Záludnosti pracovních pohovorů
V poslední době se množí podvody při pracovních pohovorech. V uplynulém týdnu vyšel na serveru Lupa.cz zajímavý článek o falešných uchazečích o práci v IT. Skutečným cílem uchazečů je přitom proniknout do interních systémů bank či pojišťoven.
Opatrní ale musíme být i pokud práci hledáme. Poslední dobou se objevují informace o zkušenostech s podvodnými nabídkami práce, které cílí přímo na vývojáře. Nyní se objevil příspěvek na serveru medium.com, kde svou zkušenost popsal uživatel vystupující pod přezdívkou Vergil. Popisuje svou zkušenost s nabídkou práce, kterou obdržel přes LinkedIn od osoby vydávající se za náboráře. Nabídka zněla lákavě, mělo se jednat o spolupráci na projektu v oblasti DeFi a herního průmyslu s odměnou 70 až 100 USD za hodinu.
Kód, který měl uchazeč spustit v rámci testovacího úkolu, však záměrně obsahoval obfuskovaný JavaScript, jenž po spuštění stahoval malware. Díky obezřetnosti a kontrole kódu před spuštěním se vývojáři podařilo útoku vyhnout. Případ je varováním, že i zdánlivě seriózní pracovní nabídky mohou být součástí kybernetických podvodů. To ostatně ukazuje i následující příběh.
Návrat Lazara k práci snů
Výzkumníci společnosti ESET nedávno zaznamenali nový případ operace DreamJob – kampaně, kterou sledujeme pod hlavičkou severokorejské skupiny Lazarus – v níž bylo terčem útoku několik evropských společností působících v obranném průmyslu.
Některé z nich jsou silně zapojeny do odvětví bezpilotních letadel (UAV), což naznačuje, že operace může souviset se současnými snahami Severní Koreje o rozšíření svého programu bezpilotních letadel. Tento blogový příspěvek pojednává o širších geopolitických dopadech kampaně a poskytuje obecný přehled nástrojů používaných útočníky.
Od konce března 2025 zaznamenali v telemetrii ESET kybernetické útoky připomínající kampaně Operation DreamJob. Útoky v reálném prostředí se postupně zaměřily na tři evropské společnosti působící v obranném sektoru. Ačkoli jsou jejich činnosti poněkud rozmanité, jednalo se o strojírenskou společnost z jihovýchodní Evropy, výrobce leteckých komponent a obrannou společnost ze střední Evropy.
Ve všech případech šlo o droppery se zajímavým názvem interní DLL, DroneEXEHijackingLoader.dll, který nás zavedl do světa dronů. Počáteční přístup byl pravděpodobně získán pomocí sociálního inženýrství – speciality operace DreamJob. Dominantním tématem je lukrativní, ale falešná pracovní nabídka s malwarem: oběť obdrží návnadu v podobě dokumentu s popisem práce a trojanizovaného PDF prohlížeče, který jej otevře.
Hlavním payloadem nasazeným na cíle byl ScoringMathTea, RAT, který útočníkům nabízí plnou kontrolu nad napadeným počítačem. Jeho první výskyt se datuje do konce roku 2022, kdy byl jeho dropper nahrán na VirusTotal. Brzy poté se objevil v reálném prostředí a od té doby byl použit v několika útocích připisovaných kampani Lazarus Operation DreamJob, což z něj činí preferovaný payload útočníků již tři roky. Pro komunikaci C&C využívá napadené servery, přičemž serverová část je obvykle uložena ve složce WordPress obsahující šablony nebo pluginy.
Tuto aktivitu s vysokou mírou jistoty přisuzují výzkumníci ESETu skupině Lazarus, zejména jejím kampaním souvisejícími s operací DreamJob, a to na základě jejich modu operandi:
- Získání počátečního přístupu pomocí sociálního inženýrství, kdy oběť přiměli ke spuštění malware maskovaného jako popis pracovní pozice v náborovém procesu.
- Trojanizace open-source projektů a následné přizpůsobení jejich exportů pro sideloading DLL knihovny, specifický pro operaci DreamJob.
- Hlavní payload pro pozdější fáze, ScoringMathTea, byl v minulosti použit v několika podobných útocích.
- Cílové sektory, nacházející se v Evropě, odpovídají cílům předchozích případů operace DreamJob (letecký průmysl, obrana, strojírenství).
Více v rozboru výzkumníků.
Operace Europolu proti SIM farmě
Europol si připisuje další zákrok proti organizovanému kyberzločinu. V pátek 17. října oznámil rozbití skupiny nabízející cybercrime-as-a-service (CaaS) v Litvě, která provozovala SIM farmu. Skupina své služby za úplatu běžně poskytovala ostatním aktérům k páchání trestné činnosti.
Středisko je spojováno s více než 3 200 podvody v Litvě a Rakousku, celkový dopad se zatím nepodařilo přesně určit. Odhad napáchaných škod se vyšplhal až na 4,5 milionu EUR v Rakousku a 420 tisíc EUR v Litvě.
Čísla, která operace přinesla:
- provedeno 26 prohlídek a zatčeno 5 osob,
- zabaveno 5 serverů,
- 1 200 SIM boxů s 40 000 aktivními kartami a dalšími několika tisíci neaktivovanými,
- dvě domény nabízející nelegální služby (gogetsms.com a apisim.com) byly zabaveny,
- na bankovních účtech bylo zmrazeno 431 000 eur a v krypto peněženkách 333 000 eur, dále byly zabaveny čtyři luxusní vozy.
Zařízení známé jako SIM farma zpravidla obsahuje tisíce až statisíce SIM karet, které útočníci využívají k podvodům typu vishing, smishing, investiční podvody nebo dnes stále aktivnímu „falešnému policistovi“. Pachatelé v takových případech hrají roli důvěryhodné autority a postupným vyvíjením tlaku přinutí oběť k převedení peněz do jejich vlastnictví.
Farmy v takovém měřítku také dokážou poškodit mobilní síť; více si můžete přečíst v minulém článku našeho seriálu.
Kriminální skupina byla dobře organizovaná a technologicky vyspělá, s kvalitní infrastrukturou, aby pachatelé mohli zajistit vysokou úroveň služeb pro své zákazníky. O tom svědčí i profesionální design jejich webových stránek (dnes obsahujících pouze zprávu o zabavení) a kooperace s komplici, kteří pro skupinu získávali SIM karty.
Operace s kódovým označením SIMCARTEL byla výsledkem součinnosti policejních orgánů z Rakouska, Litvy, Estonska a Finska.
Zaznamenány aktivní útoky na zranitelnost SessionReaper v produktech Adobe Commerce
Společnost Sansec, zabývající se bezpečností v oblasti E-commerce, varovala, že útočníci začali aktivně zneužívat nedávno odhalenou bezpečnostní zranitelnost v platformách Adobe Commerce a Magento. Za posledních 24 hodin bylo zaznamenáno více než 250 pokusů o útok na několik obchodů.
Adobe Commerce je platforma pro tvorbu a správu internetových obchodů (e-shopů). Adobe Commerce vychází z původního open-source Magento, které je oblíbené pro svou flexibilitu a možnost přizpůsobení na míru, a je určené především pro střední a velké podniky.
Zneužívaná zranitelnost označená jako CVE-2025–54236 (skóre CVSS: 9,1) je popsána jako kritická chyba při ověřování nesprávných vstupů, která by mohla být zneužita k převzetí kontroly nad zákaznickými účty v Adobe Commerce prostřednictvím rozhraní Commerce REST API. Zranitelnost známá také jako SessionReaper byla minulý měsíc řešena společností Adobe po jejím objevu výzkumníkem Blaklisem.
Dle společnosti Sansec zůstává 62 % obchodů Magento stále zranitelných vůči bezpečnostní chybě a to i šest týdnů po zveřejnění. Společnost vyzývá administrátory webových stránek, aby co nejdříve nainstalovali záplaty, než se rozšíří širší aktivita zneužívání.
Otrávení AI chatboti
S rostoucí popularitou AI chatbotů se objevují také nové hrozby. Konkrétně se jedná o potenciální hrozbu tzv. otrav a manipulací jazykových modelů (LLM), které AI agenty a chatboty pohánějí.
Při útocích na otravu dat útočníci úmyslně vkládají škodlivá nebo poškozená data do datové sady sloužící pro trénink modelu strojového učení (ML) tak, aby manipulovali s chováním modelu. Útočníci mohou použít „otrávená“ data k vložení zadních vrátek, které způsobí, že se model chová přímo škodlivým způsobem – například přimět LLM, aby navrhlo škodlivý kód v okamžiku, kdy model narazí na spouštěcí frázi, nebo mohou použít poškozená data či dokumenty ke snížení výkonu nebo důvěryhodnosti modelu.
Taková manipulace bývá obecně považována za úkol vyžadující značné úsilí, ale dle nedávné studie vědců z Anthropic, britského institutu pro AI bezpečnost a institutu Alana Turinga zjistili, že je možné úspěšně prolomit modely umělé inteligence různých velikostí pomocí pouhých 250 infikovaných dokumentů. Jejich studie tak vyvrátila předpoklad, že útočníci potřebují ovládat určité procento trénovacích dat k manipulaci s chováním modelu, a místo toho ukázala, že stačí malý, fixní počet škodlivých dokumentů.
V této studii vědci z Anthropic trénovali modely čtyř různých velikostí, od 600 milionů parametrů do 13 miliard parametrů. Pro každou velikost modelu vědci během trénování vložili 100, 250 nebo 500 škodlivých dokumentů. Cílem bylo zjistit, zda se jim podaří přimět modely, aby při narážce na spouštěcí frázi <SUDO> chrlily nesmysly.
„Zjištění společnosti Anthropic jsou překvapivá a podtrhují, kolik se toho o umělé inteligenci ještě musíme dozvědět,“ říká Mark Stockley, expert na umělou inteligenci ve společnosti Malwarebytes. Doposud se obecně předpokládalo, že útočník bude muset ovládat určitou část trénovacích dat, aby mohl provést útok typu poisoning dat.
Kritické zranitelnosti v routerech TP-Link
Výzkumníci ze společnosti Forescout odhalili dvě vážné zranitelnosti v podnikových VPN routerech TP-Link řady Omada a Festa. Chyby označené jako CVE-2025–7850 a CVE-2025–7851 umožňují vzdálenému útočníkovi spustit libovolné příkazy v operačním systému zařízení, případně získat přístup s oprávněním root. V praxi tak může dojít k plnému převzetí kontroly nad routerem.
Podle dostupných informací mají zranitelnosti vysoké skóre závažnosti (CVSS 9,3 a 8,7) a týkají se zejména zařízení s aktivní VPN funkcionalitou, například přes WireGuard. Výrobce již vydal aktualizace firmwaru, které chyby opravují.
Doporučujeme proto zkontrolovat dostupnost nové verze softwaru a co nejdříve provést aktualizaci. Zároveň je vhodné omezit přístup k administraci routerů z internetu a ponechat aktivní pouze potřebné služby.
Zneužití kompromitovaných e-mailových schránek k phishingu
Phishingová kampaň skupiny MuddyWater, využívá ve snaze o špionáž kompromitované e-mailové schránky. Podle expertů z Group‑IB útočníci nejprve získají přístup ke schránce legitimní organizace a poté z ní rozesílají phishingové e-maily v jejím jménu. Ve zprávě se uvádí, že útok spočívá v zasílání dokumentů ve formátu Microsoft Word vybízejících k zapnutí maker – po aktivaci dochází k instalaci backdooru „Phoenix v4“ spolu s dalšími nástroji pro monitorování a krádež dat z webových prohlížečů.
Situace je alarmující zejména proto, že metoda „makra v dokumentu“ byla považována za v podstatě překonanou – přesto se opět objevuje v reálných útocích. Útočníci tím využívají důvěry obětí v odesílatele z interního systému, což z phishingu dělá o to nebezpečnější hrozbu.
Zranitelnosti v BIND 9
Internet Systems Consortium vydalo záplaty DNS serveru BIND 9, které odstraňují kritické zranitelnosti.
První chyba se týká generátoru pseudonáhodných čísel a umožňuje útočníkovi odhadnout zdrojové porty klienta a ID dotazu (CVE-2025–40780). V souvislosti s další chybou (CVE-2025–40778), kdy je DNS server nedostatečně striktní v akceptování záznamů plynoucích z dotazů, je tak možné otrávit cache DNS serveru záznamy podvrženými útočníkem. Třetí chyba (CVE-2025–8677) umožňuje útoky typu DoS pomocí zahlcení procesoru serveru.
Podle ISC je možné chyby aplikovat na resolvery a neměly by mít vliv na autoritativní servery. Workaround neexistuje, ale zatím to nevypadá, že by chyby byly aktivně zneužívány.
Česká republika posiluje spolupráci s Kanadou
Ve dnech 14. až 17. října navštívila delegace Národního úřadu pro kybernetickou a informační bezpečnost (NÚKIB) Kanadu. Delegace se zúčastnily Vladěna Sasková, ředitelka Odboru EU a mezinárodní spolupráce, Jana Bašistová, vedoucí Oddělení bezpečnosti satelitních služeb, a Cyber Attachée pro USA a Kanadu Berta Jarošová.
Během návštěvy zástupkyně NÚKIB jednaly s protějšky z federální vlády, soukromé i akademické sféry. Cesta se uskutečnila v rámci programu Projekty na podporu ekonomicko-vědecké diplomacie (PROPED) Ministerstva zahraničních věcí České republiky, který připravilo Velvyslanectví ČR v Ottawě a Generální konzulát ČR v Torontu ve spolupráci s agenturou CzechInvest a za podpory Oddělení vědy, výzkumu a inovací NÚKIB. Mise se zúčastnily také české technologické firmy Phonexia, Huld, CGI a České vysoké učení technické v Praze.
V Ottawě delegace jednala s vládními partnery o posílení spolupráce v oblasti čelení kybernetickým hrozbám zejména ze strany státem sponzorovaných aktérů a ochraně kritické infrastruktury. Zástupci ČR se osobně setkali například s Bridget Walshe, ředitelkou Canadian Centre for Cybersecurity, které je součástí zpravodajské organizace Communications Security Establishment, nebo s Hani Nasserem, ředitelem pro technologické politiky Department of National Defence. Jednání s experty z Royal Canadian Mounted Police a Public Safety Canada se rovněž věnovala boji proti kybernetickému zločinu. Část delegace navštívila také sídlo společnosti Telesat, předního kanadského poskytovatele satelitních služeb.
Ve zkratce
- Meta přidává nové nástroje proti podvodům do aplikací WhatsApp a Messenger
- CISA potvrdila, že zranitelnost v sadě Oracle E-Business Suite (EBS), která byla opravena začátkem tohoto měsíce, byla zneužita
- Zloději s rolničkami „Jingle Thief“ cílí na krádeže údajů k dárkovým kartám
- Zajímavá kroková analýza vzorku zachyceného infostealeru cílícího na uživatele Androidu
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
