Týdenní přehled kybernetické bezpečnosti: 28. března 2025
Google opravuje zero-day zranitelnost prohlížeče Chrome zneužívanou útočníky
Google vydal mimořádné bezpečnostní aktualizace, aby vyřešil kritickou zranitelnost ve svém prohlížeči Chrome. Tato chyba, sledovaná pod označením CVE-2025–2783, je aktivně zneužívána v reálném prostředí (in the wild). Podle zpráv byla použita v sofistikovaných a cílených kyberšpionážních útocích, pravděpodobně organizovaných skupinou APT (Advanced Persistent Threat). V rámci těchto útoků se oběti nakazily po kliknutí na škodlivý odkaz vložený do phishingového e-mailu. Phishingové e-maily byly zacíleny na organizace v Rusku, včetně médií, vzdělávacích institucí a vládních subjektů.
Kromě toho Mozilla varovala uživatele Windows před obdobnou zranitelností, vedenou jako CVE-2025–2857. Jedná se o chybu v ochraně sandboxu ve Firefoxu, kterou může vzdálený útočník zneužít k tomu, aby oběť nalákal na speciálně vytvořenou webovou stránku, čímž obejde omezení sandboxu a spustí libovolný kód v systému.
Zero-day zranitelnost v MMC zneužita v útocích EncryptHub napojených na Rusko
Výzkumníci ze společnosti Trend Micro spojili nedávno opravenou zero-day zranitelnost (CVE-2025–26633) s kampaní ruského aktéra Water Gamayun (známého též jako EncryptHub či Larva-208), která zneužívá rámec Microsoft Management Console (MMC). Útok, nazývaný „MSC EvilTwin“, používá soubory .msc a cestu Multilingual User Interface Path (MUIPath) k tomu, aby stahoval a spouštěl škodlivé payloady, udržoval perzistenci a kradl citlivá data z kompromitovaných systémů.
Ve dalších zprávách výzkumníci společnosti Silent Push odhalili phishingovou kampaň zaměřenou na Rusy sympatizující s obranou Ukrajiny. Útočníci využívají lákadel na webových stránkách k získávání osobních informací. Vzhledem k tomu, že v Rusku jsou protirežimní aktivity nelegální, účastníci takové činnosti jsou často zatýkáni a obviněni. Kampaň je pravděpodobně prováděna ruskými zpravodajskými službami nebo podobně zaměřeným aktérem. Skládá se ze čtyř hlavních phishingových clusterů, které se vydávají za CIA, Ruský dobrovolnický sbor, Legion Liberty a ukrajinskou zpravodajskou službu obrany „Chci žít“. Všechny clustery mají stejný cíl: sbírat osobní údaje obětí ve prospěch hrozbychtivého aktéra.
Nové vyšetřování společnosti DomainTools Investigations (DTI) odhalilo rozsáhlou phishingovou kampaň zaměřenou na subjekty z oblasti obrany a leteckého průmyslu, která by mohla souviset s kybernetickou špionáží spojenou s válkou na Ukrajině. DTI zjistila, že kampaň zahrnuje poštovní servery provozující podvržené (spoofované) domény, které napodobují legitimní subjekty v obranném, leteckém a IT sektoru. Tyto domény hostují falešné přihlašovací stránky sloužící ke krádeži přihlašovacích údajů a jejich pravděpodobným cílem je shromažďovat zpravodajské informace související s probíhajícím konfliktem. Identita útočníka stojícího za kampaní zatím není známá.
Výzkumníci ze společnosti ESET odhalili novou kampaň čínsky orientované skupiny FamousSparrow APT, o níž se předpokládalo, že je od roku 2022 neaktivní. Tato kampaň cílí na organizace ve Spojených státech a Mexiku. Vědci objevili dvě dosud nezdokumentované verze vlastního backdooru této skupiny zvaného „SparrowDoor“, které přinášejí vylepšení architektury i funkčnosti. Pozorovaná kampaň je také prvním případem, kdy skupina použila backdoor ShadowPad, jejž vyžívají výhradně čínsky orientovaní aktéři.
RedCurl, ruskojazyčný útočník známý také jako Earth Kapre nebo Red Wolf, nedávno změnil taktiku nasazením nového ransomwaru nazvaného „QWCrypt“. Tento ransomware útočí na hypervisory a šifruje virtuální stroje (VM), čímž výrazně poškozuje virtualizovanou infrastrukturu napadených organizací. Dosud neexistují důkazy o tom, že by RedCurl používal ukradená data k vydírání. Tato skupina se zaměřovala především na organizace v USA, přičemž další oběti byly zaznamenány v Německu, Španělsku a Mexiku.
Společnost Sygnia zveřejnila podrobnou analýzu vysoce perzistentní a nenápadné kyberšpionážní kampaně vedené čínsky napojeným aktérem „Weaver Ant“, zaměřené na významného poskytovatele telekomunikačních služeb v Asii. Skupina použila kombinaci webových shellů a tunelovacích metod k udržení dlouhodobé přítomnosti v síti. Nasadila šifrovaný webový shell China Chopper, což je nástroj tradičně využívaný čínskými útočníky, který umožnil skupině Weaver Ant vzdáleně spouštět příkazy, spravovat soubory a exfiltrovat data.
Rakouská Státní bezpečnostní a zpravodajská služba (DSN) oznámila rozbití sítě, která údajně organizovala rozsáhlou dezinformační kampaň ve prospěch Ruska s cílem manipulovat veřejným míněním v Rakousku. Podle DSN byla hlavním účelem této operace snaha ovlivnit názory veřejnosti a politické postoje tak, aby poškodily Ukrajinu a podpořily Rusko.
Raspberry Robin se vyvíjí ve službu pro prodej počátečního přístupu
Výzkumníci objevili síť téměř 200 jedinečných domén pro příkaz a řízení (C2) spojených se známým malwarem Raspberry Robin, které se používají při útocích, včetně distribuce několika kmenů malwaru. Raspberry Robin, někdy nazývaný také Roshtyak nebo Storm-0856, je hrozbou přítomnou již od roku 2019. Původně byl navržen k šíření různých škodlivých payloadů, nicméně v současnosti funguje také jako zprostředkovatel počátečního přístupu (IAB) pro více zločineckých skupin, z nichž mnohé mají vazby na ruský kyberzločin. Postupem času se jeho pole působnosti rozšířilo a nyní dokáže doručovat i široce známé hrozby, například SocGholish, Dridex, LockBit, IcedID, BumbleBee či TrueBot.
Malware CoffeeLoader propojen s operacemi SmokeLoader
Analytici ze Zscaler ThreatLabz uvedli, že objevili novou rodinu malwaru pojmenovanou CoffeeLoader, jejímž hlavním úkolem je stahovat a spouštět další (tzv. druhostupňové) payloady. CoffeeLoader využívá různé techniky k obcházení zabezpečení, například packer běžící na GPU, falšování zásobníku volání (call stack spoofing), obfuskaci za pomoci funkcí pro uspání (sleep obfuscation) a vláken (fibers) v systému Windows. Šíří se prostřednictvím SmokeLoaderu a obě rodiny malwaru vykazují podobné chování.
Výzkumníci z ReversingLabs také objevili škodlivý balíček v repozitáři npm s názvem „ethers-provider2“, který upravuje legitimní balíček „ethers“ tak, aby otevřel reverzní shell, jenž je obtížné zlikvidovat. Balíček „ethers-provider2“ obsahuje downloader, který instaluje skript neustále ověřující přítomnost hojně používaného balíčku „ethers“. „Ethers“ je legitimní knihovna pro práci s blockchainem Etherea a má více než milion stažení týdně na npm.
Zločinecká skupina provozující Medusa ransomware podle nové zprávy bezpečnostní společnosti Elastic Security Labs využívá škodlivý ovladač s názvem „AbyssWorker“ k vypínání bezpečnostních nástrojů na napadených systémech. Ovladač, sledovaný pod názvem smuol.sys, se vydává za legitimní ovladač CrowdStrike Falcon a je podepsán zneplatněným certifikátem čínské společnosti. Kromě toho je chráněn nástrojem VMProtect, který obfuskuje kód a komplikuje analýzu pro výzkumníky.
Společnost KELA, zabývající se kybernetickým zpravodajstvím, uvedla, že vypátrala skutečné identity osob přezdívaných Pryx a Rey, tedy hlavních postav stojících za kyberzločineckými aktivitami skupiny Hellcat. Hellcat (dříve známá jako „ICA Group“), nechvalně proslulá hackerská skupina, se objevila koncem roku 2024 a získala pozornost kvůli útokům na velké korporace, mezi něž patří Schneider Electric, Telefónica a Orange Romania.
PJobRAT se vrací a znovu útočí přes chatovací aplikace
Výzkumníci ze Sophos X-Ops objevili novou kyberšpionážní kampaň využívající Android RAT (Remote Access Trojan) nazvaný PJobRAT. Tento malware, dříve mířený na indický vojenský personál, se nyní používá v útocích na tchajwanské uživatele. PJobRAT se maskuje jako aplikace pro okamžité zasílání zpráv „SangaalLite“ a „CChat“ a je navržen k získávání citlivých informací z infikovaných zařízení. Falešné aplikace byly distribuovány prostřednictvím kompromitovaných webů na WordPressu.
Nová služba pro útoky hrubou silou Atlantis AIO útočí na více než 140 online platforem
Na kyberkriminální scéně se objevila nová platforma s názvem „Atlantis AIO“, která poskytuje zločincům automatizovanou službu pro masivní útoky hrubou silou (credential stuffing). Tato služba cílí na více než 140 internetových platforem, včetně e-mailových služeb, e-shopů, bank a poskytovatelů VPN, a umožňuje kyberzločincům efektivněji převzít kontrolu nad účty obětí s využitím ukradených přihlašovacích údajů.
Platforma phishing-as-a-service (PhaaS), kterou provozuje aktér přezdívaný „Morphing Meerkat“, generuje phishingové kity, které napodobují více než 100 známých značek. Využívá přitom záznamy DNS typu MX (mail exchange) k doručení falešných přihlašovacích stránek. Tato služba nabízí funkce, jako je rozesílání velkého objemu spamu, obcházení e-mailových bezpečnostních opatření a obfuskaci. Podle společnosti Infoblox aktér zneužívá slabiny typu open redirect v reklamní infrastruktuře, používá kompromitované domény k rozesílání phishingových e-mailů a k rozdělování odcizených přihlašovacích údajů přes e-mail a chatovací služby.
Pracovník DOGE napojen na kyberzločineckou skupinu
Zaměstnanec organizace DOGE, jménem Edward „Big Balls“ Coristine, provozoval společnost DiamondCDN, která poskytovala hostingové služby pro kyberzločinecké operace, včetně skupiny známé jako EGodly.
Britská Národní kriminální agentura (NCA) varovala před narůstající hrozbou z internetových sítí dospívajících chlapců, označovaných jako „Com networks“. Tyto skupiny, složené převážně z anglicky mluvících kluků, se dopouštějí škodlivých a kriminálních aktivit, mezi něž patří kyberkriminalita, podvody, extremismus a zneužívání dětí. NCA uvádí výrazný nárůst těchto případů, kdy počet známých incidentů vzrostl od roku 2022 do roku 2024 šestinásobně. Tyto sítě jsou známé sdílením sadistického a misogynního materiálu, přičemž oběti jsou často stejně mladé jako pachatelé. V některých případech byly mladé dívky přinuceny k sebepoškozování nebo k poškozování dalších osob.
Ruské úřady zatkly tři jedince v oblasti Saratova, kteří jsou podezřelí z vývoje bankovního trojanu Mamont pro zařízení s Androidem. Osoby, jejichž totožnost nebyla zveřejněna, jsou spojovány s více než 300 kyberzločiny. Úřady zabavily různé položky včetně počítačů, paměťových zařízení, komunikačních prostředků a platebních karet. Malware Mamont se šíří přes kanály na Telegramu a je maskován za legitimní aplikace či video soubory. Po instalaci umožňuje zločincům krást finanční prostředky z bankovních účtů obětí a získávat citlivé údaje. Malware se také dokáže šířit mezi kontakty infikované oběti.
Žádné názory
ČLÁNKY DO MAILU