Chyba v XZ Utils stále v desítkách obrazů na Docker Hubu
Krátce před loňskými Velikonocemi otřásl celou kyberbezpečnostní a open-source komunitou objev nyní již nechvalně známého XZ Utils backdoor. Vývojář „Jia Tan“, tehdy strávil dva roky postupným budováním důvěry v rámci projektu XZ Utils (sada nástrojů pro bezztrátovou kompresi na systémech Unix), kam pravidelně přispíval, což mu umožnilo vložit do balíčků xz-utils sofistikovaný backdoor. Tento objev přiměl odborníky na kybernetickou bezpečnost, včetně týmu Binarly REsearch, aby se snažili backdoor zpětně analyzovat a pochopit jeho rozsah a potenciální dopad. Další analýza škodlivého kódu a širší kompromitace vedla k několika překvapivým zjištěním, především k tomu, že zadní vrátka mohou vést k neoprávněnému vzdálenému přístupu a umožnit spuštění libovolného payloadu prostřednictvím SSH.
Nyní, po roce, se výzkumníci Binarly REsearch k backdooru vrátili a nalezli jej v 12 Docker obrazech Debianu, které obsahují jeden z backdoorů XZ Utils a také v další sadě obrazů druhého řádu, které obsahují kompromitované obrazy Debianu. Celkově nalezli 35 kompromitovaných Docker obrazů.
K opětovné analýze po takové době je dovedl objev škodlivého kódu u jednoho ze zákazníků, který nakonec nalezli právě v Docker obrazu. Ještě znepokojivější je ale skutečnost, že tyto základní infikované obrazy posloužily jako základ dalších obrazů pro Docker kontejnery, čímž se infekce účinně šíří dál, uvedla společnost Binarly REsearch ve zprávě, kterou sdílela se serverem The Hacker News.
Ve zprávě Binarly REsearch dále uvádí, že incident s backdoorem xz-utils ukazuje, že i krátkodobě škodlivý kód může zůstat v oficiálních obrazech kontejnerů dlouho nepovšimnut a může se šířit v rámci CI pipelines a kontejnerových ekosystémů, což posiluje kritickou potřebu nepřetržitého monitorování na binární úrovni nad rámec prostého sledování verzí.
Vyděrači ze skupiny Interlock vyhrožují únikem 43GB dat města Saint Paul
Skupina ransomwarových vyděračů Interlock se pochlubila 43GB kolekcí souborů, které byly údajně ukradeny z informačních systémů města Saint Paul po kybernetickém útoku z konce července, kvůli němuž muselo hlavní město Minnesoty vyhlásit stav ohrožení státu.
Skupina Interlock je aktivní nejméně od září 2024 a na svých stránkách se popisuje jako „neúnavný kolektiv, který odhaluje bezohlednost společností, jež nedokážou ochránit svá nejkritičtější aktiva“, a tvrdí, že jeho útoky nejsou motivovány finančně, ale naopak „vysílají vzkaz těm, kteří se schovávají za slabou obranu a polovičatá opatření“.
O výkupné si každopádně řekli a starosta Saint Paul uvedl, že město nemá v úmyslu vyděračům cokoli platit. Také uvedl, že data byla ukradena z jediného kompromitovaného zdroje, ale navzdory tvrzení útočníků, neobsahují osobní ani finanční údaje obyvatel.
FBI a CISA na Interlock upozornili pouhý týden před touto poslední akcí a varovaly, že se gang zaměřuje na kritickou infrastrukturu v rámci stále brutálnějších kampaní dvojího vydírání.
Microsoft opravil 107 zranitelností včetně kritické zero-day
Microsoft vydal bezpečnostní aktualizace Patch Tuesday pro srpen 2025, které opravily 107 zranitelností v systémech Windows, Office, Microsoft Edge, Azure, GitHub Copilot, Dynamics 365, SQL Server a Hyper-V Server. Z nich má 12 kritické hodnocení, 93 důležité, po jedné mírné a nízké. Zvláštní pozornost přitahuje veřejně odhalená zero-day zranitelnost Windows Kerberos CVE-2025–53779 s hodnocením CVSS 7.2, která umožňuje autentizovanému útočníkovi získat práva správce domény prostřednictvím relativního obcházení cesty.
Pro zneužití je vyžadován přístup pro zápis k atributům msds-ManagedAccountPrecededByLink a msds-groupMSAMembership systému dMSA. Nejkritičtější je zranitelnost CVE-2025–53766 s hodnocením CVSS 9.8 – přetečení bufferu ve Windows GDI+, která umožňuje neautorizovanému útočníkovi vzdáleně spustit kód prostřednictvím speciálně vytvořeného metasouboru v dokumentu. Zneužití je možné prostřednictvím uploadu na web bez interakce uživatele, což vytváří vysoce rizikové scénáře pro webové služby zpracovávající dokumenty. Útočník nepotřebuje žádná oprávnění v cílových systémech pro úspěšný útok.
Aktivně zneužívána nebezpečná zero-day chyba ve WinRARu
Vývojáři populárního archivačního nástroje WinRAR vydali aktualizaci, která opravuje závažnou zero-day zranitelnost označenou jako CVE-2025–8088 (CVSS 8.8). Jedná se o chybu typu path traversal, kterou lze zneužít k vzdálenému spuštění libovolného kódu pomocí speciálně vytvořeného archivu. Při rozbalování souboru mohly starší verze WinRARu, RARu a knihoven UnRAR použít cestu definovanou v archivu místo určené cesty, což útočníkům umožnilo zapisovat soubory mimo cílový adresář, například do složky „Po spuštění“ ve Windows. Oprava je součástí verze 7.13 vydané 30. července 2025.
Útoky probíhaly prostřednictvím phishingových e-mailů obsahující škodlivé přílohy. Po otevření archivu docházelo k nasazení škodlivých DLL, vytvoření zástupce v “Po spuštění” a následnému stažení dalších programů, jako je SnipBot, RustyClaw nebo Mythic agent. Cílem byly organizace z finančního, výrobního, obranného a logistického sektoru zejména v Evropě a Kanadě.
Další úniky dat ze Salesfoce CRM
Hackeři zveřejnili data patřící americké pojišťovací společnosti Allianz Life. Odcizeno bylo přes 2,8 milionu citlivých záznamů o klientech a obchodních partnerech. Tento útok souvisí s nadále pokračující kauzou Salesforce data theft. Cloudová společnost Salesforce.com pomáhá firmám spravovat vztahy se zákazníky (CRM) a zlepšovat tak jejich podnikání.
Rok 2025 provází vlna vishingových útoků. Cílem je po telefonu přimět nic netušící zaměstnance k instalaci falešné verze nástroje Data Loader, čímž útočníci získají OAuth přístup k Salesforce a následně exfiltrují data. Útoky jsou připisovány skupině ShinyHunters, která nedávno spojila síly s další hackerskou skupinou Scattered Spider.
„Poskytnou nám prvotní přístup a my provedeme exfiltraci dat ze Salesforce CRM instancí,“ uvedl člen skupiny ShinyHunters serveru BleepingComputer.com. Odcizena byla data zahrnující jména, data narození, adresy a kontaktní údaje zákazníků. Podle BleepingComputer.com se společnost Allianz k incidentu nevyjádřila z důvodu stále probíhajícího vyšetřování.
Mezi další poškozené firmy napadené touto skupinou patří například francouzská módní značka Chanel, Google nebo Pandora. Někteří členové dříve působili v hackerské skupině Lapsus$, která má na svědomí útoky na Rockstar Games, Uber, T-Mobile či Microsoft.
Výzkumníci ze společnosti SquareX demonstrovali, jak obejít passkey
Výzkumníci SqureX ukázali, jak je možné obejít čím dál populárnější technologii passkey, postavenou na asymetrické kryptografii, bezpečném úložišti klíčů a biometrickém ověřování. Útok se netýká kryptografie passkey, ale útočí na WebAuthn API, kdy útočník zmanipuluje jak registrační, tak i přihlašovací proces tím, že převezme kontrolu nad rozhraním WebAuthn injektováním JavaScriptu.
K tomu, aby byl útok úspěšný, je ovšem potřeba přesvědčit uživatele, aby si do prohlížeče nainstaloval rozšíření, které to umožní nebo musí být na cílovém webu vhodná zranitelnost, například XSS.
„Ups, tady Chárón“: nový ransomware vozí do podsvětí firmy
Výzkumníci společnosti Trend Micro identifikovali novou rodinu ransomwaru s názvem Charon, která byla nasazena v cíleném útoku pozorovaném ve veřejném sektoru a leteckém průmyslu na Blízkém východě. Útočníci použili techniku sideloadingu DLL, která je velmi podobná taktice popsané v kampaních APT Earth Baxia, které se v minulosti zaměřovaly na vládní sektory. Útočný řetězec využil legitimní soubor související s prohlížečem, Edge.exe (původně pojmenovaný cookie_exporter.exe), k sideloadingu škodlivého souboru msedge.dll (SWORDLDR), který následně nasadil ransomware Charon.
Deobfuskovaný spustitelný soubor odhalil sofistikované šifrovací schopnosti a provozní vlastnosti; při inicializaci přijímá Charon několik parametrů, které významně ovlivňují jeho chování, vytváří si mutex OopsCharonHere. Před spuštěním provádí řadu rušivých akcí, jejichž cílem je minimalizovat možnost obnovy nebo interference. Zastavuje služby související s bezpečností a ukončuje aktivní procesy, včetně služeb souvisejících s bezpečností.
Tím si zajišťuje, že antivirový software a software na ochranu koncových stanic budou deaktivovány, což snižuje pravděpodobnost detekce nebo přerušení. Následuje smazání shadow kopií systému, záloh a vyprázdnění koše, po jejím dokončení spočítá dostupná vlákna procesoru a následuje zašifrování obsahu dat.
Zajímavostí je pak to, že se Charon dokáže sám propagovat, aktivně se snaží rozšířit po síti pomocí NetShareEnum a WNetEnumResource.
Jak se bránit Chárónovi, najdete v reportu výzkumníků.
Nový útok cílil na držitele datových schránek
V uplynulých týdnech jsme zaznamenali vlnu registrací domén snažících se napodobit oficiální stránky datových schránek, a to prostřednictvím generických domén jako jsou .top .pro .world a mnohé další. Apelujeme proto na všechny vlastníky datových schránek, aby důsledně kontrolovali znění doménového jména oficiální aplikace, které je mojedatovaschranka.CZ.
Sofistikované útoky ransomware skupiny Crypto24
Společnost Trend Micro ve svém blogu zveřejnila podrobnou technickou analýzu kampaně ransomware skupiny Crypto24, která cílí na velké firmy v Asii, Evropě a USA, zejména ve finančním, výrobním, zábavním a technologickém sektoru. Popisuje celý průběh útoků, při nichž útočníci kombinují využívání legitimních IT nástrojů (např. PsExec, AnyDesk, Group Policy) s vlastními malwary, keyloggery a technikami, které zneužívají vestavěné nástroje a funkce systému (tzv. living off the land) pro přesuny v síti, krádež dat a dlouhodobý skrytý přístup.
Zaměřují se na obcházení obranných mechanismů, včetně EDR, pomocí upravených nástrojů jako RealBlindingEDR a privilegovaných účtů, přičemž útoky spouštějí mimo špičku, aby snížili riziko odhalení. Jejich sofistikované postupy zahrnují cílené odinstalace bezpečnostních řešení, vymazání stínových kopií, získávání přihlašovacích údajů a exfiltraci dat přes Google Drive.
Kampaň ukazuje vysokou úroveň technické vyspělosti a adaptability útočníků, kteří se dokážou přizpůsobit obranným opatřením, a zdůrazňuje nutnost proaktivní detekce, rychlé reakce a posilování bezpečnostních konfigurací.
NÚKIB vydal přehled kybernetických incidentů za červenec 2025
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) v červenci 2025 evidoval celkem 23 kybernetických bezpečnostních incidentů a sedm kybernetických událostí. Jedná se o nejvyšší počet registrovaných incidentů v tomto kalendářním roce. Kromě méně významných incidentů evidoval NÚKIB také dva významné a jeden velmi významný incident.
Z pohledu klasifikace incidentů byla opět nejvíce zastoupenou kategorií Dostupnost, a to jedenácti incidenty. Většina z nich byla tvořena výpadky, které vznikly v souvislosti s přerušením/výpadkem dodávek el. energie. V kategorii Informační bezpečnost úřad zaznamenal pět ransomwarových útoků a jeden incident vedoucí ke ztrátě dat. NÚKIB rovněž evidoval několik incidentů v kategorii Průnik spojených se zranitelnostmi v produktu SharePoint.
Ve zkratce
- Přihlašovací údaje k aktivním kompromitovaným účtům FBI a dalších agentur na prodej v temných zákoutích internetu za 40$
- Fortinet varuje před zranitelností produktu FortiSIEM s dostupným exploitem
- AI a rychlejší analýza útoku
- Tisíce neopravených zranitelností Citrix NetScaler mohou ohrozit i české uživatele
- Útočníci mohou v Microsoft Entra ID obejít FIDO tím, že uživatele přimějí k méně bezpečnému ověření
- Jak sociální sítě a AI mění trendy v online podvodech
- Nově objevená zranitelnosti může vést k masivním DDoS útokům
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
