Vítejte u Security Sunday – 17. Týden. Náš týdenní přehled událostí ve světě kybernetické bezpečnosti (22.04 – 28.04 2024).
Shromažďujeme pozoruhodné incidenty a zprávy o zranitelnostech z minulého týdne.
Web ČTK napadli hackeři, útok řeší NBU
Zpravodajský web České tiskové kanceláře (ČTK) napadli v úterý hackeři. Útočníci zveřejnili zprávu o zabránění atentátu na Petera Pellegriniho. Atentát měl plánovat ukrajinský diplomat.
„ČTK upozorňuje, že na jejím zpravodajském webu České noviny byly dnes (v úterý) dopoledne neznámým útočníkem umístěny dva smyšlené texty, které nepocházejí z její produkce. Jde o text s titulkem ‚BIS zabránila pokusu o atentát na nově zvoleného slovenského prezidenta Petra Pelligriniho‘ a o údajné mimořádné prohlášení ministra Lipavského k témuž,“ upozornila tisková kancelář.
„O útoku komunikuje s BIS, Národním úřadem pro kybernetickou bezpečnost a policií. oznámila mluvčí ČTK Martina Vašíčková
Malware Brokewell cílí na bankovní aplikace na systému Android
Společnost ThreatFabric objevila nový kmen malwaru s názvem Brokewell, který cílí na uživatele systému Android.
Analytici narazili na Brokewell prostřednictvím zdánlivě neškodné stránky s aktualizací prohlížeče. Po hlubší analýze bylo zjištěno, že se nejedná o běžnou aktualizaci, ale o mechanismus nasazení dosud nepoznaného mobilního malwaru
Infiltrace Brokewell začíná falešnou stránkou aktualizace prohlížeče. Oběť se domnívá, že pouze aktualizuje svůj prohlížeč.
Po instalaci Brokewell uvolní řadu funkcí, je například schopen přidat falešnou obrazovku nad legitimními bankovními aplikacemi, aby získal přihlašovací údaje uživatele. Navíc využívá vlastní WebView k zachycení cookie.
Brokewell rozšiřuje své špionážní schopnosti o shromažďování informací o zařízení, historii hovorů, stisku kláves, geolokaci a může dokonce nahrávat zvuk, čímž ze zařízení oběti udělá komplexní špionážní nástroj.
Společnost Cisco varuje před zeroday „ArcaneDoor“, které zasáhly firewally ASA
Podle Cisco Talos útočníci zneužívají softwarové chyby v některých zařízeních Cisco Adaptive Security Appliance (ASA) nebo Cisco Firepower Threat Defense (FTD), aby do nich zavedli malware a potenciálně exfiltrovali data.
Kampaň označená jako ArcaneDoor využívá zneužití dvou zdokumentovaných softwarových chyb (CVE-2024-20353 a CVE-2024-20359) v produktech Cisco. Odborníci si ale stále nejsou jisti, jak se útočníci do systému dostali.
„Původní přístupový vektor použitý v této kampani jsme neurčili. Dosud jsme nezjistili důkazy o zneužití bez ověření“ uvedla společnost Cisco Talos.
Společnost Cisco uvedla, že nejmenovaný zákazník oznámil jejímu týmu PSIRT na začátku roku 2024 „obavy o bezpečnost“ v produktech firewallu ASA, čímž odstartoval vyšetřování, které vedlo k odhalení útočníka (sledovaného jako UAT4356 společností Talos a STORM-1849 centrem Microsoft Threat Intelligence Center).
„Tento útočník využil na míru vytvořené nástroje, které prokázaly jasné zaměření na špionáž a důkladnou znalost zařízení, na která se zaměřil, což jsou charakteristické znaky sofistikovaného státem sponzorovaného útoku,“ uvedlo Cisco.
Cisco zaznamenalo, že hackerský tým nasadil dva backdoory, které se používají k modifikaci konfigurace, průzkumu, exfiltraci síťového provozu a potenciálně i lateral movement v síti.
Kritická zranitelnost v populární databázové knihovně node-mysql2
Bezpečnostní výzkumníci odhalili chyby v node-mysql2, databázové knihovně v JavaScriptu, která pohání nespočet webových aplikací a backendových systémů. Tyto zranitelnosti jsou označené jako CVE-2024-21508, CVE-2024-21509 a CVE-2024-21511.
Nejzávažnější chyby, CVE-2024-21508 a CVE-2024-21511, mají kritické hodnocení CVSS 9,8. To znamená, že útočníci mohou na serverech používajících zranitelné verze node-mysql2 vzdáleně spustit libovolný kód.
Bezpečnostní experti varují, že veřejně dostupný PoC drasticky zvyšuje míru ohrožení. Útočníci by mohli rychle využít tento PoC jako zbraň a zahájit automatizované útoky napříč internetem, aby vyhledali zranitelné systémy.
Pokud vaše aplikace nebo služby používají tuto knihovnu, okamžitě ji aktualizujte na verzi 3.9.7 nebo novější. Tyto verze obsahují kritické opravy.
Ruská skupina APT28 zneužívá chybu ve Windows Print Spooler k eskalaci práv
Společnost Microsoft varuje, že ruská skupina APT28 zneužívá zranitelnost nástroje Windows Print Spooler k eskalaci oprávnění a krádeži dat pomocí nového nástroje nazvaného GooseEgg.
APT28 používá tento nástroj ke zneužití zranitelnosti CVE-2022-38028 pravděpodobně od dubna 2019.
Zranitelnost nahlášená americkou Národní bezpečnostní agenturou byla opravena během Microsoft October 2022 Patch Tuesday.
Společnost Microsoft zaznamenala, že útočníci tento nástroj po kompromitaci vypouštějí jako skript s názvem ‚execute.bat‘ nebo ‚doit.bat‘, který spouští spustitelný soubor GooseEgg a získává perzistenci v napadeném systému.
Ačkoli se jedná o jednoduchou aplikaci, GooseEgg je schopen spouštět další aplikace se zvýšenými oprávněními, což umožňuje útočníkům vzdálené spuštění kódu, instalace zadních vrátek a boční pohyb v napadených sítích.
Windows Defender a Kaspersky EDR může umožnit vzdálené mazání souborů
Výzkumníci z americko-izraelské společnosti SafeBreach minulý pátek diskutovali o chybách v bezpečnostních produktech společností Microsoft a Kaspersky, které mohou potenciálně umožnit vzdálené mazání souborů.
Útok spoléhá na to, že Microsoft a Kaspersky používají k detekci malwaru byte signatures.
„Naším cílem bylo zmást EDR tím, že do souborů implantujeme signatury malwaru, aby si myslely, že je škodlivý,“ vysvětlili výzkumníci ve své prezentaci na Black Hat Asia.
Aby toho dosáhli, našli výzkumníci na platformě VirusTotal byte signature spojenou se škodlivým softwarem a poté ji vložili do databáze – například tím, že vytvořili nového uživatele se jménem, které obsahuje tuto signaturu. Program EDR pak považoval databázi uchovávající signaturu za infikovanou malwarem.
Pokud je EDR nastaveno na odstraňování infikovaných souborů, provede to. Dvojice tvrdila, že databáze nebo virtuální počítače lze proto odstranit na dálku.
Přístup do databáze lze získat například registrací jako nový uživatel na webové stránce a použitím jména, které obsahuje byte signature. Stejně tak by mohlo dojít k použití byte signatury v komentáři.
Podle stanoviska společnosti Microsoft mohou uživatelé blokovat vektor útoku pomocí prostředků, jako je umístění souborů do chráněných složek, aby se zamezilo okamžitému smazání.
