Zneužití maker: několikastupňový útok na Ukrajinu
V minulém týdnu byl zaznamenán nový kybernetický útok zaměřený na koncové body geolokačně umístěné na Ukrajině. Cílem bylo nasadit Cobalt Strike a převzít kontrolu nad napadenými zařízeními.
Útočný řetězec podle laboratoří Fortinet FortiGuard Labs zahrnuje soubor aplikace Microsoft Excel, který obsahuje vložené makro VBA pro infekci. Podle společnosti „útočník používá vícestupňovou strategii k doručení payloadu Cobalt Strike a navázání komunikace s C2 serverem.“
Cobalt Strike, vyvinutý a spravovaný společností Fortra, je legitimní sada nástrojů pro simulaci útočníka, která se používá pro Red Teaming. V průběhu let však došlo k prolomení verzí tohoto nástroje a ty jsou hojně využívány ke škodlivým účelům.
Výchozím bodem útoku je dokument Excel, který po spuštění zobrazí obsah v ukrajinštině a vyzve oběť k povolení obsahu, aby se aktivovala makra. Stojí za zmínku, že společnost Microsoft od července 2022 makra v Microsoft Office ve výchozím nastavení zablokovala.
Po aktivaci makra se v dokumentu údajně zobrazuje obsah týkající se výše finančních prostředků přidělených vojenským jednotkám, zatímco na pozadí makro kódované v HEX nasadí downloader založený na DLL prostřednictvím nástroje register server ( regsvr32). Obfuskovaný downloader sleduje spuštěné procesy, zda nesouvisí s programy Avast Antivirus a Process Hacker, a pokud nějaký takový proces zjistí, okamžitě se ukončí.
Za předpokladu, že žádný takový proces není identifikován, osloví vzdálený server, aby načetl další fázi zakódovaného payloadu, ale pouze v případě, že se dané zařízení nachází na Ukrajině. Dekódovaný soubor je DLL, která je primárně zodpovědná za spuštění další DLL knihovny, injektoru klíčového pro extrakci a spuštění finálního malwaru.
Postup útoku vrcholí nasazením Cobalt Strike, který naváže kontakt s C2 serverem ( simonandschuster[.]shop). Podle společnosti Fortinet „se útočník zavedením kontroly polohy během stahování payloadu snaží zamaskovat podezřelou aktivitu a potenciálně uniknout kontrole analytiků.“ Kromě toho funkcionalita sebeodstranění napomáhá tomu, že útočník zůstává neodhalený.
Ticketmaster: masivní únik dat
U společnosti Ticketmaster došlo k odcizení dat z cloudové databáze třetí strany, pravděpodobně společnosti Snowflake.
Mateřská společnost Live Nation sdělila, že „dne 20. května 2024 společnost Live Nation Entertainment, Inc. (…) zjistila neoprávněnou aktivitu v prostředí cloudové databáze třetí strany, která obsahovala data společnosti (především z její dceřiné společnosti Ticketmaster LLC), a zahájila vyšetřování s předními forenzními vyšetřovateli, aby pochopila, co se stalo.“ Sedm dní poté údajně hackerská skupina známá jako Shiny Hunters nabídla uživatelská data společnosti k prodeji na dark webu za 500 000 dolarů.
Ačkoliv útok údajně odhalil údaje více než 560 milionů uživatelů společnosti Ticketmaster, společnost se nedomnívá, že narušení bude mít podstatný dopad na celkovou obchodní činnost nebo její finanční situaci. Ukradené databáze údajně obsahují 1,3 TB dat, včetně úplných údajů o zákaznících (tj. jména, domácí a e-mailové adresy a telefonní čísla), jakož i informace o prodeji vstupenek, objednávkách a o událostech 560 milionů zákazníků.
Server BleepingComputer vedl s hackerskou skupinou rozhovor, která v něm uvedla, že o data mají kupci zájem a domnívají se, že jeden z kupců, kteří je oslovili, byla samotná společnost Ticketmaster. Na otázku, jakým způsobem data ukradli, odpověděli, že „k tomu nemohou nic říct“.
V uplynulém týdnu však byly odhaleny další informace, jak hackeři získali přístup k databázi společnosti Ticketmaster a pravděpodobně i k údajům mnoha dalších zákazníků. Podle zástupců Hudson Rock útočníci uvedli, že jsou zodpovědní za nedávné úniky dat společností Santander a Ticketmaster a že data ukradli z cloudového úložiště společnosti Snowflake. Podle útočníků použili přihlašovací údaje ukradené pomocí infostealeru, aby získali přístup k ServiceNow účtu zaměstnance společnosti Snowflake, jenž použili k exfiltraci informací ze společnosti, jako jsou neexpirované autentizační tokeny, které mohly být použity k vytvoření tokenů relací a přístupu k účtům zákazníků za účelem stažení dat.
Útočníci tvrdí, že tuto metodu použili ke krádeži dat dalších společností, včetně Anheuser-Busch, State Farm, Mitsubishi, Progressive, Neiman Marcus, Allstate a Advance Auto Parts. Společnosti Progressive a Mistubishi tvrzení útočníků zpochybnily a serveru BleepingComputer sdělily, že nic nenasvědčuje tomu, že by došlo k narušení jejich systémů nebo dat. Společnost Snowflake tvrdí, že nedávná narušení byla způsobena špatně zabezpečenými účty zákazníků, jejichž přihlašovací údaje byly odcizeny a neměly povolené vícefaktorové ověřování.
Společnost dodala, že útoky začaly v polovině dubna a údaje zákazníků byly poprvé odcizeny 23. května. Společnost Snowflake sdílela IOC z těchto útoků, aby zákazníci mohli vyhledat záznamy a zjistit, zda byli napadeni.
Čínské skupiny spolupracují v kyberšpionážní kampani
Čínští státem sponzorovaní aktéři zaměřují nejméně od března 2023 kybernetickou špionážní kampaň pod názvem Crimson Palace proti blíže nespecifikované vládní agentuře v jihovýchodní Asii. Podle zprávy společnosti Sophos se kampaň opírá o nové varianty malwaru a tři různé klastry aktivit, které naznačují koordinovaný útok pod jednou organizací. Tyto klastry jsou podle společnosti spojené s čínskými skupinami BackdoorDiplomacy, REF5961, Worok, TA428 a podskupina APT41 Eart Longzhi.
Zatímco počáteční přístup nebylo možné určit, výzkumníci zaznamenali související aktivity z počátku roku 2022, které využívaly vlastní malware Nupakage dříve spojovaný s čínskou skupinou Mustang Panda.
První klastr Alpha (STAC1248) byl aktivní od začátku března do srpna 2023 a zaměřoval se na nasazení aktualizovaných variant malwaru EAGERBEE schopných narušit síťovou komunikaci bezpečnostních agentur. Hlavním cílem bylo mapování podsítí serverů a výčet administrátorských účtů prostřednictvím průzkumu infrastruktury Active Directory. Činnost se opírala o několik stálých C2 kanálů, včetně agenta Merlin, backdooru PhantomNet, malwaru RUDEBIRD a backdooru PowHeartBeat. Aby se klastr vyhnul detekci, použil binární soubory LOLBins (living-off-the-land) pro udržení perzistence služeb se zvýšenými systémovými právy a provedl side-loading DLL knihoven s osmi jedinečnými DLL knihovnami, které využívaly služby systému Windows a legitimní binární soubory společnosti Microsoft.
Druhý klastr Bravo (STAC1807) byl aktivní pouze během tří týdnů v březnu 2023, zaměřoval se na laterální pohyb a perzistenci a do cílových systémů nasadil dosud neznámý backdoor s názvem CCoreDoor. Klastr použil přejmenované verze podepsaných side-loadovaných binárních souborů, aby zamaskoval nasazení backdooru a usnadnil laterální pohyb, a zároveň přepsal soubor ntdll.dll v paměti, aby odpojil proces ochrany koncových bodů společnosti Sophos od kernelu.
Třetí klastr Charlie (SCAT1305) byl aktivní od března 2023 nejméně do dubna 2024. Po delší dobu se podílel na řízení přístupu a rozsáhlém průzkumu. Klastr nasadil několik vzorků dříve neidentifikovaného malwaru s názvem PocoProxy, který sloužil k perzistentní C2 komunikaci. Kromě toho zachytával přihlašovací údaje na řadičích domény a prováděl hromadnou analýzu logů událostí a automatické prověřování příkazem ping k mapování uživatelů a koncových bodů v síti.
Společnost Sophos uvedla, že „s mírnou jistotou odhadujeme, že v této vysoce postavené vládní agentuře jihovýchodní Asie působilo nejméně od března 2022 více různých čínských státem sponzorovaných aktérů. (…) Ačkoliv v současné době nejsme schopni provést atribuci s vysokou spolehlivostí nebo potvrdit povahu vztahu mezi těmito klastry, naše současné vyšetřování naznačuje, že tyto klastry odrážejí práci oddělených aktérů pověřených ústředním orgánem paralelními cíli při sledování čínských státních zájmů.“
Celkově tři klastry fungovaly během standardní čínské pracovní doby (od 08:00 do 17:00 SEČ), čímž se toto období rozdělilo na tři části, které se nepřekrývaly, což naznačuje vysokou úroveň koordinace. Společnost Sophos zjistila, že škodlivá aktivita se v některých případech zvýšila, například 12. června 2023, kdy byl v cílové zemi svátek. To pravděpodobně zastihlo obránce s nedostatečným počtem zaměstnanců.
Společnost Sophos nadále monitoruje aktivitu narušitele v cílové síti.
Rusko bylo zasaženo trojským koněm Decoy Dog
Ruské energetické společnosti, IT firmy a vládní agentury se v minulém týdnu staly terčem kybernetických útoků s využitím malwaru s názvem Decoy Dog.
Společnost Positive Technologies sleduje tyto aktivity pod názvem Operace Lahat a připisuje je APT skupině HellHounds. Bezpečnostní výzkumníci společnosti uvádějí, že „skupina Hellhounds využívá primární vektory kompromitace od zranitelných webových služeb až po zneužití důvěryhodných vztahů.“
Skupinu HellHounds firma poprvé zdokumentovala koncem listopadu 2023 po kompromitaci nejmenované energetické společnosti tímto malwarem. V současnosti je potvrzeno, že skupina kompromitovala 48 obětí v Rusku, včetně IT společností, vlád, firem z vesmírného průmyslu a poskytovatelů telekomunikačních služeb. Existují důkazy, že se skupina zaměřuje na ruské společnosti přinejmenším od roku 2021 a že vývoj malwaru probíhal již v listopadu 2019.
Podrobnosti o malwaru Decoy Dog se objevily v dubnu 2023, kdy společnost Infoblox odhalila, že malware pro komunikaci se svým C2 serverem využívá tunelování DNS, aby mohl vzdáleně ovládat infikovaná zařízení. Pozoruhodnou vlastností malwaru je jeho schopnost přesouvat oběti z jednoho kontroleru na druhý, což mu umožňuje udržovat komunikaci s napadenými počítači.
Společnost Positive Technologies uvedla, že nejméně ve dvou případech se útočníkovi podařilo získat počáteční přístup k infrastruktuře obětí prostřednictvím dodavatele s využitím kompromitovaných přihlašovacích údajů Secure Shell (SSH).
Zero-day v aplikaci TikTok: převzetí vysokoprofilových účtů
V uplynulém týdnu útočníci zneužili zranitelnost nultého dne ve funkci přímých zpráv na sociální síti TikTok a převzali kontrolu nad vysokoprofilovými účty několika společností a celebrit.
Napadené uživatelské účty patřící společnostem Sony, CNN a dalším byly po převzetí odstraněny, aby se zabránilo jejich zneužití. Jak uvedl časopis Forbes, exploit, který útočníci použili k nabourání účtů prostřednictvím soukromých zpráv, vyžaduje pouze to, aby cíle otevřely škodlivou zprávu, ale nevyžaduje stažení payloadu ani kliknutí na vložené odkazy.
TikTok přijal opatření, aby tento útok zastavil a zabránil mu v budoucnu. V případě potřeby pracuje přímo s majiteli napadených účtů na obnovení přístupu. Podle prvotní analýzy útočníci ohrozili pouze malý počet účtů. Společnost zatím nezveřejnila přesný počet zasažených uživatelů a nesdělila žádné podrobnosti týkající se zneužité zranitelnosti, dokud nebude opravena chyba.
Nejedná se o první zranitelnost, která v posledních letech TikTok postihla. Naposledy společnost opravila chybu v aplikaci pro operační systém Android, kterou v srpnu 2022 objevila společnost Microsoft a která umožňovala hackerům „rychle a nenápadně“ převzít účet jedním kliknutím. Předtím opravila bezpečnostní chyby, které útočníkům umožňovaly obejít ochranu soukromí a ukrást soukromé informace uživatelů, včetně telefonních čísel a ID.
Společnost také opravila chyby, které umožňovaly zmocnit se účtů uživatelů, kteří se zaregistrovali prostřednictvím aplikací třetích stran, a kompromitovat účty za účelem manipulace s videi jejich majitelů a krádeže jejich osobních údajů.
Ve zkratce
- Podle Ukrajiny hackeři zneužili nástroj SyncThing ke krádeži dat
- Nový ransomware cílí na školy v USA skrze VPN
- Společnost PandaBuy byla vydírána po zaplacení výkupného znovu
- FBI získala 7000 klíčů Lockbitu a vyzývá oběti, aby se ozvali
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU