Postřehy z bezpečnosti: příběh malwaru QakBot zřejmě ještě není u konce

9. 10. 2023
Doba čtení: 4 minuty

Sdílet

 Autor: Depositphotos
V dnešním díle Postřehů se podíváme na deset nejčastějších bezpečnostních slabin postihujících velké organizace, stále funkční část infrastruktury malwaru QakBot nebo nové exploity pro zranitelnost v glibc.

NSA a CISA publikovaly seznam deseti nejčastějších bezpečnostních slabin

Severoamerické agentury NSA a CISA publikovaly v uplynulém týdnu společnou zprávu popisující deset nejčastějších bezpečnostních problémů, s nimiž se na základě zkušeností a šetření ofenzivních i defenzivních týmů zmíněných agentur potýkají velké organizace. Mezi často identifikovaná problematická místa patří vedle využívání defaultních (a potenciálně nebezpečných) konfigurací HW a SW, například i nevhodné oddělení administrátorských a uživatelských oprávnění, nedostatečná segmentace a monitoring sítě nebo slabě implementovaný patch management.

Přestože zpráva vychází ze zjištění týkajících se situace v USA, a její závěry nejsou nijak překvapivé, může být pro vybrané české instituce zajímavá. U každé z deseti identifikovaných problémových oblastí je totiž vedle detailního popisu uvedena i sada doporučených nápravných opatření a seznam souvisejících útočných technik namapovaných na rámec MITRE ATT&CK.

Dokument tak může sloužit jako relativně přístupný návod pro zlepšení vybraných oblastí kybernetické bezpečnosti (nejen) ve větších organizacích.

Některé části infrastruktury malwaru QakBot zřejmě přežily nedávný policejní zásah

Přestože v rámci masivní srpnové policejní akce zaměřené na likvidaci malwaru QakBot se mezinárodním policejním orgánům podařilo vyřadit z provozu C2 servery využívané pro řízení jmenovaného botnetu, z nově publikované zprávy výzkumného týmu Cisco Talos vyplývá, že část infrastruktury využívaná pro šíření škodlivého kódu zřejmě zůstala nedotčena.

QakBot byl historicky distribuován primárně s pomocí malspamových kampaní a jeho šíření touto cestou v návaznosti na zmiňovanou policejní akci ustalo. S pomocí stejné infrastruktury, která dříve šířila QakBot, je však dle zjištění Talosu zřejmě nadále distribuován ransomware Ransom Knight. Zdá se tak, že minimálně část systémů, které provozovatelé QakBotu historicky vybudovali, policejní akci přežila, a je dále využívána v rámci kybernetických útoků.

Byla publikována řada exploitů pro privilege escalation zranitelnost v glibc

Výzkumný tým společnosti Qualys publikoval počátkem týdne informaci o existenci buffer overflow zranitelnosti v GNU C Library (glibc), s pomocí níž je možné na zranitelných systémech provést eskalaci oprávnění.

Zranitelnost, jíž byl přiřazen identifikátor CVE-2023–4911, a kterou výzkumníci neformálně pojmenovali „Looney Tunables“, je dle vyjádření společnosti Qualys velmi jednoduše zneužitelná. Tomu odpovídá i skutečnost, že v průběhu týdne publikovala řada zástupců bezpečnostní komunity nezávisle na sobě různé PoC exploity pro její zneužití.

Vzhledem k tomu, že zranitelnost postihuje mj. řadu mainstreamových linuxových distribucí, je na místě doporučit správcům postižených systémů jejich brzké záplatování.

Ransomwarový útok na MGM Resorts údajně způsobil více než stomilionovou škodu

Společnost MGM Resorts, která provozuje řadu kasin ve Spojených státech, a která byla v průběhu září zasažena masivním ransomwarovým útokem, vydala v uplynulém týdnu prohlášení, v němž informovala své zákazníky o úniku osobních dat, k němuž v souvislosti s tímto útokem došlo.

V paralelním hlášení agentuře Securities and Exchange Commission pak organizace odhadla finanční škody způsobené útokem, za nímž stáli spolupracovníci ransomwarové skupiny BlackCat/ALPHV, na 100 milionů amerických dolarů v ušlém zisku a necelých 10 milionů v nákladech na zvládnutí incidentu.

Pro úplnost je vhodné uvést, že podobný ransomwarový útok postihnul několik týdnů před MGM Resorts i společnost Caesars Entertainment, která je rovněž provozovatelem kasin v USA. Druhá jmenovaná organizace však dle publikovaných informací na rozdíl od MGM zaplatila skupině ALPHV požadované výkupné a dopady na její provoz tak byly v porovnání s MGM minimální.

Kybernetické útoky cílené na Izrael

Přestože Izrael je dlouhodobě jednou ze zemí, na něž se kybernetičtí útočníci silně zaměřují, v době přípravy tohoto článku nebyly známy žádné kybernetické útoky, u nichž by bylo možné vyvozovat souvislost se sobotním vojenským útokem hnutí Hamás. Izrael se nicméně dle portálu The Jerusalem Post na možný kybernetický útok „připravuje“.

bitcoin_skoleni

Zmínku zaslouží, že ve čtvrtek krátkodobě došlo ke kompromitaci účtu izraelského prezidenta na platformě Telegram, dle prezidentské kanceláře však šlo o „kriminální aktivitu“, která nesouvisí s palestinsko-izraelským konfliktem.

Další zajímavosti

Pro pobavení

The weird sense of duty really good sysadmins have can border on the sociopathic, but it's nice to know that it stands between the forces of darkness and your cat blog's servers.

The weird sense of duty really good sysadmins have can border on the sociopathic, but it's nice to know that it stands between the forces of darkness and your cat blog's servers.

Autor: Randall Munroe, podle licence: CC BY-NC 2.5

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…

ikonka

Zajímá vás toto téma? Chcete se o něm dozvědět víc?

Objednejte si upozornění na nově vydané články do vašeho mailu. Žádný článek vám tak neuteče.

Autor článku

Jan Kopřiva je specialistou na kybernetickou bezpečnost s dlouhou praxí a širokými zkušenostmi. V současnosti působí jako bezpečnostní konzultant ve společnosti Nettles Consulting a také jako jeden z odborníků ve sdružení SANS Internet Storm Center.