Týdenní přehled kybernetické bezpečnosti: 14. března 2025

Microsoft a Apple vydávají bezpečnostní aktualizace k vyřešení několika vysoce rizikových chyb včetně zero-day

Společnost Microsoft v rámci březnové aktualizace Patch Tuesday pro rok 2025 opravila více než 50 zranitelností, včetně šesti kritických zero-day chyb, které jsou aktivně zneužívány v praxi. Těchto šest zero-day zranitelností zahrnuje:

• CVE-2025–24983: Zranitelnost typu Use-After-Free (UAF) v subsystému Windows Win32 Kernel, jež umožňuje lokálním útočníkům zvýšit oprávnění a spouštět libovolný kód. Tuto chybu kyberzločinci zneužili k instalaci zadních vrátek s názvem „PipeMagic“, přičemž cílili na subjekty v Asii a Saúdské Arábii prostřednictvím falešné aplikace OpenAI ChatGPT.

• CVE-2025–24984: Zranitelnost v systému souborů Windows NTFS, která vede k odhalení citlivých informací (Information Disclosure) a může být využita, pokud má útočník fyzický přístup k zařízení pomocí škodlivého USB disku.

• CVE-2025–24985: Chyba typu integer overflow v ovladači Windows Fast FAT, která potenciálně umožňuje spuštění libovolného kódu.

• CVE-2025–24991: Zranitelnost typu Out-of-Bounds Read v systému souborů NTFS ve Windows, která může lokálně vést k úniku citlivých informací.

• CVE-2025–24993: Zranitelnost typu Heap-Based Buffer Overflow v systému souborů NTFS, umožňující útočníkům spouštět kód s vyššími oprávněními.

• CVE-2025–26633: Zranitelnost v Microsoft Management Console, která může útočníkům umožnit obejít bezpečnostní ochrany a získat neoprávněný přístup.

Tyto zranitelnosti se týkají především starších verzí Windows, včetně Windows 8.1 a Server 2012 R2. Novější systémy, jako je Windows 11, ovšem ovlivněny nejsou.

Společnost Apple také vydala urgentní bezpečnostní aktualizace k opravě kritické zero-day zranitelnosti, o níž firma varuje, že je „aktivně zneužívána v extrémně sofistikovaných útocích.“ Tato chyba, označená jako CVE-2025–24201, se nachází v jádře prohlížeče WebKit, které využívá Safari i další aplikace a webové prohlížeče na macOS, iOS, Linuxu a Windows.

Útočníci mohou zranitelnost zneužít k prolomení sandboxu Web Content ve WebKitu za pomoci škodlivě upraveného webového obsahu, čímž získají neoprávněný přístup a mohou provádět škodlivé akce v systému. Apple potvrdil, že tato chyba už byla zneužita v cílených útocích na konkrétní jedince, kteří měli nainstalované verze iOS před verzí 17.2.

Firma GreyNoise, zabývající se kybernetickou hrozbou, varuje, že kritická zranitelnost PHP ovlivňující Windows systémy je masivně zneužívána útočníky. Tato chyba je sledována jako CVE-2024–4577 a zasahuje instalace PHP ve Windows běžící v módu CGI (Common Gateway Interface). Při úspěšném zneužití mohou útočníci spouštět libovolný kód, což vede k úplnému kompromitování systému. Ve své další zprávě firma uvedla, že zaznamenala nejméně 400 IP adres, které současně aktivně zneužívají více zranitelností typu SSRF.

V podobném duchu vydala tchajwanská společnost Edimax, která se zaměřuje na síťová řešení, bezpečnostní upozornění k jedné ze svých starších kamer, modelu Edimax IC-7100. Společnost nicméně uvedla, že neplánuje vydat žádné bezpečnostní opravy ani aktualizace firmwaru, neboť je tento model ukončený už více než deset let a není nadále podporován. Zranitelnost, sledovaná jako CVE-2025–1316, byla objevena výzkumníky ze společnosti Akamai, kteří upozorňují, že tuto chybu aktivně zneužívá několik botnetů založených na škodlivém kódu Mirai.

Do katalogu CISA Known Exploited Vulnerabilities (KEV) byly tento týden zařazeny mimo jiné CVE-2025–24201 (Apple WebKit), CVE-2025–21590 (Junos OS, detaily viz níže), výše zmíněné zero-day zranitelnosti Windows, CVE-2024–57968 (Advantive VeraCore), CVE-2025–25181 (Advantive VeraCore), CVE-2024–13159, CVE-2024–13160, CVE-2024–13161 (Ivanti Endpoint Manager (EPM)).

Společnost Moxa z Tchaj-wanu, zaměřující se na průmyslová síťová řešení, uveřejnila záplatu pro CVE-2024–12297, chybu v jejích přepínačích řady PT, která umožňuje útočníkům obejít autentizační ochrany.

---

Nový botnet „Ballista“ útočí na nezabezpečené směrovače TP-Link Archer

Nový botnet pojmenovaný „Ballista“ začal zneužívat nezáplatované směrovače TP-Link Archer, uvádí zpráva společnosti Cato CTRL. Zranitelnost (CVE-2023–1389), poprvé zveřejněná v roce 2023, umožňuje útočníkům spouštět libovolné příkazy na ohrožených směrovačích. Nejstarší známý případ zneužití zranitelnosti CVE-2023–1389 se datuje do dubna 2023. Od té doby ji kyberzločinci využívají k šíření malwaru, mezi který patří i moduly botnetu Mirai, a později i další malware, jako jsou rodiny Condi a AndroxGh0st.

---

Hackeři UNC3886 napojení na Čínu útočí na routery Juniper MX s vlastními backdoory

Kyberšpionážní skupina spojená s Čínou, označovaná jako UNC3886, cílí na ukončené routery Juniper Networks MX s operačním systémem Junos OS a nasazuje do nich upravený malware zvaný TINYSHELL. Tato kampaň, která poprvé vzbudila pozornost v polovině roku 2024, se zaměřuje na obranný, telekomunikační a technologický sektor v USA a Asii. Malware nabízí jak aktivní, tak i pasivní funkce zadních vrátek, což útočníkům umožňuje udržet si trvalý přístup. Skupina UNC3886 získala přístup zneužitím legitimních přihlašovacích údajů a obejitím bezpečnostních mechanismů, včetně ochrany Veriexec. Útočníci vkládali škodlivý kód do legitimního procesu na routeru, přičemž zneužili zranitelnost sledovanou jako CVE-2025–21590. Bylo identifikováno šest různých variant malwaru TINYSHELL, všechny navržené k využití konkrétních zranitelností routerů Juniper MX.

Ve stejném kontextu výzkumníci z Aqua Nautilus objevili novou vícestupňovou útočnou kampaň zaměřenou na interaktivní výpočetní prostředí, například Jupyter Notebooks. Útok začíná stažením komprimovaného souboru z externího serveru, který po spuštění rozmístí škodlivé nástroje pro následnou kompromitaci serveru a udržení trvalého přístupu. Útočníci se do systému poprvé dostali prostřednictvím neautentizované instance JupyterLab, kde mohli nasadit malware a kryptoměnové minery.

---

Ransomware SuperBlack zneužívá nedávno objevené chyby ve Fortinetu

Výzkumníci zaznamenali novou ransomwarovou skupinu pojmenovanou Mora₀₀₁ (která je pravděpodobně napojená na ransomware LockBit), jež zahájila vlnu útoků v lednu tohoto roku. Skupina zneužila dvě zranitelnosti ve Fortinetu, CVE-2024–55591 a CVE-2025–24472, obě se týkají obcházení autentizace a byly zveřejněny v lednu. Útočníci nejprve získali přístup k napadenému prostředí, eskalovali oprávnění a vytvořili falešné administrátorské účty pro udržení trvalého přístupu. Poté nasadili nový ransomware nazvaný SuperBlack. V případech, kdy nebylo k dispozici VPN řešení, útočníci využili kompromitované přihlašovací údaje k útokům na další firewally a zneužili funkce vysoké dostupnosti (HA), aby se útok mohl rozšířit na všechny zařízení zapojená do clusteru.

Ve stejné době vydaly americké bezpečnostní agentury společnou zprávu varující, že ransomwarová operace Medusa postihla přes 300 obětí napříč kritickými infrastrukturami, včetně zdravotnictví, vzdělávání, práva, pojišťovnictví, technologií a výroby. Tato RaaS (ransomware-as-a-service) kampaň, poprvé pozorovaná v červnu 2021, funguje na principu „dvojitého vydírání“, kdy se kromě šifrování dat hrozí i jejich zveřejněním, pokud oběť nezaplatí výkupné.

Útočníci Medusa se do systému dostávají přes phishing a zneužívání neopravených softwarových chyb, například obcházení autentizace v ScreenConnectu (CVE-2024–1709) a SQL injection ve Fortinet EMS (CVE-2023–48788). Po vstupu do systému používají legitimní nástroje, jako PowerShell a Windows Management Instrumentation (WMI), aby se vyhnuli detekci, pohybovali se v síti a nasadili šifrovací nástroje. Je důležité poznamenat, že Medusa ransomware nesouvisí s MedusaLocker ani s malwarem Medusa pro mobilní zařízení.

---

Nový spyware KoSpy napojený na KLDR cílí na uživatele v korejském a anglickém prostředí

Výzkumníci z Lookout Threat Lab odhalili nový sledovací nástroj pro Android s názvem KoSpy, o němž se domnívají, že je nasazen proti korejsky a anglicky mluvícím uživatelům. Podle středně silných indicií je KoSpy připisován severokorejské APT skupině ScarCruft (APT37). Aktivní je od března 2022 a jeho novější verze byly objeveny v březnu 2024. Spyware je distribuován prostřednictvím falešných utilitárních aplikací, například „File Manager“ nebo „Kakao Security,“ a dokáže z infikovaných zařízení shromažďovat citlivé informace: SMS zprávy, protokoly hovorů, údaje o poloze, soubory, zvukové nahrávky, snímky obrazovky, úhozy na klávesnici, detaily o Wi-Fi i seznam nainstalovaných aplikací.

---

Čínští hackeři Volt Typhoon působili téměř rok v systémech americké společnosti zajišťující energetické služby

Skupina čínských hackerů spojená s kampaní Volt Typhoon pronikla do systémů velké energetické společnosti v Littletonu (Massachusetts) a zůstala v nich téměř celý rok. Tento útok je považován za součást širší kyberšpionážní operace Číny zaměřené na kritickou infrastrukturu v USA.

---

APT skupina Blind Eagle útočí na kolumbijské instituce v probíhající špionážní kampani

Check Point Research zaznamenal sérii pokračujících kybernetických útoků namířených proti kolumbijským institucím a vládním orgánům, připisovaných jihoamerické skupině Blind Eagle (APT-C-36). V této nedávné kampani skupina zneužívá CVE-2024–43451, zranitelnost, jež umožňuje útočníkům získat NTLMv2 hash uživatele, a následně se tak autentizovat jako on pomocí pass-the-hash nebo relay útoků.

Současně společnost Trustwave zveřejnila podrobnou analýzu ruských státem sponzorovaných aktérů a jejich aktivit.

---

Nová kampaň „Phantom Goblin“ šíří malware zaměřený na krádež informací

Cyble Research and Intelligence Labs (CRIL) objevila sofistikovanou kampaň nazvanou „Phantom Goblin“, která k šíření malwaru pro krádež informací využívá metody sociálního inženýrství.

Společnost Microsoft zaznamenala probíhající phishingovou kampaň, která se vydává za Booking.com a používá techniku sociálního inženýrství nazývanou „ClickFix“ k doručení škodlivého softwaru pro krádež přihlašovacích údajů. Tato kampaň, známá jako Storm-1865, začala v prosinci 2024 a cílí převážně na pracovníky v oblasti pohostinství v regionech jako Severní Amerika, Oceánie, Jižní a Jihovýchodní Asie a Evropa. Útočníci rozesílají podvodné e-maily, které se tváří jako zprávy od Booking.com.

V samostatné zprávě Microsoft popisuje novou variantu malwaru XCSSET, sofistikovaného modulárního malwaru pro macOS, který infikuje projekty v Xcode.

Tým SquareX odhalil nový útok, který umožňuje škodlivým rozšířením prohlížeče vydávat se za legitimní rozšíření nainstalovaná v prohlížeči oběti. V důsledku toho mohou útočníci převzít účty, krást data a způsobit finanční ztráty.

Tento polymorfní útok na rozšíření, který ovlivňuje všechny prohlížeče založené na projektu Chromium (Google Chrome, Microsoft Edge, Brave, Opera aj.), využívá skutečnosti, že se uživatelé při interakci s nástroji v prohlížeči většinou spoléhají na vizuální prvky, například ikony rozšíření. Podle SquareX škodlivá rozšíření vytvářejí dokonalou kopii ikony, HTML rozhraní a dalších prvků cílového rozšíření, a dokonce dočasně deaktivují legitimní rozšíření, takže uživatel téměř nepozná rozdíl.

Nová kampaň nazvaná OBSCURE#BAT popsaná společností Securonix využívá sociálního inženýrství k šíření open-source rootkitu r77. Ten útočníkům umožňuje udržet trvalý přístup a vyhnout se detekci na infikovaných systémech. Dokáže skrýt soubory, položky registru nebo úlohy, které začínají určitou předponou. Kampaň cílí na uživatele prostřednictvím falešných instalací softwaru nebo podvodných „captcha“ ověřovacích systémů.

Zpráva od společnosti CyberArk popisuje novou kampaň s doposud nepopsaným clipper malwarem zvaným MassJacker.

---

Bývalý softwarový vývojář sabotoval systémy svého zaměstnavatele malwarem

Davis Lu, bývalý softwarový vývojář ve společnosti Eaton Corporation, byl usvědčen ze sabotování firemních systémů poté, co byl v roce 2018 přeřazen na nižší pozici. Nasadil vlastní malware, který způsobil pád serverů, a nainstaloval tzv. „kill switch“, jenž po jeho propuštění zablokoval přístup tisícům zaměstnanců. Tato sabotáż výrazně narušila firemní provoz a síťovou infrastrukturu.

---

Vývojář ransomwaru LockBit vydán do Spojených států

Rostislav Panev, dvojí občan Ruské federace a Izraele, byl vydán do USA, kde je obžalován z vývoje malwaru pro skupinu LockBit. V Izraeli byl zatčen v srpnu 2024. Panev údajně pomáhal vytvářet a udržovat malware LockBit v letech 2019 až 2024. Tato skupina zaútočila na více než 2 500 obětí ve 120 zemích, přičemž výkupné činilo nejméně 500 milionů dolarů a způsobené škody se vyšplhaly do miliard. Panevova role spočívala v kódování a údržbě LockBit malwaru, včetně nástrojů k deaktivaci antivirových programů a k distribuci malwaru v sítích obětí. Důkazy na jeho počítači ho spojují s infrastrukturou skupiny a komunikací s jejím hlavním administrátorem. Panev přiznal, že za svoji práci pro LockBit dostával pravidelně platby v kryptoměně.

Důstojník britského Národního kriminálního úřadu (NCA), Paul Chowles, čelí 15 obviněním souvisejícím s údajnou krádeží Bitcoinů v hodnotě téměř 60 000 liber během vyšetřování online organizovaného zločinu. Incident zahrnoval krádež 50 Bitcoinů v roce 2017, kdy měla tato kryptoměna hodnotu přibližně 60 000 liber. Dvaačtyřicetiletý Chowles z Bristolu byl obviněn v 11 případech z utajení nebo konverze majetku pocházejícího z trestné činnosti, ve třech případech z nabytí nebo držení takového majetku a v jednom případě z krádeže.