Hlavní navigace

Postřehy z bezpečnosti: zatčení šestnácti kyberzločinců ve Španělsku

19. 7. 2021
Doba čtení: 3 minuty

Sdílet

 Autor: Depositphotos
V dnešním díle postřehů se podíváme na starý známý malware Trickbot, na nové i opravené zranitelnosti nultého dne, na zatýkání kyberzločinců a na ostatní zajímavosti ze světa výpočetní techniky.

Malware Trickbot se vrací

Kriminální skupina za Trickbotem se snaží obnovit svou útočnou infrastrukturu i přes snahy o její potlačení. Botnety se skládají ze stovek nebo tisíců napadených počítačů sdružených do sítě kontrolované kybernetickými útočníky, jejímž účelem je zpravidla útok na jinou oběť s cílem vyřadit jí z činnosti. Botnety však umožňují také šířit malware a spam nebo dokonce škodlivý soubory šifrující ransomware.

Skupina stojící za Trickbotem zvaná Wizard Spider se mj. snaží o neustálé zdokonalování způsobů infekce počítačů přidáváním modulů s novými funkcemi zvyšujícími efektivitu. Podle zjištění Bitdefenderu nyní skupina intenzivně pracuje na modulu vncDll, který umožňuje monitorování a vzdálenou kontrolu PC obětí a získávání dat prostřednictvím komunikace s C2 servery.

SolarWinds opravil zero-day zranitelnost

SolarWinds potvrdil, že existuje zero-day zranitelnost v produktech Serv-U, která je aktivně zneužívána. Jedná se o zranitelnost, která se týká produktu Serv-U Managed File Transfer Server a Serv-U Secured FTP. Chyba se týká verze Serv-U 15.2.3 HF1 a verzí předchozích a je opravena ve verzi 15.2.3 HF2. Zákazníci jsou urgentně pobízeni k aktualizaci na opravenou verzi.

Záplaty od Adobe

Adobe ve svém červencovém vydání aktualizuje 11 kritických chyb ve svém produktu Acrobat 2020 PDF reader. Stejné zranitelnosti byly jak u verze pro Windows, tak u verze pro macOS. Kromě programů Acrobat Reader 2020 a Acrobat 2020 byly aktualizovány také Acrobat DC, Acrobat DC Reader, Acrobat Reader 2017 a Acrobat 2017. Kromě výše uvedených aktualizací jsou dostupné bezpečnostní aktualizace pro Adobe Illustrator, Framemaker Dimension a Bridge. Mezi opravené chyby u Adobe Bridge patří následující:

  • heap-based buffer-overflow – CVE-2021–28624
  • improper input-validation – CVE-2021–35991
  • arbitrary code-execution – CVE-2021–35989, CVE-2021–35990

Aktualizujte Windows

Microsoft vydal opravy 117 chyb ve své pravidelné červencové aktualizaci, z nichž je 9 zero-day a nich 4 jsou aktivně zneužívány. Chyby se týkají následujících produktů od Microsoftu:

  • Windows
  • Bing
  • Dynamics
  • Exchange Server
  • Office
  • Scripting Engine
  • Windows DNS
  • Visual Studio Code

Mezi nejvíce zneužívané chyby patří zejména následující:

  • CVE-2021–34527 – Windows Print Spooler RCE (PrintNightmare)
  • CVE-2021–31979 – Windows Kernel Elevation of Privilege
  • CVE-2021–33771 – Windows Kernel Elevation of Privilege
  • CVE-2021–34448 – Scripting Engine Memory Corruption

Shlayer a Bundlore

Výzkumníci z týmu Uptycs analyzovali malware pro macOS a zjistili, že převládajícím malwarem je Shlayer a Bundlore. Jedná se o škodlivé Shell skripty, jejichž cílem je obvykle instalovat malware zobrazující reklamy. Instalátory jsou obyčejně DMG soubory pro macOS pocházející z webů se špatnou reputací nebo z kompromitovaných hledání pomocí Google. Malware využívá zejména následující nástroje:

  • OpenSSL
  • Curl
  • Killall
  • SQLite
  • Funzip

Uptycs doporučuje aktualizovat vaše stroje posledními záplatami a opravami a povolit instalace software pouze z důvěryhodných zdrojů. Indikátory kompromitace jsou dostupné v původním článku.

Zatýkání kyberzločinců ve Španělsku

Ve středu bylo zatčeno 16 členů kriminální sítě v souvislosti se dvěma bankovními trojany, které byly součástí kampaně sociálního inženýrství proti finančním institucím v Evropě. Jednalo se o malware zvaný Mekotio a Grandoreiro instalovaný prostřednictvím kliknutí na odkaz v podvrženém e-mailu. Mekotio kradl hesla z prohlížečů a z paměti zařízení kvůli manipulaci s bankovním přístupem.

Kritická chyba RCE

Tzv. chyba ModiPwn otevírá produkční linky, senzory, výtahy a jiná zařízení používající PLC od Schneider Electric. Vyšlo najevo, že tato chyba umožňuje získat útočníkům rootovský přístup na PLC používané ve výrobě, automatizaci budov, zdravotnictví a podnikovém prostředí. Zranitelnost označovaná jako CVE-2021–22779, která využívá nedokumentované příkazy v kódu zařízení, se týká zařízení série Modicon.

MIF analytika

Google odhaluje chyby prohlížečů

Výzkumníci z Google odhalili detaily kolem čtyř zero-day zranitelností v Chrome, Safari a Internet Exploreru, které byly již od začátku roku zneužívány při různých útočných kampaních. Níže následuje seznam nyní opravených zranitelností:

  • CVE-2021–1879 – Use-After-Free in QuickTimePluginReplacement
  • CVE-2021–21166 – Chrome Object Lifecycle Issue in Audio
  • CVE-2021–30551 – Chrome Type Confusion in V8
  • CVE-2021–33742 – Internet Explorer out-of-bounds write in MSHTML

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET. Více o seriálu…

Autor článku

CESNET-CERTS je oficiální jméno bezpečnostního týmu sdružení CESNET, z. s. p. o. od ledna roku 2004. Jeho součástí je také Forenzní laboratoř FLAB. Články tvoří společně jednotliví členové týmu.