Security Sunday 33/2024

Security Sunday 33/2024

Hackeři vydávající se za ukrajinskou bezpečnostní službu infikovali 100 vládních počítačů

 

Útočníci vydávající se za Bezpečnostní službu Ukrajiny (SSU) se pomocí škodlivých spamových e-mailů zaměřili na systémy patřící vládním agenturám země a napadli je.

 

V pondělí ukrajinský tým pro reakci na počítačové hrozby (CERT-UA) zveřejnil, že útočníci úspěšně infikovali více než 100 počítačů malwarem AnonVNC.

 

Některé vzorky byly podepsány pomocí certifikátu pro podepisování kódu společnosti, která vypadá jako čínská (Shenzhen Variable Engine E-commerce Co Ltd).

 

"Dobrý den, v souvislosti s komplexní kontrolou řady organizací vás žádám, abyste na Hlavní ředitelství SBU na adrese 01601, Kyjev 1, ul. Malopodvalna, 16, seznam požadovaných dokumentů do 15. srpna http://2024.Stáhněte si oficiální žádost: http://Dokumenty.zip," stálo ve škodlivých e-mailech, které odkazovaly na přílohu předstírající seznam dokumentů požadovaných SSU.

 

CERT-UA sice neuvádí přesný popis schopností malwaru, ale uvádí, že umožňoval skupině útočníků sledované jako UAC-0198 skrytý přístup k napadeným počítačům.


FBI vypíná servery ransomwarové skupiny Dispossessor v USA, Velké Británii a Německu

 

Americký Federální úřad pro vyšetřování (FBI) oznámil narušení online infrastruktury spojené se vznikající ransomware skupinou s názvem Dispossessor (známou také jako Radar).

 

V rámci tohoto úsilí byly zlikvidovány tři americké servery, tři servery ve Spojeném království, 18 německých serverů, osm domén se sídlem v USA a jedna doména se sídlem v Německu.

 

Dispossessor údajně vede osoba (osoby), která vystupuje pod online přezdívkou "Brain".

"Od svého vzniku v srpnu 2023 se Radar/Dispossessor rychle vyvinul v mezinárodně působící ransomwarovou skupinu, která se zaměřuje a útočí na malé a středně velké podniky a organizace z oblasti výroby, vývoje, vzdělávání, zdravotnictví, finančních služeb a dopravy," uvedla FBI ve svém prohlášení.

 

Jako oběti útoků Dispossessoru bylo identifikováno 43 společností po celém světě.


Microsoft opravuje kritické bezpečnostní chyby

 

Microsoft vydal ve svém Patch Tuesday několik oprav, kritických zranitelností.

Chyba CVE-2024-38063 (s CVSS 9,8) pomocí které lze vzdáleně spustit kód a která nevyžaduje žádné ověření je zneužívána pomocí paketů IPv6.

"Neautentizovaný útočník mohl opakovaně odesílat speciálně vytvořené IPv6 pakety, což mohlo umožnit vzdálené spuštění kódu," uvedl gigant Azure.

Existuje také další chyba verze 9.8, CVE-2024-38140, use-after-free v ovladači Windows Reliable [sic] Multicast Transport Driver, kterou lze opět zneužít k dosažení vzdáleného spuštění kódu na zranitelném počítači bez nutnosti ověření.

Další z kritických chyb, CVE-2024-38160, je RCE ve virtualizaci sítě Windows. Zdá se, že jde o způsob, jak napadnout ostatní zákazníky ve veřejném cloudu využívajícím technologie společnosti Microsoft.

"Tato zranitelnost může vést k tomu, že útočník získá možnost komunikovat s aplikacemi a obsahem jiných VM" uvádí Microsoft.


Nový malware Banshee se zaměřuje na Apple macOS

 

Výzkumníci v oblasti kybernetické bezpečnosti odhalili nový malware, který je určen speciálně pro systémy Apple MacOS.

Tento malware s názvem Banshee Stealer, je nabízen k prodeji za cenu 3 000 dolarů měsíčně a funguje na architekturách x86_64 i ARM64.

"Banshee Stealer se zaměřuje na širokou škálu prohlížečů, peněženek s kryptoměnami a přibližně 100 rozšíření do prohlížečů, což z něj činí vysoce univerzální a nebezpečnou hrozbu," uvedla společnost Elastic Security Labs ve čtvrteční zprávě.

Mezi webové prohlížeče a kryptoměnové peněženky, na které se malware zaměřuje, patří například Safari, Google Chrome, Mozilla Firefox, Brave, Microsoft Edge, Vivaldi, Yandex, Opera, OperaGX, Exodus, Electrum, Coinomi, Guarda, Wasabi Wallet, Atomic a Ledger.

Stealer je také vybaven k získávání systémových informací a dat z iCloud Keychain a také obsahuje řadu opatření proti analýze, aby se úspěšně mohl vyhnout detekci.

Mezi další pozoruhodné funkce patří schopnost shromažďovat data z různých souborů odpovídajících příponám .txt, .docx, .rtf, .doc, .wallet, .keys a .key ze složek Plocha a Dokumenty. Shromážděná data jsou poté exfiltrována ve formátu archivu ZIP na vzdálený server ("45.142.122[.]92/send/").

"Systém macOS se stále častěji stává hlavním cílem kyberzločinců a Banshee Stealer podtrhuje rostoucí výskyt malwaru specifického pro macOS," uvedla společnost Elastic.

Read more