Ruští hackeři zneužili chyby v Chrome a Safari
Výzkumníci z Google Threat Analysis Group (TAG) upozornili na několik kampaní, které zneužívaly nyní opravené chyby v prohlížečích Safari od Apple a Google Chrome k infikování uživatelů infostealery. Tyto kampaně podle zprávy využívaly n-denní exploity, pro které byly k dispozici záplaty, ale stále by byly účinné proti neopraveným zařízením.
Sada průniků byla s mírnou jistotou připsána aktérovi podporovanému ruským státem s označením APT29 (aka Midnight Blizzard) a byly pozorovány paralely mezi exploity použitými v těchto kampaních a těmi, které byly dříve spojeny s komerčními dodavateli sledovacích systémů (CSV) Intellexa a NSO Group, což naznačuje opětovné použití těchto exploitů.
Mezi zneužité zranitelnosti patřily:
- CVE-2023–41993 – Chyba WebKitu, která může vést k libovolnému spuštění kódu při zpracování speciálně vytvořeného webového obsahu (opraveno v iOS 16.7 a Safari 16.6.1 v září 2023).
- CVE-2024–4671 – Chyba use-after-free v komponentě Visuals prohlížeče Chrome, která mohla vést k libovolnému spuštění kódu (opraveno ve verzi Chrome 124.0.6367.201/.202 pro Windows a macOS a ve verzi 124.0.6367.201 pro Linux v květnu 2024).
- CVE-2024–5274 – Chyba záměny typu v enginu V8 JavaScript a WebAssembly, která může vést k libovolnému spuštění kódu (opraveno ve verzi Chrome 125.0.6422.112/.113 pro Windows a macOS a ve verzi 125.0.6422.112 pro Linux v květnu 2024).
Aktivita, která byla pozorována mezi listopadem 2023 a červencem 2024, je pozoruhodná tím, že exploity byly doručeny pomocí útoku typu watering hole na mongolské vládní webové stránky cabinet.gov.mn a mfa.gov.mn – v prvním případě šlo o oba weby, v druhém případě pouze o web mfa.gov.mn – s cílem doručit exploit pro CVE-2023–41993 pomocí škodlivé komponenty iframe směřující na doménu ovládanou aktérem.
„Při návštěvě pomocí zařízení iPhone nebo iPad používaly stránky iframe k zobrazení průzkumného payloadu, které provádělo kontroly platnosti před finálním stažením a nasazením dalšího payloadu s exploitem WebKit k exfiltraci souborů cookie prohlížeče ze zařízení,“ uvedla společnost Google.
Tento payload je framework pro krádež souborů cookie, který TAG společnosti Google již dříve podrobně popsal v souvislosti s 2021 zneužitím zero-day systému iOS (CVE-2021–1879) ke sběru ověřovacích souborů cookie z několika populárních webových stránek, včetně Google, Microsoft, LinkedIn, Facebook, Yahoo, GitHub a Apple iCloud, a jejich odeslání prostřednictvím WebSocket na útočníkem ovládanou IP adresu.
„Aby byly soubory cookie úspěšně vymazány, musela by mít oběť na těchto webových stránkách otevřenou relaci z prohlížeče Safari,“ uvedla tehdy společnost Google a dodala, že „útočníci používali zprávy LinkedIn k tomu, aby se zaměřili na vládní úředníky ze západoevropských zemí a posílali jim škodlivé odkazy.“ Skutečnost, že modul pro krádež souborů cookie vyčlenil také webovou stránku webmail.mfa.gov.mn, naznačuje, že pravděpodobným cílem kampaně v systému iOS byli mongolští vládní zaměstnanci. Webová stránka mfa.gov.mn byla infikována potřetí v červenci 2024 za účelem injektování kódu JavaScript, který uživatele systému Android používající prohlížeč Chrome přesměroval na škodlivý odkaz, jenž sloužil k nasazení řetězce exploitů kombinujícího chyby CVE-2024–5274 a CVE-2024–4671, a ten pak nasadil samotný payload pro krádež informací z prohlížeče.
Útočná sekvence využívá zejména CVE-2024–5274 ke kompromitaci vykreslovače (renderer) a CVE-2024–4671 k dosažení zranitelnosti úniku ze sandboxu, což nakonec umožňuje prolomit ochranu izolace webu Chrome a doručit malware typu stealer, který může krást soubory cookie, hesla, údaje o kreditních kartách, historii prohlížeče a důvěryhodné tokeny.
„Tato kampaň přináší jednoduchou binárku, která odstraní všechna hlášení o havárii Chrome a exfiltruje následující databáze Chrome zpět na server track-adv.com - podobně jako finální payload, který jsme viděli v dřívějších kampaních pro iOS,“ poznamenal Google TAG.
Neopravená chyba v IP kamerách AVTECH vede k botnetovým útokům
Roky starou vysoce závažnou chybu, která ovlivňuje IP kamery AVTECH, využili hackeři jako zero-day k zapojení do botnetu.
CVE-2024–7029 (skóre CVSS: 8.7), o kterou se jedná, je „zranitelnost typu command injection nalezená ve funkci brightness kamer AVTECH pro uzavřený televizní okruh (CCTV), která umožňuje vzdálené spuštění kódu (RCE),“ uvedli výzkumníci Akamai Kyle Lefton, Larry Cashdollar a Aline Eliovich.
Podrobnosti o této bezpečnostní chybě poprvé zveřejnila počátkem tohoto měsíce americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA) a zdůraznila jeho nízkou složitost útoku a možnost vzdáleného zneužití. „Úspěšné zneužití této zranitelnosti by mohlo útočníkovi umožnit injektovat a spustit příkazy jako vlastník běžícího procesu,“ uvedla agentura v upozornění zveřejněném 1. srpna 2024.
Chyba se týká se kamer AVM1203 s verzemi firmwaru do FullImg-1023–1007–1011–1009 včetně. Tato zařízení se podle CISA stále používají v komerčních zařízeních, finančních službách, zdravotnictví a v odvětví dopravních systémů. Akamai uvedl, že útočná kampaň probíhá od března 2024, ačkoliv měla zranitelnost veřejný proof-of-concept (PoC) exploit již v únoru 2019. Identifikátor CVE však byl vydán až tento měsíc. „Aktéři, kteří provozují tyto botnety, využívají k šíření škodlivého softwaru nové nebo skryté zranitelnosti,“ uvedla společnost zabývající se webovou infrastrukturou. „Existuje mnoho zranitelností s veřejnými exploity nebo dostupnými PoC, které nemají formální přiřazení CVE, a v některých případech zůstávají zařízení neopravená.“
Společnost Lefton sdělila serveru The Hacker News, že v současné době nejsou k dispozici žádné údaje o tom, jak jsou tyto útoky rozšířené, ačkoliv podle odhadů je do internetu vystaveno 27 000 zařízení AVTech. Společnost však uvedla, že má k dispozici definitivní informace o atribuci, které hodlá zveřejnit v budoucnu.
Útočné řetězce jsou poměrně jednoduché, protože využívají chybu v IP kameře AVTECH spolu s dalšími známými zranitelnostmi (CVE-2014–8361 a CVE-2017–17215) k šíření varianty botnetu Mirai v cílových systémech. „V tomto případě botnet pravděpodobně využívá variantu Corona Mirai, na kterou se jiní dodavatelé odkazovali již v roce 2020 v souvislosti s virem COVID-19,“ uvedli výzkumníci. „Po spuštění se malware připojuje k velkému počtu hostitelů prostřednictvím sítě Telnet na portech 23, 2323 a 37215. Na infikovaném hostiteli také vypisuje do konzoly řetězec ‚Corona‘.“
Vývoj přichází několik týdnů poté, co kyberbezpečnostní firmy Sekoia a Team Cymru podrobně popsaly „záhadný“ botnet s názvem 7777 (nebo Quad7), který využíval kompromitované routery TP-Link a ASUS k útokům na účty Microsoft 365 pomocí rozesílání hesel. K 5. srpnu 2024 bylo identifikováno až 12 783 aktivních botů.
Nová phishingová kampaň s QR kódy
Výzkumníci v oblasti kybernetické bezpečnosti upozorňují na novou phishingovou kampaň s QR kódy (tzv. quishing), která využívá infrastrukturu Microsoft Sway k hostování falešných stránek a opět upozorňuje na zneužívání legitimních cloudových nabídek ke škodlivým účelům.
„Využitím legitimních cloudových aplikací poskytují útočníci obětem důvěryhodnost a pomáhají jim tak věřit obsahu, který jim servíruje,“ uvedl výzkumník Netskope Threat Labs Jan Michael Alcantara.
„Pokud navíc oběť při otevření stránky Sway použije svůj účet Microsoft 365, ke kterému je již přihlášena, může ji to rovněž pomoci přesvědčit o její legitimitě. Sway lze také sdílet buď prostřednictvím odkazu (URL odkazu nebo vizuálního odkazu), nebo vloženého na webové stránky pomocí iframe.“ Útoky si vytipovaly především uživatele v Asii a Severní Americe a nejvyhledávanějšími sektory jsou technologie, výroba a finance.
Microsoft Sway je cloudový nástroj pro vytváření zpravodajů, prezentací a dokumentace. Od roku 2015 je součástí rodiny produktů Microsoft 365. Firma zabývající se kybernetickou bezpečností uvedla, že od července 2024 zaznamenala 2000násobný nárůst návštěvnosti unikátních phishingových stránek Microsoft Sway, jejichž konečným cílem bylo ukrást přihlašovací údaje uživatelů Microsoft 365. Toho je dosaženo servírováním falešných QR kódů umístěných na Sway, které po naskenování přesměrují uživatele na phishingové stránky.
V rámci další snahy vyhnout se statické analýze bylo u některých z těchto quishingových kampaní pozorováno, že používají Cloudflare Turnstile jako způsob, jak skrýt domény před statickými skenery URL. Tato aktivita je také pozoruhodná tím, že využívá taktiky phishingu „adversary-in-the-middle“ (AitM) – tj. transparentního phishingu – k odebrání pověření a dvoufaktorových autentizačních kódů (2FA) pomocí vzhledově podobných přihlašovacích stránek a současně se pokouší přihlásit oběť ke službě. „Používání QR kódů k přesměrování obětí na phishingové webové stránky představuje pro obránce určité problémy,“ řekl Michael Alcantara. „Vzhledem k tomu, že adresa URL je vložena uvnitř obrázku, mohou být e-mailové skenery, které dokáží skenovat pouze textový obsah, obejity.“
„Když navíc uživatel dostane QR kód, může k jeho naskenování použít jiné zařízení, například mobilní telefon. Vzhledem k tomu, že bezpečnostní opatření implementovaná v mobilních zařízeních, zejména v osobních mobilních telefonech, nejsou obvykle tak přísná jako v případě notebooků a stolních počítačů, jsou pak oběti často zranitelnější vůči zneužití.“
Není to poprvé, co phishingové útoky zneužily Microsoft Sway. V dubnu 2020 společnost Group-IB podrobně popsala kampaň nazvanou PerSwaysion, která úspěšně kompromitovala firemní e-mailové účty nejméně 156 vysoce postavených úředníků v různých firmách se sídlem v Německu, Velké Británii, Nizozemsku, Hongkongu a Singapuru tím, že použila Sway jako odrazový můstek k přesměrování obětí na stránky pro sběr přihlašovacích údajů.
Čínský Volt Typhoon využívá chybu Versa Director a útočí na IT sektory
Čínské kyberšpionážní skupině sledované jako Volt Typhoon bylo s mírnou jistotou přisouzeno zneužití nedávno odhalené vysoce závažné zero-day chyby ovlivňující Versa Director.
Útoky byly zaměřeny na čtyři americké oběti a jednu neamerickou oběť v odvětvích poskytovatelů internetových služeb (ISP), poskytovatelů spravovaných služeb (MSP) a informačních technologií (IT) již 12. června 2024, uvedl tým Black Lotus Labs společnosti Lumen Technologies v technické zprávě. Předpokládá se, že kampaň probíhá proti neopraveným systémům Versa Director.
Dotyčnou bezpečnostní chybou je CVE-2024–39717 (skóre CVSS: 6,6), chyba při nahrávání souborů postihující systém Versa Director, kterou minulý týden přidala do katalogu známých zneužívaných zranitelností (KEV) americká Agentura pro kybernetickou bezpečnost a bezpečnost infrastruktury (CISA).
„Tato zranitelnost umožňovala nahrávání potenciálně škodlivých souborů uživateli s oprávněním Provider-Data-Center-Admin nebo Provider-Data-Center-System-Admin,“ uvedla společnost Versa v poradním dokumentu vydaném v pondělí s tím, že zasažení zákazníci neimplementovali pokyny pro posílení systému a brány firewall vydané v roce 2015, resp. 2017.
Chyba v podstatě umožňuje aktérům s právy správce nahrávat škodlivé soubory maskované jako soubory obrázků PNG, a to s využitím možnosti „Change Favicon“ v grafickém uživatelském rozhraní Versa Director. Problém byl vyřešen ve verzích 22.1.4 a novějších.
To, že se Volt Typhoon zaměřil na společnost Versa Networks, dodavatele zabezpečených přístupových služeb (SASE), není překvapivé a je v souladu s historickým využíváním kompromitovaných síťových zařízení malých a domácích kanceláří (SOHO) protivníkem ke směrování síťového provozu a vyhýbání se detekci po delší dobu.
Společnost se sídlem v Santa Claře mezi své zákazníky počítá společnosti Adobe, Axis Bank, Barclays, Capital One, Colt Technology Services, Infosys, Orange, Samsung, T-Mobile a Verizon. „Částečné přičítání [Volt Typhoonu] je založeno na používání zařízení SOHO a způsobu jejich využití,“ řekl serveru The Hacker News Ryan English, bezpečnostní výzkumník z laboratoří Black Lotus Labs společnosti Lumen. „Došlo však také ke kombinaci známých a pozorovaných TTP, včetně síťové infrastruktury, zneužití zero-day, strategického zacílení na konkrétní odvětví/oběti, analýzy webového shellu a dalších potvrzených překryvů škodlivých aktivit.“
Útočné řetězce se vyznačují tím, že využívají chybu k vytvoření na míru upraveného webového shellu nazvaného VersaMem ( VersaTest.png), který je určen především k zachycení a získání pověření, jež by umožnilo přístup do sítí následných zákazníků jako ověřený uživatel, což vede k rozsáhlému útoku na dodavatelský řetězec.
Dalším pozoruhodným rysem sofistikovaného webového shellu JAR je to, že je modulární povahy a umožňuje provozovatelům načíst další kód Java, který se spouští výhradně v paměti.
Nejstarší vzorek VersaMem byl na server VirusTotal nahrán 7. června 2024 ze Singapuru. K 27. srpnu 2024 žádný z antimalwarových enginů neoznačil tento webový shell jako škodlivý. Předpokládá se, že aktéři hrozby mohli testovat webový shell ve volné přírodě na neamerických obětech před jeho nasazením na americké cíle.
Volt Typhoon, který je sledován také jako Bronze Silhouette, Insidious Taurus, UNC3236, Vanguard Panda a Voltzite, označuje pokročilou trvalou hrozbu, o níž je známo, že je aktivní nejméně pět let a zaměřuje se na zařízení kritické infrastruktury v USA a na Guamu s cílem udržet si skrytý přístup a exfiltrovat citlivá data.
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
