uniklá data měla týkat především e-mailových adres a analytických metadat spojených s aktivitou uživatelů, nikoliv přihlašovacích údajů či platebních informací. I tak může mít zveřejnění takových údajů závažné následky, protože samotná skutečnost používání služby tohoto typu může být zneužita k vydírání, cílenému phishingu nebo sociálnímu nátlaku.
ShinyHunters v minulosti figurovali u několika vysoce profilovaných úniků a jsou vnímáni jako etablovaný aktér v prostředí kyberkriminality. Bezpečnostní firmy v době zveřejnění incidentu uváděly, že data zatím nebyla veřejně publikována na známých leak fórech, což naznačuje, že se skupina snaží maximalizovat tlak před případným zveřejněním.
Francie zatkla Lotyše za instalaci malwaru na italském trajektu
Francouzské úřady v prosinci zadržely lotyšského občana, který je podezřelý z instalace škodlivého softwaru na palubě italského osobního trajektu provozovaného společností Grandi Navi Veloci. Incident vyvolal pozornost nejen kvůli neobvyklému místu útoku, ale především kvůli podezření, že nešlo o běžnou kyberkriminalitu, nýbrž o operaci prováděnou v zájmu cizí mocnosti.
Podle francouzské prokuratury byl na trajektu Fantastic, který se v době incidentu nacházel v přístavu Sète na jihu France, nalezen Remote Access Trojan (RAT). Tento typ škodlivého kódu umožňuje útočníkovi vzdálený přístup k napadenému systému, spouštění příkazů a potenciálně i dlouhodobou perzistenci. Právě možnost vzdáleného ovládání byla hlavním důvodem, proč byl incident okamžitě vyhodnocen jako bezpečnostně závažný.
Malware byl podle provozovatele lodi odhalen interně a následně nahlášen italským úřadům i francouzské kontrarozvědce DGSI (Direction générale de la sécurité intérieure). Společnost GNV uvedla, že škodlivý software byl rychle neutralizován a neměl žádný dopad na provoz lodi ani bezpečnost cestujících. Úřady zároveň potvrdily, že nebyly zaznamenány žádné fyzické incidenty ani narušení plavby.
Vyšetřování se původně týkalo dvou členů posádky – kromě Lotyše byl krátce zadržen také bulharský občan, který byl však po výslechu propuštěn a mohl Francii opustit. Lotyšský občan zůstává ve vazbě a byl převezen do Paříže, kde čelí obvinění ze spiknutí za účelem napadení počítačových systémů v zájmu zahraniční mocnosti, což je ve Francii kvalifikováno jako závažný trestný čin.
Francouzské úřady zatím nezveřejnily, které konkrétní systémy lodi byly malwarem zasaženy, ani jak rozsáhlý přístup mohl útočník získat. Podle deníku Le Monde ale samotná přítomnost RAT na palubních systémech vyvolala obavy, že cílem mohl být přístup k IT infrastruktuře lodi, nikoliv nutně okamžité narušení provozu. To naznačuje spíše průzkumný nebo přípravný charakter aktivity než přímý sabotážní útok.
Francouzský ministr vnitra Laurent Nuñez incident veřejně označil za „velmi vážný“ a potvrdil, že vyšetřování se zaměřuje na možné zahraniční zasahování (foreign interference). Přestože nejmenoval žádný konkrétní stát, ve svých vyjádřeních naznačil, že francouzské bezpečnostní služby mají v podobných případech dlouhodobé zkušenosti s aktivitami jednoho konkrétního zahraničního aktéra. Oficiální připsání odpovědnosti však zatím neproběhlo.
Případ vyšetřují francouzské a italské orgány společně, DGSI zajistila technické vybavení a další materiály, které budou podrobeny forenzní analýze. Podle dostupných informací zatím neexistují důkazy, že by byl incident součástí širší koordinované kampaně, nicméně zapadá do rostoucího počtu případů, kdy se pozornost státních i nestátních aktérů obrací na dopravní a logistickou infrastrukturu v Evropě.
Nový malware SantaStealer: krádež dat z prohlížečů a kryptopeněženek
Bezpečnostní výzkumníci v prosinci identifikovali nový typ škodlivého softwaru nazvaného SantaStealer. Tento malware je propagován na Telegramu a v undergroundových hackerských fórech jako Malware-as-a-Service (MaaS).
SantaStealer je podle analýzy společnosti Rapid7 evolucí staršího projektu známého jako BluelineStealer. Vývojáři zřejmě rozšiřují a zdokonalují svůj produkt s cílem jej oficiálně spustit ještě před koncem roku. Malware je nabízený na dvou úrovních předplatného: Basic za přibližně 175 dolarů měsíčně a Premium za 300 dolarů měsíčně. Takové cenové rozdělení ukazuje, že autoři cílí i na méně sofistikované útočníky, kteří chtějí levný nástroj pro sběr citlivých dat.
Technicky je SantaStealer navržen tak, aby běžel přímo v paměti systému, což má podle autorů snížit šanci, že bude odhalen běžnými detekčními mechanismy založenými na detekci škpdlivých souborů. Analýza Rapid7 ovšem ukázala, že aktuální dostupné vzorky nejsou ani tak neviditelné, ani složité k analýze – obsahují neobfuskované řetězce a symboly, což bezpečnostním odborníkům práci usnadňuje.
SantaStealer obsahuje 14 samostatných modulů pro sběr dat a každý běží ve vlastním vlákně. Malware zachytává velké množství citlivých informací a ukládá je přímo do paměti, kde se následně komprimují do ZIP souborů před odesláním operátorům. Data se posílají ve 10MB segmentech na pevně zakódovaný C2 server přes port 6767.
Mezi typy dat, které SantaStealer dokáže sbírat, patří hesla a cookies z prohlížečů, historie prohlížení, uložené údaje o platebních kartách, informace z komunikátorů jako Telegram, Discord nebo Steam, data z kryptoměnových peněženek a jejich rozšíření, a dokonce i dokumenty uložené na disku. Malware rovněž umí pořizovat snímky obrazovky.
Výraznou technickou vlastností je i použití vestavěného spustitelného souboru, který umožňuje obejít ochranu App-Bound Encryption v prohlížeči Google Chrome – bezpečnostní funkci implementovanou v polovině roku 2024. To nasvědčuje tomu, že autoři SantaStealer věnují pozornost i moderním obranným mechanismům.
Některé konfigurace malwaru umožňují operátorům vyloučit systémy z určitých geografických oblastí, například z regionu Společenství nezávislých států (CIS), a oddálit spuštění kódu, aby se snížila pravděpodobnost rychlého odhalení.
Zatím není jasné, jakým způsobem bude SantaStealer masově distribuován. Odborníci však varují, že podle současných trendů kyberzločinci často preferují sociální inženýrství, například ClickFix scénáře, kde oběti manipulují, aby vložily či spustily nebezpečné příkazy v systému. Další možné distribuční vektory zahrnují phishingové e-maily, pirátský software, torrenty, malvertising a falešné odkazy v komentářích na YouTube.
Bezpečnostní experti doporučují uživatelům i organizacím zvýšit opatrnost při otevírání neznámých odkazů a příloh v e-mailech, nepouštět neověřený kód z veřejných repozitářů a obecně mít nasazené monitoringové a detekční nástroje, které mohou upozornit na podezřelou činnost ještě před tím, než dojde ke škodě.
Ve zkratce
- Íránská APT skupina Infy se po letech mlčení vrací s novou malwarovou aktivitou
- Hackeři napojení na Rusko využívají phishing pomocí kódů zařízení Microsoft 365 k převzetí účtů
- Čínská hackerská skupina využívá Windows Group Policy k šíření špionážního malwaru
- CISA upozorňuje na kritickou chybu v aktualizaci ASUS Live Update po zjištění aktivního zneužití
- APT28 se zaměřuje na ukrajinské uživatele UKR-net v dlouhodobé phishingové kampani
- Amazon odhalil dlouholetou kampaň GRU zaměřenou na energetickou a cloudovou infrastrukturu
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
