Kybernetický bezpečnostní týdenní přehled: 21. března 2025
Zneužití exploitů ve Windows zástupcích jako zero-day ve velkém měřítku v kampaních APT
Zero-day zranitelnost v Microsoft Windows, vedená pod označením ZDI-CAN-25373, je od roku 2017 rozsáhle zneužívána státem sponzorovanými skupinami útočníků. Zranitelnost cílí na způsob, jakým Windows zpracovává soubory zástupců (.lnk), což útočníkům umožňuje nepozorovaně spouštět na systémech obětí škodlivé příkazy. Bylo objeveno téměř 1000 škodlivých .lnk souborů zneužívajících tuto zranitelnost, a je pravděpodobné, že pokusy o využití jsou ještě mnohem četnější. Zranitelnost byla zneužita 11 státem sponzorovanými APT skupinami z různých zemí včetně Severní Koreje, Íránu, Ruska a Číny, přičemž cíle zahrnují vládní organizace, finanční instituce, telekomunikace i armádu na různých kontinentech. ZDI uvedlo, že informovalo společnost Microsoft, ta se ovšem rozhodla nevydat opravu.
Dále jsou aktivně zneužívány dvě další vysoce rizikové zranitelnosti. Apache Tomcat obsahuje chybu vzdáleného spuštění kódu (CVE-2025–24813), která umožňuje útočníkům získat plnou kontrolu nad servery prostřednictvím jednoduchého PUT požadavku. Důkazní kódy (proof-of-concept) pro tuto zranitelnost byly po jejím zveřejnění sdíleny na GitHubu. Další kritická zranitelnost (CVE-2024–48248) v softwaru NAKIVO Backup & Replication umožňuje neautentizovaným útočníkům přistupovat k citlivým souborům. Tato chyba byla přidána do katalogu známých zneužitých zranitelností amerického úřadu CISA. Kromě toho jsou zneužívány dvě kritické zranitelnosti v Cisco Smart Licensing Utility (CVE-2024–20439 a CVE-2024–20440). Jedná se o použití pevně zakódovaných přihlašovacích údajů a zranitelnost typu “information disclosure”, které útočníkům umožňují získat neoprávněný přístup k systémům a API.
Další kritická bezpečnostní chyba v PHP, označená jako CVE-2024–4577, je zneužívána k nasazení kryptoměnových minerů a vzdálených přístupových trojanů (RAT), například Quasar RAT. Zranitelnost se týká systémů Windows, na nichž běží PHP v CGI režimu, a umožňuje útočníkům vzdálené spuštění libovolného kódu. Podle zprávy společnosti Bitdefender se od konce roku 2024 výrazně zvýšil počet pokusů o zneužití této chyby, přičemž největší koncentrace útoků byla zaznamenána na Tchaj-wanu, v Hongkongu a v Brazílii.
Kampaň UAT-5918 zaměřená na odcizení informací cílí na subjekty kritické infrastruktury na Tchaj-wanu
Tým pro analýzu hrozeb společnosti Cisco Talos odhalil škodlivou kampaň označovanou jako UAT-5918, aktivní minimálně od roku 2023. Tato kampaň získává počáteční přístup zneužitím neopravených zranitelností na vystavených webových a aplikačních serverech. Po průniku do sítě používá UAT-5918 open-source nástroje pro průzkum sítě a hledání dalších možností útoku. Taktiky, nástroje a techniky této kampaně se podobají dalším státem sponzorovaným skupinám jako Volt Typhoon a Flax Typhoon, které využívají nástroje typu In-Swor, Mimikatz a Metasploit. Kampaň se soustředí na krádež informací a na cílové systémy nasazuje webové shelly a vytváří si více vstupních bodů pro dlouhodobý přístup.
Čínská kyberšpionážní skupina zvaná FishMonger byla spojena se společností I-SOON, technologickým kontraktorem obviněným americkým ministerstvem spravedlnosti z účasti na globálních kyberútocích. Skupina FishMonger, fungující jako součást Winnti Group, od roku 2019 útočila na vlády, nevládní organizace i think-tanky po celém světě. Tato skupina, známá rovněž pod názvy Earth Lusca, TAG-22 a dalšími, operuje primárně z čínského Čcheng-tu. Zjištění společnosti ESET ukazují, že FishMonger uskutečnila akci Operation FishMedley v roce 2022, kdy pronikla do systémů sedmi organizací po celém světě a použila malwary ShadowPad, SodaMaster a Spyder, které jsou spojovány s čínsky orientovanými aktéry.
V samostatné zprávě od ESET je popsána nová kyberšpionážní kampaň nazvaná „Operation AkaiRyū“ (v překladu Rudý Drak), prováděná čínsky orientovanou skupinou APT MirrorFace.
Tato skupina, tradičně zaměřená na Japonsko, se nově rozšířila i do Evropy – konkrétně cílila na jednoho diplomata ve střední Evropě, což je první známý případ, kdy MirrorFace zacílila na evropský subjekt. V průběhu kampaně byly využity aktualizované verze (5.5.0 a 5.5.4) backdooru ANEL, který byl dříve spojován se skupinou APT10, avšak byl považován za zastaralý. Výzkumníci nyní MirrorFace řadí do podskupiny APT10 kvůli sdíleným nástrojům a podobným vzorcům útoků. Skupina MirrorFace také použila značně upravenou verzi AsyncRAT, která byla vložena do složitého řetězce spouštění využívajícího Windows Sandbox pro chod RATu.
Výzkumníci společnosti DomainTools zveřejnili podrobnou analýzu, která dokládá pokračující využívání konkrétních registrátorů domén ruskými státem sponzorovanými dezinformačními aktéry, a to i přes rostoucí snahu potírat tyto aktivity. Těmito aktéry jsou mimo jiné známé skupiny jako APT28 (Fancy Bear), APT29 (Cozy Bear) a Internet Research Agency (IRA), které se již dlouho spoléhají na registraci domén za účelem vydávání se za důvěryhodné organizace, šíření nepravdivých informací a provádění kybernetické špionáže.
Ukrajinský vládní tým pro reakci na počítačové incidenty (CERT-UA) zaznamenal rostoucí počet cílených kyberútoků na zaměstnance v obranném průmyslu a vybraných zástupců ukrajinských ozbrojených sil. Tyto útoky, které probíhají již delší dobu, byly zaznamenány na více platformách, včetně populární komunikační aplikace Signal.
Kompromitace GitHub Action odhalila tajné tokeny v protokolech sestavení
Bezpečnostní narušení týkající se populární GitHub Action, tj-actions/changed-files, ohrozilo tisíce repozitářů a potenciálně odhalilo citlivé CI/CD tokeny, například přístupové klíče k AWS, GitHub Personal Access Tokens (PAT), npm tokeny a soukromé RSA klíče. Útok, sledovaný pod kódem CVE-2025–30066, spočíval v tom, že útočník vložil do kódu akce škodlivý Python skript, který zapisoval tajné tokeny v čitelné podobě do protokolů sestavení. Pokud byly tyto protokoly veřejně přístupné, došlo k úniku těchto klíčových informací.
V jiném případě výzkumníci odhalili škodlivou kampaň zaměřenou na uživatele Python Package Index (PyPI), kde bylo objeveno 20 falešných knihoven tvářících se jako nástroje pro manipulaci s časem. Tyto knihovny kradly citlivá data, například tokeny pro přístup ke cloudovým službám. Balíčky, jež si uživatelé stáhli přes 14 100krát, cílily na velké cloudové služby jako AWS, Alibaba Cloud a Tencent Cloud a odcizovaly tajné klíče uživatelům.
Společnost Pillar Security objevila dříve nedokumentovaný vektor útoku na softwarový dodavatelský řetězec, který ohrožuje integritu nástrojů pro vývoj kódu řízených umělou inteligencí. Tato technika, označená jako „Rules File Backdoor“, umožňuje zločincům nenápadně infikovat AI-generovaný kód vkládáním škodlivých instrukcí do zdánlivě neškodných konfiguračních souborů používaných oblíbenými AI nástroji pro psaní kódu, jako jsou Cursor a GitHub Copilot. Využitím skrytých Unicode znaků a pokročilých technik maskování mohou útočníci změnit chování AI modelů tak, že generují škodlivý kód, který zůstane lidským bezpečnostním týmům nepovšimnut.
Uniklé chaty naznačují možné propojení ransomwaru Black Basta RaaS s ruskými úřady
Nedávný únik více než 200 000 interních záznamů z chatu odhalil potenciální vazby mezi gangem BlackBasta a ruskými úřady. Zveřejnil je uživatel @ExploitWhispers na Telegramu v únoru 2025 a chaty naznačují, že vůdce BlackBasta, Oleg Nefedov, měl kontakty s vysoce postavenými ruskými představiteli. Zprávy ukazují, že Nefedov unikl zadržení v Arménii v roce 2024, údajně s pomocí ruských úřadů, které mohly potlačit žádosti Interpolu. Zprávy rovněž poukazují na to, že BlackBasta hodlá pokračovat ve svých aktivitách, přičemž se objevují odkazy na ruskou invazi na Ukrajinu. Chaty také odhalily, že skupina využívá pokročilé nástroje kyberkriminality, například „BRUTED“ pro útoky hrubou silou (brute force) a útoky na hesla (credential stuffing).
Nová zpráva od společnosti SentinelOne se zabývá pro-ruskou hacktivistickou skupinou Dragon RaaS, známou také jako DragonRansom či Dragon Team, což je ransomware aktér zapojující se jak do hacktivismu, tak do kyberkriminality. Skupina se objevila v červenci 2024 jako odnož ransomwarového gangu Stormous, který je součástí většího zločineckého uskupení nazývaného „The Five Families“, jež zahrnuje ThreatSec, GhostSec, Blackforums a SiegedSec.
Přestože se Dragon RaaS prezentuje jako sofistikovaná služba ransomware-as-a-service, její útoky často zahrnují pouhé defacementy a oportunistické výpady namísto rozsáhlých vyděračských kampaní. Skupina se zaměřuje zejména na menší organizace se slabým zabezpečením, přičemž často využívá nesprávné konfigurace, útoky hrubou silou a odcizené přihlašovací údaje. Její oběti se většinou nacházejí v USA, Izraeli, Velké Británii, Francii a Německu.
Nový backdoor, pojmenovaný „Betruger“ výzkumníky ze společnosti Symantec, byl spojen s nedávnými útoky ransomwaru, konkrétně s jedním z partnerů (affiliate) platformy RansomHub ransomware-as-a-service. Betruger je multifunkční backdoor navržený pro použití při ransomware útocích a dokáže provádět například keylogging, skenování sítě, eskalaci oprávnění, dumping přihlašovacích údajů, pořizování snímků obrazovky i nahrávání souborů na server ovládaný útočníkem.
Rozsáhlá kampaň podvodných reklam krade uživatelské přihlašovací údaje a data platebních karet
Bezpečnostní výzkumníci ze společnosti Bitdefender odhalili rozsáhlou kampaň podvodných reklam, do níž se zapojilo 331 škodlivých aplikací. Tyto aplikace, které se na první pohled tvářily jako neškodné nástroje, zaplavovaly zařízení uživatelů reklamami mimo kontext a využívaly phishing k získání přihlašovacích údajů i údajů o platebních kartách.
V dalších zprávách výzkumníci z Microsoft Incident Response objevili StilachiRAT – sofistikovaný vzdálený přístupový trojan (RAT), který se snaží vyhnout detekci, udržet si přetrvávající přístup a exfiltrovat citlivá data. Malware cílí na různé typy informací, včetně přihlašovacích údajů v prohlížeči, dat v digitálních peněženkách, obsahu schránky a systémových dat, přičemž využívá modul WWStartupCtrl64.dll.
Společnost Secure Annex ve své nedávné zprávě rozebírá, jak mohou být uživatelské doplňky prohlížeče nepozorovaně prodány škodlivým aktérům bez vědomí samotných uživatelů.
USA ruší sankce proti kryptomixéru Tornado Cash spojenému s krádežemi Severokorejské skupiny Lazarus
Americké ministerstvo financí oznámilo zrušení sankcí uvalených na kryptomixér Tornado Cash, který byl v srpnu 2022 sankcionován za napomáhání k praní více než 7 miliard dolarů. Tornado Cash bylo využíváno severokorejskou hackerskou skupinou Lazarus k praní odcizených prostředků, včetně přibližně 455 milionů dolarů z celkových 620 milionů dolarů odcizených v rámci krádeže Etherea z Ronin sítě patřící Axie Infinity v dubnu 2022.
Co se týče severokorejských hackerů, Severní Korea údajně vytvořila novou kybernetickou jednotku v rámci své vojenské zpravodajské agentury, zaměřenou na rozvoj útočných hackerských technologií. Nově založené Výzkumné centrum 227 bude fungovat pod Reconnaissance General Bureau (RGB), agenturou dohlížející na zahraniční hackerské aktivity země. Několik severokorejských APT skupin funguje právě pod jednotlivými odbory RGB: 3, 5, 121 a 325. Centrum zahájilo činnost na začátku tohoto měsíce a očekává se, že v něm bude pracovat přibližně 90 specialistů na kybernetickou bezpečnost.
Žádné názory
ČLÁNKY DO MAILU