Postřehy z bezpečnosti: malware ve snímcích z Webbova teleskopu

5. 9. 2022
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
Dnes se podíváme na malware šířený ve snímcích hlubokého vesmíru, novou e-mailovou službu DucDuckGo, probíhající phishingovou kampaň spojenou s Instagramem, útoky na infrastrukturu Černé Hory a nový web NÚKIBu k chystané směrnici NIS2.

Útočníci šíří malware skrytý ve snímcích z Webbova teleskopu

Výzkumníci společnosti Securonix odhalili v nedávné době novou malwarovou útočnou kampaň, která využívá k šíření škodlivého kódu snímek pořízený vesmírným teleskopem Jamese Webba (JWST). Kampaň nese příznačný název GO#WEBBFUSCATOR, jelikož payload, který snímek nese, je napsaný v multiplatformním programovacím jazyce GoLang. Útočníci své oběti pomocí phishingových e-mailů lákají právě na nejnovější snímky pořízené JWST společností NASA. Podvodná zpráva obsahuje přílohu Microsoft Office, která po otevření načte obfuskované VBA makro, které se, pokud příjemce makra povolí, následně automaticky spustí.

Výsledkem je stažení obrázku, který se na první pohled tváří jako zmiňovaný snímek hlubokého vesmíru zachyceného JWST, ale ve skutečnosti se jedná o payload zakódovaný v Base64. Makro poté pomocí certutil.exe stažený soubor dekóduje do spustitelného formátu o velikosti 1,7 MB a následně jej spustí. Obfuskace je provedena technikou zvanou gobfuscation, která využívá obfuskační nástroj veřejně dostupný na GitHubu.

Při dynamické analýze výzkumníci zjistili, že malware si po spuštění zajišťuje perzistenci a navazuje komunikaci na server C2. Securonix na svých stránkách poskytl sadu indikátorů kompromitace (IoC), která zahrnuje jak síťové, tak hostitelské indikátory a také detekční YARA pravidla.

OpenBeta e-mailové služby od DuckDuckGo

Společnost DuckDuckGo, známá především díky svému webovému vyhledávači, spustila pro širokou veřejnost e-mailovou službu Email Protection, která je zaměřena na ochranu soukromí. Po roce testování vybranými uživateli vstupuje služba do režimu otevřené beta verze a je dostupná zdarma.

Řešení je založeno na přeposílání e-mailů do schránek příjemců přes prostředníka ve formě jednorázových adres, které si uživatel může vytvářet. E-maily poslané na tyto adresy jsou zbaveny reklamních a profilovacích trackerů ještě předtím, než se dostanou do běžné schránky uživatele. Jednorázové adresy mohou být individuálně deaktivovány, součástí řešení je ale také osobní adresa, která slouží pro přístup k účtu. Není tak nutné migrovat e-mailovou schránku pod nového poskytovatele.

Kromě výše zmíněného služba také upravuje odkazy v e-mailu a automaticky odkazuje uživatele, kteří na ně kliknou, na HTTPS verzi cílového webu. Dále umožňuje přímo posílat a odpovídat z jednorázových adres a spravovat je pomocí přehledného dashboardu. Službu je možné využívat pomocí rozšíření do webového prohlížeče a na mobilních zařízeních přes nejnovější verzi aplikace.

Nová phishingová kampaň na Instagramu

Bezpečnostní analytici společnosti Vade zaznamenali na Instagramu novou podvodnou kampaň, která se snaží uživatele nalákat na ověření jejich účtu ve formě přidělení modrého odznaku. Modré odznaky vedle uživatelského jména označují platformou ověřenou známou osobnost, celebritu nebo značku. Uživatelé jsou v e-mailu nebo zprávě vyzváni, aby vyplnili v následujících 48 hodinách formulář a tím si zažádali o svůj ověřovací odznak. Vytváří tak pro phishing typický pocit naléhavosti a časovou omezenost pro využití příležitosti.

Podvodný formulář má tři části a postupně z potenciální oběti vyláká e-mail, telefonní číslo i heslo. Legitimitu celého procesu se útočníci snaží dokreslit pomocí přítomnosti loga Instagramu a názvu domény – teamcorrectionbadges, která má navodit pocit, že Instagram používá k ověřování uživatelů jiné webové stránky než své vlastní.

Ransomwarový útok na infrastrukturu Černé Hory

Asi před týdnem oznámila vláda Černé Hory, že je její země vystavena sofistikovaným a vytrvalým kybernetickým útokům, které ohrožují základní infrastrukturu země. Jako cíle uvedla především systémy dodávek elektřiny a vody, dopravní služby a další. Ministr obrany země přisoudil, na základě dostupných důkazů, tyto útoky ruským aktérům.

Tento týden se ale k incidentu přihlásila skupina kolem ransomwaru Cuba a po černohorské vládě požaduje výkupné ve výši 10 milionů dolarů. Mezi ukradená data podle všeho patří nejrůznější finanční a daňové dokumenty, komunikace s bankami a zdrojové kódy.

NÚKIB spustil web k chystané směrnici NIS2

Národní úřad pro kybernetickou a informační bezpečnost minulý týden spustil webové stránky, které mají organizacím pomoci zorientovat se v požadavcích připravované revize směrnice EU o bezpečnosti síťových a informačních systémů – NIS2. NÚKIB uvedl, že web může být užitečný nejen organizacím, na které se již vztahuje zákon o kybernetické bezpečnosti, ale především velkému množství organizací, které budou spadat do jeho působnosti po jeho novelizaci v souvislosti s revidovanou směrnicí.

bitcoin_skoleni

Webové stránky poskytují přehledné a komplexní informace o směrnici NIS2 (a jejích požadavcích) a shrnují na koho se bude směrnice vztahovat. Kromě toho také uvádí základní postupy, jak mohou organizace zabezpečit své služby, jaké incidenty musí NÚKIBu hlásit a jaké budou možné sankce za nesplnění zmíněných požadavků.

Ve zkratce

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

ALEF CSIRT je specializovaný tým zodpovědný za řešení kybernetických bezpečnostních incidentů společnosti Alef, ale také vlastních zákazníků.