Postřehy z bezpečnosti: hromadné zatýkání kyberzločinců

PuTTY je ohroženo kritickou zranitelností

PuTTY obsahuje kritickou zranitelnost, která může vést až k rekonstrukci privátních klíčů. Zranitelností CVE-2024–31497 jsou postižené verze 0.68 až 0.80 včetně. Zranitelnost je obsažena v kódu, který generuje podpisy z privátních klíčů ECDSA používajících křivku NIST P521.

Útočník může zranitelnost, která byla objevena výzkumníky Fabianem Baumerem a Marcusem Brinkmannem z Ruhr University Bochum, zneužít k rekonstrukci privátních klíčů NIST P-521. Následující produkty jsou také chybou zasaženy vzhledem k tomu, že obsahují zranitelnou verzi PuTTY:

• Filezilla (3.24.1 – 3.66.5)
• WinSCP (5.9.5 – 6.3.2)
• TortoiseGit (2.4.0.2 – 2.15.0)
• TortoiseSVN (1.10.0 – 1.14.0)

Zatýkání kyberzločinců

Dva lidé spojení s vývojem a distribucí trojanu Hive RAT byli zatčeni v Austrálii a ve Spojených státech. Malware umožňoval objednatelům kontrolovat počítače obětí (ukončovat programy, prohlížet soubory, nahrávat stisky kláves, …), zpřístupňovat privátní komunikace obětí a získávat jejich přihlašovací údaje a jiné osobní informace.

Cisco varuje před zranitelností

Cisco opravilo vážnou zranitelnost v produktu IMC (Integrated Management Controller), pro kterou již existuje kód na její zneužití. Zranitelnost označená jako CVE-2024–20295 se nachází v rozhraní příkazového řádku IMC a může ji zneužít útočník, který má na zranitelném zařízení oprávnění jen pro čtení nebo vyšší. Zranitelnost pochází z nedostatečné kontroly uživetelského vstupu. Chybou jsou zasaženy následující produkty, pokud běží na zranitelné verzi Cisco IMC:

• 5000 Series Enterprise Network Compute Systems
• Catalyst 8300 Series Edge uCPE
• UCS C-Series Rack Servers in standalone mode
• UCS E-Series Servers

Přes 30 zatčených v souvislosti s kyberzločinem

V souvislosti s kyberzločineckou službou zvanou LabHost, která byla používána kriminálníky ke krádežím osobních přihlašovacích údajů obětí z celého světa bylo zatčeno 37 lidí. Služba fungovala jako systém PhaaS (Phishing-as-a-Service) s cíli převážně v Kanadě, Spojených státech amerických a ve Spojeném království.

Službu umožňující výběr z více než 170 falešných webů použilo více než 10000 kyberkriminálníků. Informace získané od obětí byly jména a adresy, e-maily, data narození, odpovědi na bezpečnostní otázky, čísla kreditních karet, hesla a piny. Na bezpečnostní akci se podílelo celkem 19 zemí.

Trojan SoumniBot uniká detekci

Nový trojan pro Android, který napadá převážně uživatele v Jižní Koreji, zneužívá zranitelnosti při extrakci a parsování souboru manifest ( AndroidManifest.xml), který je součástí každé aplikace pro Android. Soubor manifest deklaruje komponenty aplikace, přístupová oprávnění a hardwarové a softwarové požadavky na systém. Metody použité při maskování trojanu jsou následující:

1. Špatná kompresní metoda – jiná hodnota než 0×0000 nebo 0×0008 signalizuje nekomprimovaná data – manifest by měl být v tomto případě správně považován za nevalidní.
2. Špatná velikost archivovaného souboru – manifest by měl být považován za nevalidní, což parser Androidu přejde bez chyb.
3. Dlouhé názvy jmenných prostorů – manifest parser je navržen tak, aby ignoroval jmenné prostory, výsledkem čehož je, že při zpracování souboru není generovaná žádná chyba.

Hackeři útočí na vlády na středním východě

Vládní entity na Středním východě byly terčem dříve nedokumentované kampaně za účelem šíření backdooru zvaného CR4T. Výzkumníci prozradili, že objevili kampaň nazvanou DuneQuixote v únoru 2024. Začátkem útoku je buď spustitelný soubor nebo DLL knihovna případně pozměněný instalátor legitimní aplikace Total Commander.

CR4T je kód napsaný v C/C++, který sídlí pouze v paměti a který dává útočníkům přístup ke konzoli na napadeném systému a rovněž jim umožňuje operace se soubory (download/upload) po připojení na C2 server.

Ve zkratce

• Přihlašovací údaje v logách sestavení
• OfflRouter Malware uniká detekci
• Phishingové útoky na výrobce aut
• Linuxová varianta ransomwaru Cerber
• Těžba krypta v Kubernetes

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…