Severokorejský ScarCruft využívá Windows Zero-Day
Severokorejská hackerská skupina ScarCruft využila zranitelnost nultého dne ve Windows k infikování zařízení malwarem RokRAT. Zranitelnost CVE-2024–38178 (CVSS score: 7,5) představovala chybu poškození paměti ve skriptovacím enginu a mohla vést k vzdálenému spuštění kódu při použití prohlížeče Edge v režimu Internet Explorer. Tato zranitelnost byla opravena v srpnu 2024.
K úspěšné exploataci musel útočník přesvědčit uživatele, aby klikl na speciálně vytvořený odkaz. Útok dostal od Centra bezpečnosti AhnLab (ASEC) a Národního centra kybernetické bezpečnosti Korejské republiky (NCSC) název „Operace Code on Toast“.
ScarCruft, také známá jako TA-RedAnt a APT37, útočila prostřednictvím programu ‚toast‘, který používá zastaralý modul Internet Explorer ke stahování reklamního obsahu. Útočníci prolomili server místní reklamní agentury, aby vložili škodlivý kód do skriptů reklamy.
RokRAT je schopen provádět příkazy, sbírat data z různých aplikací (například KakaoTalk, WeChat, Chrome, Edge) a používat legitimní cloudové služby, jako jsou Dropbox a Google Cloud, pro ovládání, což pomáhá skrývat jeho aktivitu.
Nejedná se o první případ, kdy ScarCruft využil zranitelnosti v zastaralém prohlížeči k šíření škodlivých programů. Uživatelům se doporučuje aktualizovat operační systémy a softwarové zabezpečení k ochraně před podobnými hrozbami.
Firefox 131 update
Pod číslem 131 zveřejnila společnost Mozilla aktualizaci Firefoxu, která řeší chybu vykonání kódu s označením CVE-2024–9680. Chyba se týká také Thunderbirdu, je typu Use-After-Free a umožňuje útočníkovi vložit zákeřný kód do operační paměti přidělené prohlížeči.
Zasažené jsou produkty Firefox < 131.0.2, Firefox ESR < 128.3.1, Firefox ESR < 115.16.1, Thunderbird < 131.0.1, Thunderbird < 128.3.1 a Thunderbird < 115.16.0. Chyba je aktivně zneužívána.
Škodlivé aplikace na Google Play
Na Google Play bylo identifikováno více než 200 škodlivých aplikací s celkovým počtem stažení téměř osm milionů. Ačkoli Google má mechanismy pro detekci, útočníci stále nacházejí způsoby, jak je obejít.
Pokusy o nahrání škodlivých aplikací na Google Play celkově klesly, přičemž bylo zablokováno průměrně 1,7 milionu pokusů měsíčně. Nejvíce cíleným sektorem byl sektor vzdělávání, kde se blokace zvýšily o 136,8 %.
Quishing cílí na majitele elektrických automobilů
Jedním z nejnovějších triků, které byly zaznamenány v několika zemích v Evropě, je technika phishingu využívající QR kódy, tzv. quishing, jejímž cílem je získání platebních údajů. Podvodníci v rámci této praktiky nalepují falešné QR kódy na ty skutečné na dobíjecích stanicích elektromobilů. V bezpečí nejsou ani řidiči klasických automobilů, neboť falešné QR kódy se nacházejí i na parkovacích automatech.
Odborníci z organizace ESET Security dali dohromady několik tipů, jak se vyhnout quishingu. V první řadě se pečlivě podívejte na QR kód, zda není na první pohled patrné, že je přelepený přes původní a zda se neliší font nebo jiný prvek od zbytku písma. Vypněte si v nastavení možnost provádět automatické akce při skenování QR kódu a zkontrolujte, zda URL směřuje skutečně na oficiální stránku poskytovatele dané služby. Více tipů, jak se před touto hrozbou chránit, naleznete v originálním článku.
FBI vytvořila vlastní kryptoměnu
FBI úspěšně provedla operaci s názvem „Operation Token Mirrors“, jejímž cílem bylo odhalit manipulace na kryptoměnovém trhu. Za tímto účelem vytvořila falešnou organizaci a kryptoměnu s názvem NextFundAI. Výsledkem této operace bylo obvinění 18 firem a jednotlivců, z nichž někteří již stanuli před soudem a přiznali vinu. Zabaveno bylo více než 25 milionů dolarů v kryptoměnách a několik obchodních botů i kryptoměn bylo deaktivováno.
Obvinění prováděli fiktivní obchody pomocí vlastních tokenů, čímž vytvářeli dojem, že jde o atraktivní investice, a uměle navyšovali cenu těchto tokenů s cílem přilákat nové investory. Tento proces, známý jako „wash trading“, je součástí tzv. Pump-and-Dump podvodu, ve kterém je cena jinak bezcenné kryptoměny nebo akcie podvodníky uměle navyšována pomocí falešných tvrzení o očekávaném růstu, podpořených zvýšenou aktivitou na trhu a jiných dezinformací šířených právě vlastníky těchto tokenů. Jakmile cena dosáhne požadované výše, podvodníci své tokeny hromadně prodají a hodnota aktiva následně klesne zpět na původní úroveň.
CISCO vyšetřuje údajný únik dat
Podle serveru BleepingComputer potvrdila společnost Cisco, že vyšetřuje tvrzení o úniku dat poté, co útočník začal prodávat uloupená data na hacking fóru. Vyšetřování začalo poté, kdy útočník jménem IntelBroker a další dva vystupující pod přezdívkami EnergyWeaponUser a zzj uvedli, že 6. října pronikli do sítě Cisca a získali velké množství vývojářských dat.
Podle jejich tvrzení unikla data z GitHubu, GitLabu, SonarQube, zdrojové kódy a v nich uvedené autentizační údaje, certifikáty, zákaznické zdrojové kódy, citlivé dokumenty Cisca, Jira tikety, API tokeny, AWS privátní buckety, Docker buildy, soukromé a veřejné klíče, SSL certifikáty, prémiové produkty Cisca a další. IntelBroker zveřejnil příklady odcizených dat včetně databáze, informací o zákaznících a screenshotů zákaznických administrátorských portálů. Cisco zatím další informace o vyšetřování nezveřejnilo. Zatím se zdá, že je minimálně vhodné zresetovat přístupy, které má Cisco do vaší sítě.
V digitalizaci a infrastruktuře Česko pokulhává
Česko se v postupném zavádění digitalizace a infrastruktury propadlo meziročně o šest příček, ukazuje analýza Indexu prosperity a finančního zdraví. Přestože se stále můžeme pochlubit nejhustší železniční sítí v EU a patříme mezi státy s nejvyššími investicemi do dopravy, úroveň digitalizace veřejných služeb za unijním průměrem zaostává.
Nedostatečné je také pokrytí vysokorychlostním internetem, které je dostupné jen v 53 % domácností. Menší podíl pokrytí má pouze Řecko.
Máte dnes hrůzu z úniku dat? Počkejte, jak s nimi naloží GenAI
Koncept úniku dat a všechny jeho důsledky pro soukromí, právo, dodržování předpisů i kybernetickou bezpečnost je třeba zásadně přehodnotit. Důvodem je nejničivější technologie v IT za poslední desetiletí – generativní umělá inteligence (GenAI).
Dřív byl únik dat přímočarou záležitostí. Stačilo, aby byl zaměstnanec nedbalý (nechal notebook v odemčeném autě, zapomněl vysoce citlivé dokumenty na sedadle v letadle, omylem poslal citlivý e-mail špatnému adresátovi) anebo hackeři jednoduše ukradli data, ať už uložená v počítači nebo při jejich přenosu.
Dnes se obavy, že k úniku dat dojde takovým způsobem, zdají být úsměvné. Podniková prostředí jsou zcela amorfní a únik dat může stejně snadno pocházet z firemního cloudu, od partnera SaaS nebo z nové oblíbené chyby všech, z partnerského prostředí velkého jazykového modelu (LLM).
Microsoft zveřejnil Digital Defense Report 2024
Společnost Microsoft zveřejnila Digital Defense Report 2024, ve kterém se čtenáři dozví například i to, že ačkoli počet ransomwarových útoků narůstá, díky pokročilým obranným nástrojům klesá jejich úspěšnost. Organizace čelí většímu množství útoků, ale snižuje se počet případů, při kterých skutečně dojde až k zašifrování dat.
Hlavními indikátory kompromitace zůstávají phishing a využívání zranitelností v neaktualizovaných systémech, přičemž 70 % úspěšných útoků využívá nezabezpečená zařízení v síti.
Ve zkratce
- Nově identifikovaný útok cílící na MS Copilot
- Telekopye stále více cílí na uživatele služeb Booking.com a Airbnb
- Ruský RomCom cílí na ukrajinskou vládu
- Affiliate program ransomware skupiny Cicada3301
- Nová linuxová varianta FastCash malware cílí na finanční systémy
- Kritická zranitelnost v nástroji Kubernetes Image Builder
Pro pobavení
„Server padl, kde je záloha?“ „Na tom serveru.“
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU