Vítejte u Security Sunday – 16. Týden. Náš týdenní přehled událostí ve světě kybernetické bezpečnosti (15.04 – 20.04 2024).
Shromažďujeme pozoruhodné incidenty a zprávy o zranitelnostech z minulého týdne.
Kritická zranitelnost v PuTTY odhaluje privátní klíče
V populárním klientovi SSH PuTTY (verze 0.68 až 0.80) byla objevena závažná bezpečnostní chyba (CVE-2024-31497), která má dopad na celou řadu softwaru včetně FileZilla, WinSCP, TortoiseGit a TortoiseSVN. Tato chyba drasticky oslabuje soukromé klíče používané v algoritmu ECDSA s křivkou NIST P-521, takže útočník je muže snadno obnovit. Tuto chybu objevili bezpečnostní výzkumníci Fabian Bäumer a Marcus Brinkmann z Ruhr University Bochum.
Zranitelnost CVE-2024-31497 spočívá ve způsobu, jakým PuTTY generuje náhodné hodnoty používané v procesu podepisování ECDSA. V konfiguraci NIST P-251 je náhodnost silně zkreslená. Útočníci mohou tuto chybu využít k rekonstrukci privátního klíče.
Zranitelný je každý, kdo používá postižené verze PuTTY nebo související produkty, jako je Filezilla. Útočníci mohou získat potřebné podpisy krátkým napadením SSH serveru, ke kterému se připojujete, nebo potenciálně z veřejných zdrojů, kde jste klíč použili (například v systému Git).
Neaktualizované routery TP-Link Archer AX21 aktivně zapojovány do botnetu pomocí CVE-2023-1389
Odborníci na kybernetickou bezpečnost ze společnosti FortiGuard Labs detekovali novou vlnu útoků zaměřenou na známou zranitelnost v routerech TP-Link Archer AX21. Navzdory rok staré opravě hackeři zneužívají neopravená zařízení.
Jádrem útoků je bezpečnostní chyba označená jako CVE-2023-1389. Tato zranitelnost, nalezená ve webovém rozhraní pro správu routeru TP-Link Archer AX21, umožňuje hackerům injektovat škodlivý kód, aniž by potřebovali heslo routeru.
Výzkumníci společnosti FortiGuard Labs analyzovali několik útočících skupin malwaru:
- AGoent: Tento malware naváže tajné spojení se svým C2 serverem, náhodně vygeneruje uživatelská jména a hesla vytvořená na napadeném routeru a odesílá je na C2 server
- Varianta Gafgyt: Tento botnet se zaměřuje na útoky typu DDoS (Distributed Denial of Service).
- Varianty Moobot a Mirai: Tyto botnety se specializují na šíření infekce na ještě více zařízení a mohou pak podle pokynů útočníků provádět různé útoky.
Pokud vlastníte zařízení TP-Link Archer AX21, vyhledejte na oficiálních stránkách podpory společnosti TP-Link aktualizace firmwaru a ihned aktualizujte.
Reklamní kampaň na Google nabízí falešný Advanced IP Scanner s malwarem MadMxShell
V období od listopadu 2023 do března 2024 bylo zaregistrováno 45 domén které využívají typosquatting a maskují se za stránky jako Advanced IP Scanner, Angry IP Scanner, IP scanner PRTG a ManageEngine. Advanced-ip-scanner.zip který útočníci umístili na falešné stránky obsahuje soubor „IVIEWERS.dll a spustitelný soubor Advanced-ip-scanner.exe. Při instalaci se rozbalí dva další soubory – OneDrive.exe a Secur32.dll. OneDrive.exe je pak zneužit k sideloadu Secur32.dll a nakonec ke spuštění backdooru s shellkódem, ale ne dříve, než je v hostiteli nastavena perzistence pomocí naplánované úlohy. Také dojde k vypnutí antiviru Microsoft Defender.
Backdoor – pojmenovaný podle toho, že využívá dotazy na DNS MX pro komunikaci s C2 serverem – je určen ke shromažďování systémových informací na napadeném systému. Nasbíraná data odesílá na server C2 server v paketu pro výměnu pošty DNS (MX) a přijímá příkazy zakódované v paketu odpovědi. „Kromě toho backdoor používá úhybné techniky, jako je antidumping, aby zabránil analýze paměti a ztížil forenzní bezpečnostní řešení.“
V současné době není známo, odkud provozovatelé malwaru pocházejí a jaké jsou jejich záměry.
Útočníci se vydávají za zaměstnance LastPass
Společnost LastPass varuje před škodlivou kampaní zaměřenou na její uživatele pomocí phishingové sady CryptoChameleon, která je spojována s krádežemi kryptoměn. CryptoChameleon je pokročilá phishingová sada, která byla detekována na začátku letošního roku a která používá na míru vytvořené stránky jednotného přihlášení (SSO). Podle výzkumníků společnosti Lookout, která se zabývá mobilním zabezpečením, se kampaně využívající tuto phishingovou sadu zaměřovaly na kryptoměnové platformy Binance, Coinbase, Kraken a Gemini, a to pomocí stránek, které se vydávaly za Okta, Gmail, iCloud, Outlook, Twitter, Yahoo a AOL.
Společnost LastPass během svého vyšetřování zjistila, že její služba byla nedávno přidána do sady CryptoChameleon a phishingová stránka byla umístěna na doméně „help-lastpass[.]com“. Uživatelům oblíbené služby pro správu hesel se doporučuje, aby si dali pozor na podezřelé telefonáty, zprávy nebo e-maily, které tvrdí, že pocházejí od společnosti LastPass, a vyzývají k okamžité akci.
Populární textový editor Notepad++ kompromitován při malwarovém útoku „WikiLoader“
Bezpečnostní výzkumníci ze střediska AhnLab Security Emergency Response Center (ASEC) odhalili sofistikovanou malwarovou kampaň zaměřenou na textový editor Notepad++.
Jádro útoku nazvaného „WikiLoader“ spočívá v technice známé jako DLL hijacking. Útočníci skrytě upravili výchozí zásuvný modul Notepad++ „mimeTools.dll“ tak, aby při každém spuštění textového editoru spustil škodlivý kód. Vzhledem k tomu, že tento doplněk je dodáván s každou instalací programu Notepad++, uživatelé nevědomky spustí infekci, jakmile tento software použijí. Dále tu máme soubor maskovaný jako neškodný certifikát „certificate.pem“ který maskuje zašifrovaný shellcode, tedy počáteční fázi útoku. Složitost se zvyšuje, když malware přepíše kód v dalším zásuvném modulu „BingMaps.dll“ a vloží vlákno do jádra procesu systému Windows „explorer.exe“. Tím je zajištěna perzistence a útok je obtížněji odhalitelný. Malware aktivně vyhledává procesy běžně používané k analýze. Pokud je nějaký spuštěn, okamžitě se vypne, aby se vyhnul detekci.
Útočníci kteří stojí za WikiLoaderem, mají jasný cíl, připojit napadený počítač k C2 serveru, který se chytře maskuje jako přihlašovací stránka WordPressu, ze kterého se stáhne výsledný malware. Přesné schopnosti tohoto malwaru ještě nejsou zcela odhaleny.
