Hackeři napojení na čínské zpravodajské služby pronikli do několika amerických telekomunikačních společností.
Podle zprávy Wall Street Journal využila hackerská skupina zranitelnosti v routerech společnosti Cisco.
Američtí představitelé označili špionážní kampaň, z níž viní čínskou hackerskou skupinu známou pod názvem Salt Typhoon, za „historickou“ a „katastrofickou“ co do rozsahu a závažnosti. Narušení bezpečnosti postihlo významné americké telekomunikační firmy, jako jsou T-Mobile, AT&T a Verizon.
Útok, který trval více než osm měsíců, umožnil hackerům přístup k citlivým informacím, včetně výpisu hovorů a nešifrovaných textových zpráv. Cílem byli převážně vysocí představitelé národní bezpečnosti a vlády USA.
Narušení bezpečnosti, které vyšetřovatelé stále dávají dohromady, představuje jednu z nejvýznamnějších kyberšpionážních kampaní za poslední roky a její plné důsledky pro národní bezpečnost ještě nejsou plně pochopeny.
Vašemu podniku dáváte vše.
Chráníte i jeho digitální život?
Zanechte nám svůj e-mail a my vám poradíme, jak zlepšit zabezpečení vaší společnosti.
Vysoce závažná chyba v PostgreSQL
Výzkumníci v oblasti kybernetické bezpečnosti odhalili vysoce závažnou bezpečnostní chybu v databázovém systému PostgreSQL, která může umožnit neprivilegovaným uživatelům měnit environment variables což může potenciálně vést ke spuštění kódu nebo vyzrazení informací.
Zranitelnost, sledovaná jako CVE-2024-10979, má skóre CVSS 8,8.
Nesprávná kontrola environment variables v PostgreSQL umožňuje neprivilegovanému uživateli měnit proměnné (např. PATH). To často stačí k tomu, aby bylo možné spustit libovolný kód, i když útočník nemá dostatečná oprávnění.
Chyba byla odstraněna ve verzích PostgreSQL 17.1, 16.5, 15.9, 14.14, 13.17 a 12.21.
Výzkumníci společnosti Varonis, kteří problém objevili, uvedli, že v závislosti na scénáři útoku může vést k „závažným bezpečnostním problémům“.
Další podrobnosti o zranitelnosti jsou v současné době utajovány, aby uživatelé měli dostatek času na aplikaci oprav.
Ruští hackeři zneužívají novou chybu v NTLM
Zranitelnost sledovaná jako CVE-2024-43451 (CVSS skóre: 6,5), se týká chyby NTLM hash disclosure spoofing, kterou bylo možné zneužít ke krádeži NTLMv2 hashe.
„Útok by mohla vyvolat minimální interakce uživatele se škodlivým souborem. Stačí jediné kliknutí na soubor, nebo kliknutí pravým tlačítkem myši.“ uvedl Microsoft
Ukrajinský tým CERT-UA spojil útoky s ruským aktérem hrozeb, kterého sleduje jako UAC-0194.
Izraelská společnost ClearSky která v červnu 2024 objevila tuto zranitelnost, uvedla, že zranitelnost byla zneužita jako součást útočného řetězce malwaru Spark RAT. Společnost dodala, že škodlivé soubory byly umístěny na oficiální ukrajinské stránce, která umožňuje uživatelům stahovat akademické certifikáty.
Útočný řetězec tedy zahrnuje zasílání podvodných e-mailů z kompromitovaného ukrajinského vládního serveru („doc.osvita-kp.gov[.]ua“). Odeslaný soubor je navržen tak, aby navázal spojení se vzdáleným serverem („92.42.96[.]30“) a stáhl další užitečné soubory, včetně Spark RAT.
Začátkem tohoto týdne vydal Microsoft opravu. Doporučuje se aktualizovat systémy co nejdříve.
Severokorejští hackeři se zaměřují na macOS
Bylo zjištěno, že útočníci napojení na Severní Koreu vkládají malware do Flutter aplikací, což je poprvé, co tuto taktiku použil protivník k infikování Apple zařízení se systémem macOS.
Společnost Jamf Threat Labs, která o tomto nálezu informovala na základě artefaktů nahraných na platformě VirusTotal, uvedla, že aplikace vytvořené ve Flutteru jsou součástí širší aktivity, která zahrnuje malware napsaný v jazycích Golang a Python.
„Máme podezření, že tyto konkrétní příklady jsou testovací a je možné, že ještě nebyly distribuovány“ řekl serveru The Hacker News Jaron Bradley, ředitel společnosti Jamf Threat Labs.
Společnost Jamf nepřisoudila škodlivou aktivitu konkrétní hackerské skupině, pravděpodobně se mohlo jednat o práci podskupiny Lazarus známé jako BlueNoroff. Toto spojení vyplývá z překrývání infrastruktury se škodlivým softwarem označovaným jako KANDYKORN a kampaní Hidden Risk, na kterou nedávno upozornila společnost SentinelOne
Nový malware vyniká tím, že využívá Flutter aplikaci k vložení primárního payloadu, přičemž se maskuje jako plně funkční hra Minesweeper.
Navíc se zdá, že hra je klonem hry pro iOS, která je veřejně dostupná na GitHubu.
Vietnamská hackerská skupina nasadila nový PXA Stealer zaměřený na Evropu a Asii
Vietnamsky mluvící hackerská skupina zaměřená na vládní a vzdělávací subjekty v Evropě a Asii útočí pomocí nového malwaru založeného na Pythonu s názvem PXA Stealer.
„Tento malware se zaměřuje na citlivé informace včetně přístupů k různým online účtům, VPN a FTP klientům, finančním informacím a souborům cookie.“ uvedli výzkumníci společnosti Cisco Talos.
Spojení s Vietnamem vyplývá z přítomnosti vietnamských komentářů a pevně zakódovaného Telegramového účtu s názvem „Lone None“ v programu útočníka.
Útok šířící PXA Stealer začíná podvodným e-mailem obsahujícím ZIP soubor, který obsahuje zavaděč založený na Rustu a skrytou složku, v níž je přibaleno několik skriptů pro systém Windows a podvodný PDF soubor.
Po rozbalení ZIP souboru se spustí skripty, které jsou zodpovědné za otevření dokumentu. V dokumenu je formulář žádosti o zaměstnání na portálu Glassdoor. Zároveň se spustí PowerShell příkazy ke stažení a spuštění dalších nástrojů schopných deaktivovat antivirové programy běžící na hostiteli, po nichž následuje nasazení samotného stealeru.
Pozoruhodným rysem nástroje PXA Stealer je důraz na krádež Facebook cookie, jejich použití k interakci se správcem reklam a rozhraním Graph API za účelem shromáždění dalších podrobností o účtu a souvisejících informací o reklamě.
Cílení na obchodní a reklamní účty na Facebooku je u vietnamských aktérů hrozeb opakovaným jevem.
