Postřehy z bezpečnosti: zatčení šestnácti kyberzločinců ve Španělsku

Malware Trickbot se vrací

Kriminální skupina za Trickbotem se snaží obnovit svou útočnou infrastrukturu i přes snahy o její potlačení. Botnety se skládají ze stovek nebo tisíců napadených počítačů sdružených do sítě kontrolované kybernetickými útočníky, jejímž účelem je zpravidla útok na jinou oběť s cílem vyřadit jí z činnosti. Botnety však umožňují také šířit malware a spam nebo dokonce škodlivý soubory šifrující ransomware.

Skupina stojící za Trickbotem zvaná Wizard Spider se mj. snaží o neustálé zdokonalování způsobů infekce počítačů přidáváním modulů s novými funkcemi zvyšujícími efektivitu. Podle zjištění Bitdefenderu nyní skupina intenzivně pracuje na modulu vncDll, který umožňuje monitorování a vzdálenou kontrolu PC obětí a získávání dat prostřednictvím komunikace s C2 servery.

SolarWinds opravil zero-day zranitelnost

SolarWinds potvrdil, že existuje zero-day zranitelnost v produktech Serv-U, která je aktivně zneužívána. Jedná se o zranitelnost, která se týká produktu Serv-U Managed File Transfer Server a Serv-U Secured FTP. Chyba se týká verze Serv-U 15.2.3 HF1 a verzí předchozích a je opravena ve verzi 15.2.3 HF2. Zákazníci jsou urgentně pobízeni k aktualizaci na opravenou verzi.

Záplaty od Adobe

Adobe ve svém červencovém vydání aktualizuje 11 kritických chyb ve svém produktu Acrobat 2020 PDF reader. Stejné zranitelnosti byly jak u verze pro Windows, tak u verze pro macOS. Kromě programů Acrobat Reader 2020 a Acrobat 2020 byly aktualizovány také Acrobat DC, Acrobat DC Reader, Acrobat Reader 2017 a Acrobat 2017. Kromě výše uvedených aktualizací jsou dostupné bezpečnostní aktualizace pro Adobe Illustrator, Framemaker Dimension a Bridge. Mezi opravené chyby u Adobe Bridge patří následující:

• heap-based buffer-overflow – CVE-2021–28624
• improper input-validation – CVE-2021–35991
• arbitrary code-execution – CVE-2021–35989, CVE-2021–35990

Aktualizujte Windows

Microsoft vydal opravy 117 chyb ve své pravidelné červencové aktualizaci, z nichž je 9 zero-day a nich 4 jsou aktivně zneužívány. Chyby se týkají následujících produktů od Microsoftu:

• Windows
• Bing
• Dynamics
• Exchange Server
• Office
• Scripting Engine
• Windows DNS
• Visual Studio Code

Mezi nejvíce zneužívané chyby patří zejména následující:

• CVE-2021–34527 – Windows Print Spooler RCE (PrintNightmare)
• CVE-2021–31979 – Windows Kernel Elevation of Privilege
• CVE-2021–33771 – Windows Kernel Elevation of Privilege
• CVE-2021–34448 – Scripting Engine Memory Corruption

Shlayer a Bundlore

Výzkumníci z týmu Uptycs analyzovali malware pro macOS a zjistili, že převládajícím malwarem je Shlayer a Bundlore. Jedná se o škodlivé Shell skripty, jejichž cílem je obvykle instalovat malware zobrazující reklamy. Instalátory jsou obyčejně DMG soubory pro macOS pocházející z webů se špatnou reputací nebo z kompromitovaných hledání pomocí Google. Malware využívá zejména následující nástroje:

• OpenSSL
• Curl
• Killall
• SQLite
• Funzip

Uptycs doporučuje aktualizovat vaše stroje posledními záplatami a opravami a povolit instalace software pouze z důvěryhodných zdrojů. Indikátory kompromitace jsou dostupné v původním článku.

Zatýkání kyberzločinců ve Španělsku

Ve středu bylo zatčeno 16 členů kriminální sítě v souvislosti se dvěma bankovními trojany, které byly součástí kampaně sociálního inženýrství proti finančním institucím v Evropě. Jednalo se o malware zvaný Mekotio a Grandoreiro instalovaný prostřednictvím kliknutí na odkaz v podvrženém e-mailu. Mekotio kradl hesla z prohlížečů a z paměti zařízení kvůli manipulaci s bankovním přístupem.

Kritická chyba RCE

Tzv. chyba ModiPwn otevírá produkční linky, senzory, výtahy a jiná zařízení používající PLC od Schneider Electric. Vyšlo najevo, že tato chyba umožňuje získat útočníkům rootovský přístup na PLC používané ve výrobě, automatizaci budov, zdravotnictví a podnikovém prostředí. Zranitelnost označovaná jako CVE-2021–22779, která využívá nedokumentované příkazy v kódu zařízení, se týká zařízení série Modicon.

Google odhaluje chyby prohlížečů

Výzkumníci z Google odhalili detaily kolem čtyř zero-day zranitelností v Chrome, Safari a Internet Exploreru, které byly již od začátku roku zneužívány při různých útočných kampaních. Níže následuje seznam nyní opravených zranitelností:

• CVE-2021–1879 – Use-After-Free in QuickTimePluginReplacement
• CVE-2021–21166 – Chrome Object Lifecycle Issue in Audio
• CVE-2021–30551 – Chrome Type Confusion in V8
• CVE-2021–33742 – Internet Explorer out-of-bounds write in MSHTML

Ve zkratce

• Zranitelnost v rozpoznávání obličeje
• Ransomware útoky na neaktualizované produkty SonicWall
• Napadení vládních entit v jihovýchodní Asii

Pro pobavení

O seriálu

Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…