Vítejte u Security Sunday – 15. Týden. Náš týdenní přehled událostí ve světě kybernetické bezpečnosti (08.04 – 14.04 2024).
Shromažďujeme pozoruhodné incidenty a zprávy o zranitelnostech z minulého týdne.
Kybernetičtí zločinci používají obfuskaci v phishingových kampaních s fakturami
Výzkumníci odhalili řadu chytrých útoků využívajících zdánlivě neškodné faktury k šíření malware. V této podvodné kampani jsou do phishingových emailů vloženy škodlivé soubory ve formátu SVG, které jsou vytvořeny tak, aby působily jako neškodný obsah. Existuje riziko, že se po otevření přílohy rozběhne složitý infekční proces, který může infikovat počítač oběti různými typy malware. Využívajíc toto schéma phishingu zaměřeného na faktury, identifikoval tým výzkumníků společnosti FortiGuard Labs, předního týmu pro výzkum kybernetické bezpečnosti, řadu malware. Mezi škodlivý payload patří RATy jako Venom RAT, Remcos RAT, NanoCore RAT a XWorm, stejně jako další Remote Access Trojans (RATs), které jsou známy pro své zneužívání hackery. Navíc arzenál útoků zahrnuje krádež peněženek pro kryptoměny, který umožňuje útočníkům krást digitální měny od uživatelů bez jejich vědomí.
V technické zprávě zveřejněné společností Fortinet FortiGuard Labs se uvádí, že emaily obsahují soubory ve formátu Scalable Vector Graphics (SVG), aktivují infekční procesy po kliknutí. Je zvlášť pozoruhodné, že modus operandi využívá záštitu malwaru BatCloak a ScrubCrypt k doručení malware jako zášifrované hromadné skripty prostřednictvím obfuskaci malwaru BatCloak.
Nástroj známý jako BatCloak, který byl k dispozici k prodeji v roce 2022, má své kořeny v Jlaive, nástroji vyvinutém organizací. Slouží hlavně k načtení dalšího stupně payloadu obcházením tradičních detekčních mechanismů. Složitost útoku spočívá v jeho vícevrstvém přístupu.
Hackeři zneužívají nedostatky v Palo Alto k útokům
Hackeři zneužívají nedávné objevené bezpečnostní mezery v softwaru Palo Alto Networks PAN-OS a provádějí útoky již od 26. března 2024, tedy téměř tři týdny před tím, než se zranitelnost dostala na veřejnost. Divize Unit 42 společnosti Palo Alto Networks sleduje tyto aktivity pod názvem Operace MidnightEclipse a připisuje je jednomu aktérovi, jehož původ není znám. Bezpečnostní mezera, označovaná jako CVE-2024-3400 (CVSS skóre: 10.0), umožňuje neautorizovaným útočníkům spustit libovolný kód s root oprávněními na firewallu. Tato zranitelnost postihuje pouze konfigurace firewallů PAN-OS 10.2, PAN-OS 11.0 a PAN-OS 11.1, které mají povolenou bránu GlobalProtect a sběr zařízení.
Hackeři využívají chybu k vytvoření cron úlohy, která každou minutu stahuje příkazy z externího serveru („172.233.228[.]93/policy“ nebo „172.233.228[.]93/patch“), jež jsou následně provedeny pomocí shellu bash. K zajištění přístupu k serveru řízení a řízení (C2) zabezpečili útočníci ručně seznam řízení přístupu (ACL) tak, aby mohl být přístupný pouze z komunikujícího zařízení. Přesný účel příkazů není znám, ale je podezření, že URL slouží jako doručovací prostředek pro Python backdoor na firewallu, který Volexity objevil využit v divočině dne 10. dubna 2024. Tento backdoor je hostován na jiném serveru („144.172.79[.]92“ a „nhdata.s3-us-west-2.amazonaws[.]com“). Python soubor je navržen tak, aby napsal a spustil další Python skript („system.pth“), který pak spouští vnořenou komponentu backdooru, zodpovědnou za provádění příkazů útočníka. Výsledky operace jsou zapsány do samostatného souboru „bootstrap.min.css.“
Windows systémy zranitelné vůči útokům kvůli kritické chybě v Rustu
Objevila se závažná bezpečnostní mezera v rámci standardní knihovny jazyka Rust, představující hrozbu zejména pro uživatele Windows tím, že umožňuje potenciální útoky s vložením příkazů. Označená jako CVE-2024-24576 a nesoucí maximální skóre 10.0 podle Common Vulnerability Scoring System (CVSS) je tato zranitelnost významná. Je však třeba poznamenat, že ovlivňuje pouze situace, kdy jsou volány soubory dávkových příkazů v prostředí Windows s nedůvěryhodnými argumenty. Pracovní skupina Rust Security Response ve sdělení vydaném 9. dubna 2024 zdůraznila, že chyba vzniká v důsledku nedostatků v zpracování argumentů standardní knihovny Rustu při spouštění souborů dávkových příkazů (s příponami .bat a .cmd) v systému Windows prostřednictvím rozhraní Command API. V podstatě tato chyba umožňuje útočníkům provádět libovolné shell příkazy obcházením existujících mechanismů úniku.
Tato zranitelnost postihuje všechny verze Rustu před 1.77.2 a byla původně objevena a nahlášena bezpečnostním výzkumníkem RyotaK do CERT Coordination Center (CERT/CC). RyotaK, který zranitelnost pojmenoval „BatBadBut,“ zdůraznil, že ovlivňuje více programovacích jazyků a vychází ze způsobu, jakým tyto jazyky využívají funkci CreateProcess ve Windows a zahrnují escape mechanismy pro argumenty příkazů. Podle CERT/CC tato zranitelnost poukazuje na širší problém, kdy programovací jazyky postrádají robustní ověřovací mechanismy pro provádění příkazů v prostředí Windows. Tento nedostatek potenciálně umožňuje útočníkům provádět přestrojený libovolný kód jako argumenty příkazů. Rozsah dopadu zranitelnosti závisí na implementaci zranitelných programovacích jazyků nebo modulů. Vzhledem k tomu, že ne všechny programovací jazyky tuto chybu napravily, vývojářům se doporučuje postupovat opatrně při provádění příkazů na platformách Windows.
Aby se snížilo riziko nechtěného spouštění souborů dávkových příkazů, RyotaK doporučuje přesunout tyto soubory do adresáře, který není zahrnut v proměnné prostředí PATH. Tím by se soubory dávkových příkazů spouštěly pouze při specifikaci jejich úplné cesty, čímž by se snížila pravděpodobnost nečekaného spuštění.
Hackeři manipulují vyhledáváním na GitHubu k šíření malwaru
Bezpečnostní firma Checkmarx varuje, že byli pozorováni útočníci manipulující výsledky vyhledávání na GitHubu s cílem infikovat vývojáře trvalým malwarem. V rámci kampaně útočníci vytvářeli falešné repozitáře s populárními názvy a tématy a poté zvyšovali jejich umístění ve vyhledávání pomocí automatizovaných aktualizací a falešných hvězd. Aby se vyhnuli odhalení, útočníci skryli uvnitř souborů projektů Visual Studio škodlivý payload vedoucí k exekuci malwaru podobného klipperu Keyzetsu, který cílí na kryptoměnové peněženky. Malware, nasazený trvale na strojích s Windows, je nastaven tak, aby se spouštěl každý den.
Bylo zjištěno, že útočníci zneužívali GitHub Actions k automatické aktualizaci repozitářů tím, že prováděli drobné úpravy souboru s názvem „log“, což uměle zvyšuje viditelnost repozitářů a zvyšuje šance uživatelů, kteří je navštíví. Kromě toho bylo zjištěno, že útočníci přidávali falešné hvězdy svým repozitářům z několika falešných účtů, aby manipulovali uživatele do myšlenky, že repozitáře jsou široce populární a spolehlivé. „Důvěřiví uživatelé, často přitahovaní k nejlepším výsledkům vyhledávání a repozitářům s zdánlivě pozitivním zájmem, jsou pravděpodobnější, že kliknou na tyto repozitáře a použijí kód nebo nástroje, které poskytují, aniž by věděli o skrytých nebezpečích, která v nich číhají,“ zdůrazňuje Checkmarx.
Payload kontroluje IP adresu systému, aby určil, zda se nachází v Rusku, stáhne další obsah z konkrétních URL na základě země oběti, stáhne šifrované soubory z URL a extrahuje a spouští jejich obsah. Dne 3. dubna útočníci začali používat novou URL vedoucí k archivovanému spustitelnému souboru. Aby se vyhnuli detekci bezpečnostními řešeními, naplnili spustitelný soubor mnoha nulami, což brání jeho skenování. „Výsledky naší analýzy tohoto malwaru naznačují, že malware obsahuje podobnosti s malwarem ‚Keyzetsu clipper‘, relativně novým přírůstkem do rostoucího seznamu klipperů kryptoměnových penězenek běžně distribuovaných prostřednictvím pirátského softwaru,“ uvádí Checkmarx.
Tvůrce a prodejce Firebird RAT zatčeni v USA a Austrálii
Společná policejní operace mezi Australskou federální policií (AFP) a FBI vedla k zatčení a obvinění dvou jednotlivců, kteří jsou podezřelí z vývoje a distribuce remote access trojského koně „Firebird“, později přejmenovaného na „Hive“.
Firebird/Hive nejsou mezi nejznámějšími a nejrozšířenějšími RATy, ale mohly stále ovlivnit bezpečnost uživatelů po celém světě. Firebird dříve disponoval speciální webovou stránkou, která ho propaguje jako nástroj pro vzdálenou správu. Nicméně, na domovské stránce byly funkce jako skrytý přístup, obnovení hesel z více prohlížečů a zvýšení oprávnění prostřednictvím exploitů, které sdělovaly zamýšlenou zprávu potenciálním kupcům. Policejní vyšetřování, které začalo v roce 2020, vedlo k zatčení nejmenovaného australského muže a Edmonda Chakhmakhchyana, obyvatele Van Nuys v Kalifornii, známého online jako „Corruption“.
Hacker tvrdí, že se podílel na úniku dat z Giant Tiger, uniklo 2,8 milionu záznamů
Kanadský maloobchodní řetězec Giant Tiger oznámil v březnu 2024 únik dat. Úročník nyní veřejně přiznal odpovědnost za únik dat a únik 2,8 milionu záznamů na fóru, které tvrdí, že jsou zákazníky Giant Tiger. Služba monitorování úniků dat HaveIBeenPwned přidala uniklou databázi na své webové stránky, aby uživatelé mohli snadno zkontrolovat, zda jejich informace byly ohroženy. Řetězec slevových obchodů provozuje více než 260 obchodů a zaměstnává 8 000 lidí po celé Kanadě. Online uniklo 2,8 milionu záznamů zákazníků.
Hacker za příspěvkem na fóru tvrdí, že nahrál „plnou“ databázi záznamů o zákaznících Giant Tiger ukradených v březnu 2024. „V březnu 2024 utrpěl kanadský řetězec slevových obchodů Giant Tiger Stores Limited… únik dat, který vystavil přes 2,8 milionu klientů,“ uvedl. „Únik zahrnuje přes 2,8 milionu jedinečných emailových adres, jmen, telefonních čísel a fyzických adres.“