Vítejte u Security Sunday – Week 45. našeho týdenního shrnutí ze světa cybersecurity (6. 11. – 12. 11. 2023).
Shromažďujeme pozoruhodné zprávy o incidentech a zranitelnostech z minulého týdne.
Shrnutí informací o narušení bezpečnosti společnosti Okta
Společnost Okta uvedla, že k nedávnému narušení bezpečnosti, které vedlo k napadení některých jejích zákazníků, došlo pravděpodobně tehdy, když se zaměstnanec přihlásil k osobnímu účtu Google pomocí firemního notebooku.
Společnost Okta zveřejnila, že kybernetické útoky zaměřené na zákazníky, jako jsou společnosti 1Password, BeyondTrust a Cloudflare, vedly k neoprávněnému přístupu k interním souborům. Toto narušení se týkalo celkem 134 zákazníků a mohlo ohrozit citlivé informace.
„Během našeho vyšetřování společnost Okta Security zjistila, že se zaměstnanec přihlásil ke svému osobnímu profilu Google v prohlížeči Chrome na svém notebooku spravovaném společností Okta. Uživatelské jméno a heslo servisního účtu bylo uloženo do osobního Google účtu zaměstnance. Nejpravděpodobnější příčina je kompromitace osobního účtu Google nebo osobního zařízení zaměstnance,“ napsal ředitel zabezpečení společnosti Okta.
Před zablokováním přístupu se kyberzločincům podařilo získat informace od 134 zákazníků, jak zveřejnila společnost Okta. Mezi ukradenými údaji bylo několik tokenů relací, z nichž některé byly následně použity při kybernetických útocích proti zákazníkům společnosti Okta.
Jeden ze zákazníků, společnost BeyondTrust Inc. zabývající se kybernetickou bezpečností, oznámil, že hackeři využili ukradený session token k vytvoření účtu správce v jeho síti.
Link: https://www.cysecurity.news/2023/11/unpacking-latest-okta-breach-what-all.html
Webové stránky Cloudflare a OpenAI zasaženy DDoS útokem, ke kterému se přihlásila skupina Anonymous Sudan
Společnost Cloudflare zaznamenala DDoS útok, který na několik minut způsobil přerušované problémy s připojením k webu cloudflare.com. Tento DDoS útok neovlivnil žádnou službu ani schopnost produktu, který společnost Cloudflare poskytuje a tento incident neměl dopad na žádné zákazníky.
Webové stránky společnosti Cloudflare jsou záměrně umístěny na oddělené infrastruktuře a nemohou ovlivnit služby společnosti Cloudflare. řekl mluvčí společnosti CloudFlare
Skupina Anonymous Sudan (známá také jako Storm-1359) se také přihlásila k útoku, který ve středu vyřadil z provozu ChatGPT a k dalším útokům, které v červnu ovlivnily služby Outlook.com, OneDrive a portál Azure společnosti Microsoft.
Ačkoli skupina tvrdí, že se zaměřuje na země a organizace zasahující do súdánské politiky, někteří analytici spojují skupinu spíše s Ruskem.
Shrnutí herních hrozeb v roce 2023
V roce 2023 Kaspersky Lab zaznamenal alarmujících 4,076,530 pokusů o infekci desktopových zařízení, které ovlivnily 192,456 hráčů. Hlavními hrozbami byly Downloaders, Adware a Trojans, přičemž Downloaders tvořily 89.70% těchto hrozeb. Mezi nejvíce zneužívané tituly patřil Minecraft, který tvořil 70.29% všech detekcí, následovaný Robloxem a Counter-Strike: Global Offensive.
V období od července 2022 do července 2023 bylo detekováno 436,786 pokusů o infekci na mobilních zařízeních, které postihly 84,539 uživatelů. Hráči Minecraftu byli opět hlavním terčem útoků, čelící 90.37% všech útoků na mobilní platformě, následovaný titulem PUBG.
Nejčastějším zdrojem infekce byly neoficiální módy, nebo cracky herních titulů.
Link: https://securelist.com/game-related-threat-report-2023/110960/
Chyba společnosti Atlassian eskalovala na score 10, všechny neopravené instance jsou zranitelné
Aktivní ransomware útoky na neopravenou aplikaci Atlassian Confluence Data Center a Server zvýšily skóre CVSS související s zranitelností CVE-2023-22518 z původních 9,1 na 10, což je nejkritičtější hodnocení na stupnici.
Zranitelnost Atlassian Confluence byla poprvé zveřejněna 31. října a od 3. listopadu bylo pozorováno její aktivní zneužívání.
Tato chyba umožňuje neautentifikovanému útočníkovi resetovat Confluence a vytvořit účet správce instance. Pomocí tohoto účtu pak může útočník provádět všechny akce, které jsou dostupné správci, což vede k úplné kompromitaci.
Falešná aplikace Ledger Live v Microsoft Store ukradla 768 000 dolarů v kryptoměnách
Společnost Microsoft nedávno odstranila ze svého obchodu podvodnou aplikaci Ledger Live pro správu kryptoměn poté, co několik uživatelů přišlo o aktiva v kryptoměnách v hodnotě nejméně 768 000 dolarů.
Zdá se, že falešná aplikace, publikovaná pod názvem Ledger Live Web3, se v obchodě Microsoft Store vyskytovala od 19. října, ale krádež kryptoměn začala být hlášena teprve před několika dny.
Blockchainový nadšenec ZachXBT upozornil 5. listopadu kryptoměnovou komunitu na podvodnou aplikaci Ledger Live v Microsoft Store, která uživatelům, kteří si ji nainstalovali, ukradla téměř 600 000 dolarů.
Microsoft zareagoval ještě ten dne a aplikaci z obchodu odstranil, ale podvodník již od obětí převedl více než 768 000 dolarů.
Podvodník nevynaložil mnoho úsilí na to, aby falešná aplikace Ledger Live vypadala legitimně.
Kromě popisu, který byl slovo od slova téměř celý zkopírován z legitimní aplikace v Apple Store, měla aplikace pouze jedno pětihvězdičkové hodnocení a podvodník použil jako název vývojáře „Official Dev“.
Ať už za podvodem stojí kdokoli, vytvořil pro aplikaci také stránku využívající platformu pro správu dokumentace GitBook. Stránka propaguje aplikaci jako oficiální produkt společnosti Ledger, který je k dispozici prostřednictvím obchodu Microsoft Store, ačkoli neodpovídá vzhledu legitimní stránky Ledger Live.
Vzhledem ke všem signálům, které upozorňují na možný podvod, není jisté, jak se podvodníkovi podařilo aplikaci zveřejnit v obchodě Microsoft Store. ZachXBT se domnívá, že proces prověřování není dostatečně důkladný.
MuddyC2Go: Nový C2 framework, který íránští hackeři používají proti Izraeli
Bylo zjištěno, že íránští státní aktéři používají v rámci útoků na Izrael dosud nezdokumentovaný framework pro řízení a kontrolu (C2) nazvaný MuddyC2Go.
„Webová komponenta tohoto frameworku je napsána v programovacím jazyce Go,“ uvedl bezpečnostní výzkumník společnosti Deep Instinct v technické zprávě zveřejněné ve středu.
Nástroj byl připsán MuddyWater, íránské státem sponzorované hackerské skupině, která je napojena na íránské ministerstvo pro zpravodajství a bezpečnost (MOIS).
Firma zabývající se kybernetickou bezpečností uvedla, že tento C2 framework mohl být aktérem hrozeb využíván od počátku roku 2020, přičemž nedávné útoky jej využívaly místo PhonyC2, což je další framework od společnosti MuddyWater.
Instalace softwaru pro vzdálenou správu otevírá cestu k doručení dalších užitečných SW, včetně PhonyC2. Nástroje vzdálené správy se distribuují pomocí zaheslovaných .zip archivů a obsahují spustitelný soubor.
„Tento spustitelný soubor obsahuje PowerShell skript, který se automaticky připojí k serveru C2 společnosti MuddyWater, čímž odpadá nutnost ručního spuštění operátorem,“ vysvětlil Kenin.
Link: https://thehackernews.com/2023/11/muddyc2go-new-c2-framework-iranian.html
Ransomware skupiny zneužívají Zero-Day zranitelnost v systému SysAid
Zneužití zero-day zranitelnosti, sledované jako CVE-2023-47246, bylo zřejmě poprvé zaznamenáno týmem pro sledování hrozeb společnosti Microsoft, který o zranitelnosti a útocích urychleně informoval společnost SysAid.
Společnost SysAid se o zero-day dozvěděla 2. listopadu a 8. listopadu oznámila vydání verze 23.3.36, která by měla zranitelnost opravit.
Kromě záplat se výrobce na svém blogu podělil o technické informace o pozorovaných útocích, včetně indikátorů kompromitace (IoC), a také o doporučení, jaké kroky by měli potenciálně zasažení zákazníci podniknout.
Link: https://www.securityweek.com/sysaid-zero-day-vulnerability-exploited-by-ransomware-group/
