Postřehy z bezpečnosti: malware ve falešných inzerátech na Crypto.com

3. 10. 2022
Doba čtení: 4 minuty

Sdílet

 Autor: Crypto.com
V dněšním díle postřehů z bezpečnosti se podíváme na nejnovější útočné techniky hackerských skupin Lazarus a Fancy Bear, novou zero-day zranitelnost na MS Exchange serverech a také jak Apple omezuje svobodu přístupu k informacím v Rusku.

Malware ve falešných pracovních inzerátech Crypto.com

Severokorejská hackerská skupina Lazarus (aka Nukesped) zneužívá podvodné pracovní inzeráty, nabízející práci pro platformu Crypto.com, pro šíření škodlivého kódu. Cílem aktérů hrozby je přimět vývojáře a tvůrce z oblasti kryptoměn otevřít škodlivý soubor, který infikuje cílový systém malwarem. Tuto útočnou kampaň vede Lazarus již od roku 2020 pod názvem Operace In(ter)ception a zaměřuje se právě na osoby pracující v kryptoměnovém průmyslu.

Podobné útoky byly pozorovány v srpnu, kdy podobným způsobem skupina šířila malware pro Windows nebo macOS. Ke stejnému malware se skupina vrátila i nyní. Informovala o tom společnost SentinelOne v jejich článku ze začátku tohoto týdne, kde také zveřejnila IoC útoku.

Vlastní útok je veden přes platformu LinkedIn, kde útočníci rozesílají obětem binární soubor, vydávající se za PDF s informacemi o volné pozici. Soubor po spuštění zajistí v systému perzistenci a připojí se k C2 serveru, aby stáhl finální payload.

PowerPoint Mouseover zneužit k šíření malwaru

Na novou útočnou techniku narazili výzkumníci z firmy Cluster25. Proces je navržen tak, aby se spustil, když uživatel přepne do režimu prezentace a pohne myší. Následné spuštění kódu pomocí PowerShell skriptu stáhne obrázek z OneDrive. I když může stažený soubor působit zdánlivě neškodně, ve skutečnosti se jedná o dropper, který funguje jako cesta pro variantu malwaru Graphite. Ten zneužívá rozhraní Microsoft Graph API a OneDrive ke komunikaci na server C2.

Za vším pravděpodobně stojí ruský státem sponzorovaný aktér známý jako APT28 (alias Fancy Bear). Útok využívá šablonu PowerPointu potenciálně spojenou s Organizací pro hospodářskou spolupráci a rozvoj (OECD), která usiluje o podporu hospodářského růstu a obchodu na celém světě. Mezi potenciální cíle tak mohou patřit subjekty působící ve vládním sektoru.

Vlastní soubor obsahuje dva slajdy s instrukcemi pro připojení na Zoom meeting. Jakmile oběť najede myší na hypertextový odkaz v režimu prezentace, spustí se powershellový skript, který stáhne zmiňovaný JPEG z OneDrive. Ten je poté dešifrován na knihovnu DLL ( lmapi2.dll) zajišťující perzistenci. Tento soubor později načte a dešifruje druhý JPEG a načte jej do paměti.

Zero-day zranitelnost v Microsoft Exchange

Je tomu jen pár dní, co byly objeveny dvě nové nebezpečné zero-day zranitelnosti v systému Microsoft Exchange. Odhaduje se, že by mohly mít podobný dopad jako zranitelnost ProxyLogon (CVE-2021–26855), která v minulosti zasáhla celý svět. V době psaní tohoto článku ještě neexistují CVE záznamy a tudíž prozatím jsou tyto zranitelnosti označované jako ZDI-CAN-18333 a ZDI-CAN-18802.

Výzkumníkům z vietnamské společnosti GTSC se díky pohotové reakci povedlo zjistit detaily útoku a přišli s dočasným řešením, dokud Microsoft nevydá plnohodnotnou záplatu. Exploit umožňuje útočníkům využít remote code execution (RCE), otevřít WebShell a dostat se do backendové části serveru. Společnost GTSC nechce zveřejnit další podrobnosti.

Prozatimní řešení pro zamezení využití exploitu útočníky spočívá v IIS modulu „URL Rewrite“. Tento modul však není součástí IIS a je potřeba ho stáhnout. Pro aplikaci řešení přidejte nové pravidlo:

  • Vyberte „Request blocking“
  • Do „URL Path“ vložte: .*autodiscover\.json.*\@.*Powershell.*
  • V Condition input zvolte {REQUEST_URI}

Firmám využívajících služeb zranitelného systému Microsoft Exchange je doporučeno využít tohoto dočasného řešení, dokud nebude dostupná oficiální záplata.

Rusko chce vysvětlení k odstranění VK z App Store

odstranění VK aplikací z App Store společností Apple došlo v pondělí 26. září. Tímto krokem ztratili uživatelé možnost nainstalovat sadu aplikací VK, kterým vévodí sociální síť VKontakte a e-mailová služba mail.ru, dále pak VK Music, VK Clips, VK messange a jiné. Uživatelé, kteří již mají aplikace nainstalované stále mohou služeb přes aplikace využívat, ale již nedostanou žádné další aktualizace. Uživatelé mohou dále využívat těchto služeb přes webové stránky a přes desktopovou aplikaci.

Apple byl kontaktován ruským federálním úřadem Roskomnadzor, který se stará o monitorování, kontrolu a cenzuru sdělovacích prostředků. Ten zařadil dvě aplikace z odstraněných mezi povinně předinstalované na mobilních telefonech a k situaci se vjádřil ve smyslu porušování práv a svobod ruských občanů vzhledem k nemožnosti přistupování k informacím a komunikačním prostředkům. Roskomnadzor přitom v březnu po zahájení Ruské invaze zakázal přístup k sociálním sítím Facebook, Instagram a Twitter a také několika novinovým platformám, včetně BBC a Radio Free Europe/Radio Liberty.

ict ve školství 24

Apple potvrdil souvislost mezi odstraněním aplikací a sankcemi namířenými proti ruským entitám na sankčním seznamu britské vlády.

Ve zkratce:

Pro pobavení

Moment of Cybersecurity Zen

Moment of Cybersecurity Zen

Autor: John Klossner

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

ALEF CSIRT je specializovaný tým zodpovědný za řešení kybernetických bezpečnostních incidentů společnosti Alef, ale také vlastních zákazníků.