Vítejte u Bezpečnostní neděle – 3. týden. náš týdenní přehled ze světa kybernetické bezpečnosti (15. 1. – 21. 1. 2024).

Shromažďujeme pozoruhodné incidenty a zprávy o zranitelnostech z minulého týdne.

FBI a CISA vydávají varování před botnetem Androxgh0st Malware zaměřeným na přihlašovací údaje AWS a Microsoftu

FBI a CISA ve společném prohlášení vydaly varování týkající se malwaru Androxgh0st, v němž odhalily, že aktéři hrozby organizují botnet se zaměřením na krádež přihlašovacích údajů ke cloudovým službám AWS a Microsoft. Ukradené informace jsou pak zneužity k usnadnění doručení dalších škodlivých payloadov.

Tento botnet, který byl původně odhalen společností Lacework Labs v roce 2022, měl podle údajů společnosti Fortiguard Labs téměř před rokem kontrolu nad více než 40 000 zařízeními. Malware Androxgh0st aktivně vyhledává zranitelnosti související se vzdáleným spuštěním kódu (RCE), konkrétně se zaměřuje na CVE-2017-9841 (framework pro jednotkové testování PHPUnit), CVE-2021-41773 (server Apache HTTP) a CVE-2018-15133 (webový framework Laravel PHP).

Androxgh0st je malware napsaný v jazyce Python a zaměřuje se především na soubory .env obsahující citlivé údaje, včetně přihlašovacích údajů k významným aplikacím, jako jsou Amazon Web Services (AWS), Microsoft Office 365, SendGrid a Twilio z rámce webových aplikací Laravel. Může se pochlubit různými funkcemi schopnými zneužít protokol SMTP (Simple Mail Transfer Protocol), jako je skenování a zneužití API, spolu s nasazením webových shellů. Zcizené pověření společností Twilio a SendGrid umožňují aktérům hrozby provádět spamové kampaně vydávající se za napadené společnosti. Společnost Lacework uvádí, že Androxgh0st může v závislosti na svém použití plnit jednu ze dvou hlavních funkcí vůči získaným pověřením, přičemž nejčastěji je pozorována kontrola limitu odesílání e-mailů pro daný účet za účelem posouzení jeho vhodnosti pro rozesílání spamu. Útočníci navíc na napadených webových stránkách vytvářejí falešné stránky, které jim poskytují zadní vrátka pro přístup k databázím s citlivými informacemi a pro nasazení dalších škodlivých nástrojů důležitých pro jejich operace. Po úspěšném prolomení pověření AWS na zranitelných webových stránkách se provozovatelé Androxgh0st pokusí vytvořit nové uživatele a uživatelské zásady. Kromě toho využívají ukradené přihlašovací údaje ke spuštění nových instancí AWS pro skenování dalších zranitelných cílů na internetu.

Na základě důkazů o aktivním zneužívání přidala CISA zranitelnost CVE-2018-15133 do svého katalogu známých zranitelností a nařídila federálním agenturám, aby do 6. února zabezpečily své systémy proti těmto útokům. Kromě toho byly v listopadu 2021 do katalogu přidány zranitelnosti CVE-2021-41773 Apache HTTP Server path traversal a v únoru 2022 CVE-2017-9841 PHPUnit command injection.


Ruští hackeři prolomili firemní e-maily Microsoftu v rámci měsíc trvajícího kybernetického bezpečnostního incidentu

Společnost Microsoft v pátek večer vydala varování, v němž odhalila, že některé její firemní e-mailové účty se staly obětí narušení, které vedlo ke krádeži dat ruskou hackerskou skupinou známou jako Midnight Blizzard. Vniknutí bylo zjištěno 12. ledna a následné vyšetřování společnosti Microsoft ukázalo, že za útokem stojí ruští aktéři, kteří jsou běžně označováni jako Nobelium nebo APT29.

K narušení došlo v listopadu 2023 a bylo iniciováno útokem pomocí sprejového hesla zaměřeného na starší neprodukční účet testovacího nájemce. Při útoku s použitím hesla (password spray attack) sestaví aktéři hrozby seznam potenciálních přihlašovacích jmen a systematicky se pokoušejí získat přístup ke každému z nich pomocí určitého hesla. Úspěch tohoto útoku hrubou silou naznačuje, že napadený účet postrádal základní bezpečnostní opatření, jako je dvoufaktorové ověřování (2FA) nebo vícefaktorové ověřování (MFA), které společnost Microsoft důrazně doporučuje pro všechny online účty. Jakmile byl přístup k „testovacímu“ účtu zajištěn, hackeři společnosti Nobelium jej využili k průniku do „malého procenta“ firemních e-mailových účtů společnosti Microsoft na dobu delší než jeden měsíc. Zůstává nejasné, proč měl neprodukční testovací účet oprávnění k přístupu k jiným účtům v rámci firemního e-mailového systému společnosti Microsoft, pokud nebyl zneužit k přechodu na účty se zvýšenými oprávněními. Mezi napadenými e-mailovými účty byli členové vedení společnosti Microsoft a zaměstnanci oddělení kybernetické bezpečnosti a právního oddělení, od nichž hackeři odcizili e-maily a přílohy. Společnost Microsoft upřesnila, že původním cílem byly informace týkající se samotné společnosti Midnight Blizzard.

Společnost Microsoft zdůraznila, že k narušení nedošlo v důsledku zranitelnosti jejích produktů nebo služeb, ale spíše v důsledku útoku hrubou silou na hesla k postiženým účtům. Společnost Microsoft ujistila, že navzdory probíhajícímu vyšetřování nemělo narušení zásadní dopad na provoz společnosti.

Nobelium, známá také jako Midnight Blizzard, APT29 a Cozy Bear, je ruská hackerská skupina, o níž se předpokládá, že je spojena s ruskou zahraniční zpravodajskou službou (SVR). Skupina se proslavila v souvislosti s útokem na dodavatelský řetězec SolarWinds v roce 2020, který měl dopad na americkou vládu i společnost Microsoft. V červnu 2021 společnost Nobelium prolomila další firemní účet Microsoft a umožnila přístup k nástrojům zákaznické podpory. Kromě kybernetické špionáže a krádeží dat je společnost Nobelium známá tím, že pro své operace vyvíjí vlastní malware. Společnost Microsoft, která je díky své kontrole nad rozsáhlými globálními daty a službami klíčovým cílem, nedávno čelila dalšímu kybernetickému incidentu, když čínští hackeři ukradli podpisový klíč Microsoftu, čímž získali přístup k e-mailovým účtům několika organizací, včetně amerických a západoevropských vládních agentur.


TeamViewer zneužit k prolomení sítí při nedávných ransomware útocích

V nové vlně ransomwarových útoků aktéři opět využívají TeamViewer k získání počátečního přístupu ke koncovým bodům organizace a pokoušejí se nasadit šifrátory založené na uniklém nástroji LockBit ransomware.

TeamViewer, legitimní nástroj pro vzdálený přístup, který se v podnikové sféře hojně používá pro svou jednoduchost a možnosti, se bohužel stal oblíbeným nástrojem podvodníků a aktérů ransomwaru. Tito škodliví aktéři používají TeamViewer k přístupu ke vzdáleným počítačům a bez překážek vypouštějí a spouštějí škodlivé soubory. Nedávná zpráva ukazuje, že kyberzločinci se k těmto technikám vrátili a stále používají TeamViewer ke kompromitaci zařízení a pokusům o nasazení ransomwaru. Analyzované soubory protokolu ukazovaly v obou případech na připojení ze stejného zdroje, což naznačuje, že se jedná o společného útočníka. U jednoho napadeného koncového bodu zaznamenala společnost Huntress v protokolech několik přístupů zaměstnanců, což svědčí o legitimním použití pro administrativní úlohy. U druhého koncového bodu, který byl spuštěn v roce 2018, nebyla v posledních třech měsících v protokolech zaznamenána žádná aktivita, což z něj činí potenciálně atraktivnější cíl pro útočníky. V obou případech se útočníci pokusili nasadit ransomware pomocí dávkového souboru DOS (PP.bat) umístěného na ploše, který spustil soubor DLL (payload) pomocí příkazu rundll32.exe. Zatímco útok na prvním koncovém bodě byl úspěšný, ale podařilo se jej zastavit, antivirový produkt na druhém koncovém bodě snahu zastavil, což vedlo k opakovaným pokusům o spuštění užitečného zatížení bez úspěchu.

Zatímco zůstává nejasné, jakým způsobem získávají aktéři hrozeb kontrolu nad instancemi TeamVieweru, společnost zdůraznila důležitost dodržování přísných bezpečnostních postupů. Společnost TeamViewer doporučila používat složitá hesla, zavést dvoufaktorové ověřování, používat seznamy povolených položek a pravidelně aktualizovat nejnovější verze softwaru, aby se chránila před neoprávněným přístupem. Společnost také poskytla soubor osvědčených postupů pro bezpečný bezobslužný přístup, aby dále podpořila uživatele při udržování bezpečného provozu.


Administrátor BreachForums odsouzen k 20 letům s dohledem

Conor Brian Fitzpatrick, správce hackerského fóra BreachForums, byl odsouzen na 20 let nepodmíněně. Fitzpatrick již dříve souhlasil s přiznáním viny ve všech bodech obžaloby. BreachForums fungovalo jako tržiště kybernetické kriminality a umožňovalo členům nabízet, prodávat, nakupovat a vyměňovat nezákonně získaná nebo kompromitovaná data a různé pašované předměty. Jednalo se o odcizená přístupová zařízení, nástroje pro kybernetickou kriminalitu, kompromitované databáze a služby pro získání neoprávněného přístupu k cílovým systémům.

V březnu 2023 zatkli strážci zákona Fitzpatricka, známého také jako Pompompurin. Zatčení následovalo po rozsáhlém sledování, včetně prohlídky a zabavení důkazů v jeho bydlišti. Fitzpatrick byl obviněn z navádění osob k prodeji neoprávněných přístupových zařízení a byl propuštěn na kauci 300 000 dolarů, kterou podepsali jeho rodiče. Hackerské fórum BreachForums bylo založeno v roce 2022 po zabavení RaidForums během operace TOURNIQUET. Fitzpatrick důsledně tvrdil, že nemá žádné spojení s RaidForums. Američtí prokurátoři doporučili v memorandu ze 16. ledna trest 15 let vězení. Bylo však zjištěno, že Fitzpatrick byl nakonec odsouzen k odpykání trestu a 20 letům propuštění pod dohledem. První dva roky bude propuštění pod dohledem probíhat v domácím vězení s monitorováním polohy pomocí GPS.

V odsuzujícím dokumentu jsou uvedeny konkrétní vycházky a povolení během domácího vězení, jako jsou terapeutická sezení, schůzky s probačním úředníkem, lékařské prohlídky a náboženské obřady. Kromě toho je Fitzpatrick povinen dodržovat program monitorování počítačů, který spravuje probační úřad, a nainstalovat monitorovací software na všechny počítače, které používá.

Kromě toho bylo Fitzpatrickovi nařízeno zaplatit náhradu škody, která vznikla obětem, přičemž konkrétní částka bude teprve stanovena.


Společnost Atlassian vydala varování před kritickou zranitelností vzdáleného spuštění kódu

Chyba je sledována jako CVE-2023-22527, je klasifikována jako kritická (CVSS v3: 10.0) a umožňuje neautentifikovaným útočníkům spustit vzdálený kód na zranitelných koncových bodech Confluence. Mezi ovlivněné verze patří ty, které byly vydány před 5. prosincem 2023, a ohroženy jsou i verze, které již nejsou podporovány.

Zranitelnost spočívá v injekci šablony, a přestože většina posledních podporovaných verzí byla opravena, společnost Atlassian doporučuje uživatelům nainstalovat nejnovější verzi, aby se ochránili před nekritickými zranitelnostmi uvedenými v lednovém bezpečnostním bulletinu. Dotčené verze Confluence Data Center a Serveru se pohybují od verze 8.0.x do 8.5.3. Společnost Atlassian tuto chybu odstranila ve verzích 8.5.4 (LTS), 8.6.0 (pouze datové centrum) a 8.7.1 (pouze datové centrum), které byly vydány v prosinci. Správci jsou vyzváni, aby přešli na aktivně podporovaná vydání, protože starší větve, včetně verze 8.4.5 a předchozích, nebudou dostávat bezpečnostní aktualizace. Společnost Atlassian neposkytuje žádná opatření ke zmírnění nebo obejití problému a doporučuje uživatelům, aby neprodleně použili dostupné aktualizace. Instance nepřipojené k internetu a instance bez anonymního přístupu jsou stále zneužitelné, ale s menším rizikem. Pokud není možné provést okamžité aktualizace, doporučujeme uživatelům, aby postižené systémy vyřadili z provozu, zálohovali data mimo instanci Confluence a sledovali, zda nedochází ke škodlivým aktivitám. Software Confluence od společnosti Atlassian se v minulosti stal terčem útoků ze strany hrozby, a proto jsou rychlé aktualizace pro zabezpečení klíčové.


Zajímáte se o kybernetickou bezpečnost? Podívejte se na další díly našeho týdeníku Bezpečnostní neděle.