Ruskem podporovaná skupina RomCom, je spojována se zneužitím dvou zero-day zranitelností, jejichž cílem je doručit do systémů stejnojmenný backdoor.
„Pro úspěšný útok stačí, aby oběť prohlížela webovou stránku obsahující exploit. Útočník pak může spustit libovolný kód – bez nutnosti interakce uživatele (zero click) – což v tomto případě vedlo k instalaci backdooru RomCom do počítače oběti.“ uvedla společnost ESET
Zranitelnosti, které skupina využívá jsou
- CVE-2024-9680 (CVSS skóre: 9,8) – zranitelnost typu use-after-free v komponentě Animation prohlížeče Firefox (opravena společností Mozilla v říjnu 2024).
- CVE-2024-49039 (skóre CVSS: 8,8) – Zranitelnost spočívající ve zvýšení oprávnění v plánovači úloh systému Windows (opraveno společností Microsoft v listopadu 2024).
RomCom, známý také pod názvy Storm-0978, Tropical Scorpius, UAC-0180, UNC2596 a Void Rabisu, má na svém kontě kybernetickou kriminalitu a špionážní operace nejméně od roku 2022.
V současné době není známo, jak se odkazy na falešnou webovou stránku šíří, ale bylo zjištěno, že exploit se spustí, pokud je stránka navštívena ze zranitelné verze prohlížeče Firefox.
Vašemu podniku dáváte vše.
Chráníte i jeho digitální život?
Zanechte nám svůj e-mail a my vám poradíme, jak zlepšit zabezpečení vaší společnosti.
Phishing jako služba: „Rockstar 2FA“ cílí na uživatele Microsoft 365
Výzkumníci v oblasti kybernetické bezpečnosti varují před škodlivými e-mailovými kampaněmi využívajícími sadu nástrojů phishing-as-a-service (PhaaS) nazvanou Rockstar 2FA s cílem ukrást přihlašovací údaje k účtu Microsoft 365.
„Tato kampaň využívá útok AitM [adversary-in-the-middle], který útočníkům umožňuje zachytit přihlašovací údaje uživatele a soubory cookie, což znamená, že i uživatelé s povoleným vícefaktorovým ověřováním (MFA) mohou být zranitelní,“ uvedli výzkumníci společnosti Trustwave Diana Solomonová a John Kevin Adriano.
Phishingový nástroj je inzerován prostřednictvím služeb, jako jsou Telegram a Mail.ru. Nástroj je možné pořídit v rámci předplatného za 200 dolarů na dva týdny (nebo 350 dolarů na měsíc), což umožňuje útočníkům s malými technickými znalostmi realizovat kampaně ve velkém měřítku.
Mezi propagované funkce Rockstar 2FA patří obcházení dvoufaktorového ověřování (2FA), sběr souborů cookie, ochrana proti botům, generování přihlašovacích stránek napodobující oblíbené služby a integrace Telegram botů.
E-mailové kampaně, které Trustwave odhalil, využívají různé vektory, jako jsou URL adresy, QR kódy a přílohy dokumentů, které jsou vloženy do zpráv odeslaných z kompromitovaných účtů nebo spamovacích nástrojů.
Společnost Trustwave také zaznamenala, že platforma využívá k umístění podvodných odkazů legitimní služby, jako je Atlassian Confluence, Google Docs Viewer, Microsoft OneDrive a OneNote
Zabbix opravuje kritickou zranitelnost SQL injection
Zabbix varuje uživatele před novou kritickou zranitelností, která může vést k úplnému převzetí systému.
Chyba SQL injection je označena jako CVE-2024-42327 (CVSS v3 skóre 9,9). Tuto zranitelnost může zneužít uživatelský účet bez oprávnění správce, stačí mít přístup k API rozhraní.
Společnost Zabbix uvedla, že postiženy jsou tři verze produktu, které by měly být aktualizovány na nejnovější dostupnou verzi:
- 0.0 – 6.0.31
- 4.0 – 6.4.16
- 0.0
Zero-Day zranitelnost ve službě Active Directory Certificate Services
Bezpečnostní výzkumníci ze společnosti TrustedSec odhalili kritickou zero-day zranitelnost sledovanou jako CVE-2024-49019 (CVSs v3 skóre 7,8), která se týká služby Active Directory Certificate Services (AD CS).
Tato chyba zneužívá funkci šablon certifikátů verze 1 a umožňuje útočníkům s právy k zápisu výrazně zvýšit oprávnění. Tato zranitelnost byla opravena v listopadovém Patch Tuesday, ale její důsledky si zaslouží bližší zkoumání.
„Útočník může vytvořit CSR tak, aby obsahoval zásady, které jsou upřednostňovány před nakonfigurovanými atributy Extended Key Usage“
Zranitelnost byla identifikována během penetračního testu. Tým TrustedSec následně testoval zranitelnost u více klientů a zjistil, že ohroženo je 10 z 15 prostředí. Zneužití této chyby by mohlo vést k udělení oprávnění Domain Admin.
