Ruský Midnight Blizzard je zpět a útočí na účty Microsoft Teams
Neslavně známá skupina podporovaná Kremlem, známá jako Midnight Blizzard aka Cozy Bear aka APT29 aka Nobelium, využívá Microsoft Teams pro cílené útoky sociálního inženýrství. Při těchto útocích provádí phishingovou kampaň za účelem získání přihlašovacích údajů. Útočníci z Midnight Blizzard v minulosti kompromitovali Microsoft 365 tenanty malých firem a s pomocí těchto přístupů se jim podařilo vytvořit několik falešných domén, které se vydávají za technickou podporu. Momentálně skrze tyto účty provádějí další útoky, jejichž cílem je ukrást přihlašovací údaje od dalších obětí. Současné útoky byly velmi cílené a zaměřily se na přibližně 40 globálních organizací.
Midnight Blizzard využívá metodu krádeže tokenů pro získání počátečního přístupu do cílových prostředí. Útočníci však současně využívají různé druhy dalších útočných technik, jako je například spear-phishing, password spray, brute force a další. Zjištěný vzorec útoků pozorovaný nejméně od konce května 2023, byl identifikován jako podskupina rozsáhlejších kampaní zaměřených na útoky na přihlašovací údaje. Tyto kampaně odhalili výzkumníci z Microsoft Threat Intelligence a připisují je právě skupině Midnight Blizzard.
Nové funkce vyhledávače Brave
Vyhledávač Brave Search, který se zaměřuje na ochranu soukromí, představil novou funkcionalitu vyhledávání obrázků a videí. Stejnou funkcionalitu už poměrně dlouhou dobu obsahují jiné populární vyhledávače jako je Google nebo Bing. Tímto krokem se tak Brave opět přibližuje své konkurenci. Brave tvrdí, že jeho vyhledávání obrázků a videí je zcela soukromé a anonymní, bez sdílení dat s jinými subjekty nebo třetími stranami. Dříve Brave Search používal pro výsledky vyhledávání obrázků a videí API rozhraní API vyhledávače Bing, ale nyní poskytuje výsledky přímo ze svého vlastního indexu. Uživatelé tak již nemusí opouštět Brave ekosystém.
Ačkoli nová funkcionalita v současné době postrádá některé pokročilé filtry (typ licence, velikost, barva a další) jako mají například Google nebo Bing, Brave slibuje, že tato omezení vyřeší a své vyhledávání médií se chystá zlepšovat. Brave tak pokračuje ve své snaze odstranit nedostatek soukromí na internetu a to jak při běžném prohlížení, tak při vyhledávání médií a posiluje svou pozici jako spolehlivý a soukromí respektující vyhledávač.
Akustický keylogger britských výzkumníků
Tým výzkumníků z několika britských univerzit představil novou útočnou metodu, která dokáže krást data pouze na základě zvuků stisků klávesnice zaznamenaných přes mikrofon. Tento „akustický keylogger“ se může, dle zveřejněné studie [PDF], pochlubit přesností až 95 %. Útok funguje na základě zachycení zvuku vydávaného při stisknutí klávesy na klávesnici a jeho identifikaci pomocí AI modelu. Výzkumníci použili MacBook Pro k vytvoření tréninkových dat opakovaným stisknutím každé klávesy a nahráním příslušných zvuků. Tato data pak použili k tréninku modelu hlubokého učení nazvaného CoAtNet, který umožnil přesně identifikovat jednotlivé klávesy s přesností 95 %.
Při svém zkoumání vědci testovali útok také přes Zoom hovory a zjistili, že CoAtNet si zachoval působivou 93% přesnost při identifikaci jednotlivých stisků kláves. Teoreticky je tak možné tuto útočnou metodu využít pro krádež citlivých informací jako jsou hesla, čísla kreditních karet a další citlivé údaje. Podle výzkumníků je možné pro mitigaci útoku využít softwarová řešení, která replikují zvuky stisknutých kláves, bílý šum nebo využít softwarové filtry zvuku stisknutých kláves. Dobře mohou také fungovat biometrické autentizační metody a aplikace typu správce hesel.
Mazaný update udělá z Android aplikace backdoor
Bezpečnostní výzkumníci upozornili na nebezpečnou taktiku, kterou využívají útočníci v aplikacích na oficiálním obchodu s Android aplikacemi – Google Play.
První fází útoku je nahrát na Google Play neškodnou, většinou užitečnou aplikaci, která projde všemi bezpečnostními testy a na platformě čeká na instalace uživatelů jako časovaná bomba. Druhou fází je již samotný škodlivý útok, při kterém útočník přiměje aplikaci pomocí metody „dynamic code loading“ (DCL) k aktualizaci z vlastního serveru útočníka. Ta může obsahovat libovolný škodlivý kód, který Play Protect samozřejmě nedetekuje. Jako příklad můžeme uvést nález společnost ESET, která odhalila škodlivou aplikaci „iRecorder – Screen Recorder“ a která čekala téměř rok na škodlivý update.
Takzvaný versioning útok je velmi složité odhalit a jak již bylo zmíněno, dokonce i technologie Play Protect je na něj prozatím krátká. Podle Google Cybersecurity Action týmu si útoky kladou za cíl získávat uživatelská data a v mnoha případech bankovní údaje uživatele.
Útočníci podle všeho nespoléhají pouze na jednu aplikaci. Mají jich mnoho pod různými účty a v případě, že dojde k odstranění aplikace z platformy, se pouze přesunou k další časované bombě, tedy aplikaci, která ještě nebyla aktualizována škodlivým updatem. Jediným možným snížením rizika s útokem spojeným se v současné době zdá být bohužel pouze ověřování důvěryhodnosti vývojářů aplikací.
CPU zranitelná vůči Collide+Power side-channel útoku
Výzkumníkům z Technické univerzity ve Štýrském Hradci se podařilo objevit side-channel zranitelnost v hardwaru CPU, při které může potencionálně docházet k úniku dat. Výzkumníci ale zároveň uklidňují, že riziko zneužití se díky složitosti útoků zdá být nízké a s největší pravděpodobností tak nebude možné zranitelnosti využít k hromadným útokům na koncové uživatele.
Útok spočívá v exploitu samotného CPU celé stanice, kdy útočník může do paměti cache vkládat svá data, která, pokud se střetnou s daty z jiných aplikací, za pomoci měření spotřeby CPU, mohou pomoci útočníkovi k extrakci dat z cache. Útok má dvě varianty, první vyžaduje zapnutý hyperthreading a oběť jen musí přistoupit k citlivým datům. Druhá varianta využívá „prefetch gadget“ v OS a nepotřebuje akci ze strany oběti.
Obě metody jsou nicméně extrémně náročné na provedení a vyžadují dlouhodobý přístup k cílové stanici. Podle výzkumu jsou zranitelné procesory od Intel, AMD, a i ty využívající ARM architekturu. Přesné modely nebyly uvedeny, ale lze se domnívat, že téměř většina moderních CPU jsou zranitelná vůči těmto útokům.
Další zajímavosti ve zkratce
- Clop ransomware now uses torrents to leak data and evade takedowns
- Hackers exploit BleedingPipe RCE to target Minecraft servers, players
- Canon warns of Wi-Fi security risks when discarding inkjet printers
- Google makes it easier to remove your info, explicit images from search
- A New Attack Impacts Major AI Chatbots—and No One Knows How to Stop It
Pro zasmání
O seriálu
Tento seriál vychází střídavě za pomoci pracovníků Národního bezpečnostního týmu CSIRT.CZ provozovaného sdružením CZ.NIC a bezpečnostního týmu CESNET-CERTS sdružení CESNET, bezpečnostního týmu CDT-CERT provozovaného společností ČD - Telematika a bezpečnostních specialistů Jana Kopřivy ze společnosti Nettles Consulting a Moniky Kutějové ze sdružení TheCyberValkyries. Více o seriálu…
ČLÁNKY DO MAILU