Microsoft Exchange se stal cílem sofistikovaného útoku
Microsoft vydal v úterý varování před sofistikovaným útokem na servery Microsoft Exchange. Útočník při něm řetězil čtyři různé zranitelnosti nultého dne (CVE-2021–26855, CVE-2021–26857, CVE-2021–26858 a CVE-2021–27065). Výsledkem tohoto útoku byl přístup k obsahu e-mailových schránek a instalace malwaru zajišťujícího dlouhodobý přístup do prostředí napadené instituce.
Podle Microsoftu za útokem s velkou mírou jistoty stojí Čínská APT skupina HAFNIUM, která operuje z VPS pronajatých v USA. V originálním blogpostu lze najít další technické podrobnosti a indikátory kompromitace.
Zneužití uvedených zranitelnosti stojí údajně i za útokem na informační systém Ministerstva práce a sociálních věcí.
Typosquatting v PyPI
Jednou za čas neuškodí si připomenout vynalézavý vektor útoku – typosquatting. Při něm útočník využije překlepů k tomu, aby nasměroval oběti na svou službu. Týká se to nejen webových stránek, ale i instalací balíčků.
Minulé pondělí kdosi nahrál na PyPI, hlavní repozitář pro instalaci knihoven jazyka Python, přes tři tisíce balíčků, jejichž jména nápadně připomínají známé knihovny s jedním či dvěma překlepy. Programátor, který si nedá pozor a omylem nainstaluje jinou knihovnu, může snadno nakazit svůj počítač. V tomto případě se mohlo jednat o dílo výzkumníka, balíčky obsahují pouze upozornění, aby přitáhly pozornost k možnému útoku. Zůstává však faktem, že za poslední dva roky programátoři nainstalovali/spustili z PyPI škodlivé balíčky půlmilionkrát.
V roce 2020 vzrostl ransomware o 150 procent
Podle „Group-IB“ za rok 2020 vzrostl ransomware o 150 %, přičemž průměrná částka, kterou i útočníci nárokovali se zdvojnásobila. Singapurská bezpečnostní společnost v loňském roce analyzovala více než 500 útoků. Podle analýzy průměrná částka výkupného pro zasílání dešifrovacího klíče činila 170 000 dolarů, přičemž skupiny Maze, DoppelPaymer a RagnarLocker vyžadovaly v průměru dva miliony dolarů. Je důležité zmínit, že mezi analyzovanými ransomware útoky byly převážně útoky na velké soukromé organizace v Americe a Evropě.
Únik nahrávek telemarketingové společnosti
Americké telemarketingové společnosti unikly osobní údaje desítek tisíc zákazníků po špatné konfiguraci cloudového úložiště. Podle informací mohl útočník získat 114 tisíc souborů. Většinou se jednalo o zvukové záznamy telefonních hovorů. Navíc tam bylo uloženo kolem 2 000 záznamů textových zpráv.
Podle bezpečnostního týmu, který odhalil únik dat, zvukové záznamy obsahovaly osobní informace jako například celá jména, adresy trvalého bydliště a telefonní čísla. Všechny tyto údaje se dají využívat na dobře cílený phishing, případně by útočník mohl zahájit další hovory a předstírat, že jedná jménem telemarketingové společnosti.
GO na vzestupu
Firma Intezer uvádí, že dochází k nárůstu použití jazyka Go při tvorbě škodlivého kódu. Navazuje tak na výzkum provedený již v roce 2019 Joshem Grunzveigem.
Jaké má Go z pohledu tvůrce škodlivého kódy výhody?
- Snadný proces cross platform kompilace. Je tak možné lehce vytvářet kód pro více platforem
- Stále ještě není snadné provádět reverzní analýzu výsledného kódu
- Výborná podpora síťové komunikace v jazyku
- Statická kompilace. To může být kvůli velikosti výsledného kódu nevýhoda (veliké přílohy k e-mailům), ale s velkým kódem mohou mít na druhou stranu některé antiviry potíže
Příkladů škodlivého kódu vytvořeného v Go je již poměrně dost: Zebrocy, WellMess, Godlike12, Go Loader, GOSH, Glupteba, CryptoStealer.Go, RobbinHood, Nefilim, EKANS a další.
Kurz Bezpečně v kyber je zdarma
Národní úřad pro kybernetickou a informační bezpečnost (NÚKIB) otevírá pro veřejnost svůj on-line kurz Bezpečně v kyber. Kurz, který se zaměřuje na kybernetickou bezpečnost a rizikové jevy v kyberprostoru, jako jsou kyberšikana, kyberstalking nebo hatespeech, je primárně určen pro pracovníky vzdělávání a prevence, pedagogy i ředitele škol, ale nyní si jej může projít kdokoli, kdo má o problematiku zájem.
Kurz je rozdělen na základní a rozšířenou verzi. Kratší verze obsahuje základní lekce, jakými jsou například sexting, netolismus nebo kybergrooming. Časová dotace kurzu je přibližně 3 hodiny a po složení testu na konci kurzu mohou zaregistrovaní uživatelé získat certifikát. Celkem v základní verzi čeká uživatele devět kapitol. V rozšířené verzi jsou kromě témat ze základní verze i témata jako poruchy příjmu potravy a Internet, rizika počítačových her nebo hatespeech.
Rozšířená verze obsahuje i kapitoly k mediální gramotnosti (Hoax, Hatespeech apod.), které pro kurz připravilo Ministerstvo školství, mládeže a tělovýchovy (MŠMT) ve spolupráci se Zvolsi.Info. Celkově rozšířená verze uživateli zabere více než šest hodin času a na jejím konci získá příslušný certifikát.
Zranitelnost nástroje VMWare View Planner
Nástroj VMWare View Planner obsahuje závažnou zranitelnost (CVE-2021–21978), která může potenciálnímu neautentizovanému útočníkovi umožnit vzdálené spuštění kódu. Jedná se o chybu ve validaci vstupu při kontrole souborových přípon a nedostatečnému ověření uživatele při nahrávání souborů. Zneužití zranitelnosti nevyžaduje žádnou akci od uživatele a není vysoce složité. Zranitelné jsou všechny verze produktu View Planner od verze 4.x, opravená verze je 4.6 Security Patch 1.
Ve zkratce
- Tři ruská top cybercrime fóra byla hacknuta
- Sto italských bank zasaženo trojským koněm Ursnif
- Výzkumníci nalezli tři nové kmeny malwaru z incidentu SolarWinds
- Opravena eskalace privilegií v linuxovém kernelu
- Nová malware kampaň Oblique integruje steganografii
Pro pobavení
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU