Špionážně zaměřené útoky malwaru
Státem sponzorovanému útočníkovi napojenému na Rusko známému jako APT28 jsou připisovány útoky známé jako Operace Neusploit zneužívající bezpečnostní díru v Microsoft Office. Výzkumníci ze Zscaler ThreatLabz zjistili, že hackerská skupina zaútočila na uživatele na Ukrajině, Slovensku a v Rumunsku již několik dní poté, co Microsoft oficiálně přiznal existenci chyby.
Chyba známá jako CVE-2026–21509 se skórem 7,8 umožňuje neautorizovanému útočníkovi poslat a spustit speciálně upravený soubor Office. Útok ve zkratce zneužívá bezpečnostní díru škodlivým RTF souborem k doručení dvou různých verzí škodlivého payloadu, z nichž jeden následně slouží k odcizení uživatelských e-mailů z různých složek a jejich přeposlání na adresy útočníka a druhý mimo jiné slouží k zajištění persistence na napadeném stroji a k instalaci .NET sestavy spojené s C2 frameworkem.
Když se výpadky cloudů šíří internetem
Nedávné výpadky cloudových služeb, které bylo těžké přehlédnout, narušily velké části internetu a zastavily webové stránky a služby na nichž závisí mnoho dalších systémů. Co pro spotřebitele znamená zpravidla jen nepříjemnost, pro firmy může výpadek znamenat kromě narušení provozu ztrátu příjmů a poškození pověsti.
Tyto události zdůrazňují fakt, že výpadky cloudu ovlivňují nejen výpočetní techniku a sítě, ale zejména identitu, což je klíčový provozní a bezpečnostní incident. Moderní architektury identit jsou totiž hluboce závislé na sdílených službách a cloudové architektuře, jako např.:
- Datová úložiště obsahující atributy identity a adresářové informace
- Data o zásadách a autorizaci
- Vyrovnávače zátěže, řídící systémy a DNS
Uvedené sdílené závislosti představují riziko, neboť selhání kterékoli z nich může zablokovat ověřování nebo autorizaci i když poskytovatel identity stále běží. Výsledkem je skrytý jediný bod selhání, který může být objeven bohužel až během výpadku.
Skutečná odolnost systémů identit musí být řádně navržena, což znamená snížení závislosti na jednom poskytovateli např. využitím několika cloudů či zřízení lokální zálohy sloužící při výpadku cloudových služeb. Je také dobré se zamyslet nad tím, že omezený přístup (např. použitím atributů z mezipaměti apod.) je lepší než úplné odepření přístupu. Vždy však záleží na posouzení obchodního rizika.
Napadená infrastruktura Notepad++
Vývojář produktu Notepad++ se nechal slyšet, že útočníci napadli infrastrukturu jeho poskytovatele hostingových služeb. Útok nezneužíval chybu v kódu Notepad++, ale zachytil jeho aktualizace dříve, než se dostaly k uživatelům.
Incident začal v červnu 2025, hostingový server fungoval do 2. září 2025, přesměrování provozu aktualizací na servery útočníků pomocí odcizených přihlašovacích údajů trvalo až do 2. prosince 2025. Poskytovatel hostingu následně přesunul všechny postižené zákazníky na nový server, opravil zranitelnosti a zrotoval jejich přihlašovací údaje. Následující kontroly logů neprokázaly žádnou další škodlivou aktivitu útočníků.
Šíření malware z Windows na macOS
Microsoft varuje před útoky typu odcizování informací, které se rozšiřují z Windows na platformu macOS a za tímto účelem útočníci zneužívají multiplatformní jazyky jako Python. Tyto útoky využívají sociální inženýrství, falešné opravy a škodlivé DMG soubory a zneužívají důvěryhodné aplikace jako WhatsApp.
Uživatelé systémů macOS jsou přilákáni nejčastěji pomocí reklam Google na podvodné weby, které nabízejí falešný software nebo žádají o zkopírování příkazů do terminálu. Následně instalovaný malware nenápadně shromažďuje hesla z prohlížečů, krypto peněženek a přístupové údaje vývojářů a maže za sebou stopy.
Kritická chyba v n8n
Nová kritická bezpečnostní zranitelnost CVE-2026–25049, která v případě úspěšného zneužití může vést ke spouštění systémových příkazů, byla odhalena v automatizační platformě pracovního postupu n8n. Chyba jejíž CVSS skóre je 9,4 je výsledkem špatného ošetření, které umožní obejití bezpečnostních opatření opravujících jinou zranitelnost CVE-2025–68613, která byla záplatovaná v prosinci 2025.
Kdokoliv, kdo může vytvářet v systému pracovní postupy nebo je modifikovat, může vytvořit takové výrazy v jejich parametrech, které povedou ke spuštění příkazu na stroji, kde běží n8n. Zranitelnost byla opravena ve verzích 1.123.17 a 2.5.2. Pokud není možné okamžitě záplatovat, tak existuje dočasné řešení:
- omezit práva k vytváření a editaci pracovních postupů pouze na skutečně důvěryhodné uživatele
- provozovat systém n8n v prostředí se zvýšeným zabezpečením s omezenými právy v operačním systému a omezeným síťovým přístupem
Ve zkratce
- Taiwanský operátor tržiště Inkognito uvězněn
- Hackerská skupina útočila na Asijské vlády
- Hackerská skupina Infy obnovila operace
- ThreatsDay Bulletin
- Škodlivé NGINX konfigurace umožňují únosy webového provozu
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU