Vítejte u dalšího vydání našeho blogu, které jsme výjimečně připravili na pondělí. Dnešní témata se točí kolem aktuálních kybernetických hrozeb a bezpečnostních zranitelností, které by neměly rozhodně ujít Vaší pozornosti. V prvním článku se zaměříme na nebezpečí, které představuje pro hybridní cloudová prostředí skupina známá jako Storm-0501. Druhá část bude věnována nedávno odhaleným bezpečnostním zranitelnostem v systému OpenPrinting Common Unix Printing System (CUPS), který je široce využíván na linuxových platformách a do třetice se podíváme na trvající zájem čínských aktérů o poskytovatele internetového připojení.
Příjemné čtení.
Tým Cybule
Obsah:
- Hrozba pro hybridní cloud – STORM-0501
- Odhalení bezpečnostních zranitelností v systému OpenPrinting Common Unix Printing System (CUPS) na Linuxových platformách
- Skupina Salt Typhoon kompromitovala poskytovatele internetového připojení v USA
Hrozba pro hybridní cloud – STORM-0501
(27.9.2024, Microsoft)
Společnost Microsoft identifikovala útok provedený skupinou Storm-0501, během kterého útočníci kompromitovali hybridní cloudová prostředí a provedli několikafázovou operaci. Ta zahrnovala laterální pohyb mezi on-premise a cloudovými systémy, což vedlo k exfiltraci dat, krádeži přihlašovacích údajů, neoprávněnému přístupu a instalaci backdooru a ransomwaru Embargo. Útok cílil na různá odvětví v USA, včetně státní správy, výrobního sektoru, dopravy a orgánů činných v trestním řízení. Finančně motivovaná skupina Storm-0501 využívá k provádění ransomwarových operací jak komerční, tak open-source nástroje. Storm-0501 je aktivní již od roku 2021, kdy se poprvé proslavila nasazením ransomwaru Sabbath (54bb47h) při útocích na americké školy. Skupina tehdy kromě zašifrování dat využívala také veřejné leaky těchto informací k vydírání a dokonce zasílala výhružné zprávy zaměstnancům škol a rodičům. Od té doby byly její útoky převážně oportunistické, neboť začala fungovat jako affiliate v rámci ransomware-as-a-service (RaaS) modelu, kdy nasazovala různé ransomwarové nástroje vyvinuté a spravované jinými skupinami. Mezi používanými ransomwary byly například Hive, BlackCat (ALPHV), Hunters International, LockBit a nejnověji Embargo. Nedávno byla tato skupina také zaznamenána při útocích na nemocnice v USA.
Storm-0501 attack chain (thehackernews)
Co potřebujete vědět:
- Storm-0501 je nejnovější hrozbou, která zneužívá slabá pověření a účty s nadměrnými oprávněními k přesunu z lokální infrastruktury organizací do jejich cloudových prostředí.
- Storm-0501 dříve získával počáteční přístup prostřednictvím spolupráce s access brokery, jako jsou Storm-0249 a Storm-0900. Tito prostředníci poskytli buď kompromitované přihlašovací údaje, nebo umožnili zneužití známých zranitelností vzdáleného spuštění kódu na nezáplatovaných veřejných serverech. V rámci své nedávné kampaně Storm-0501 využíval zranitelnosti v aplikacích Zoho ManageEngine (CVE-2022-47966), Citrix NetScaler (CVE-2023-4966) a ColdFusion 2016 (pravděpodobně CVE-2023-29300 nebo CVE-2023-38203). Společnost Microsoft zaznamenala, že tyto techniky, ve spojení s nedostatečnými bezpečnostními opatřeními na cílových zařízeních, umožnily skupině získat administrátorská oprávnění na napadených systémech.
- Po získání počátečního přístupu a možnosti vzdáleného spuštění kódu na napadeném zařízení v síti provedl útočník důkladný průzkum, aby identifikoval potenciálně zajímavé cíle, jako jsou kritická aktiva nebo získal obecné informace o doméně, například uživatele s oprávněním Domain Administrator a vztahy doménové struktury. Během této fáze využíval běžné nativní nástroje a příkazy systému Windows, jako například systeminfo.exe, net.exe, nltest.exe a tasklist.exe. K dotazování na další informace o koncových bodech byly rovněž využity open-source nástroje, jako ossec-win32 a OSQuery. Kromě toho bylo v některých útocích zaznamenáno použití obfuskované verze skriptu ADRecon.ps1, označované jako obfs.ps1 nebo recon.ps1, k průzkumu Active Directory.
- Po počátečním přístupu a průzkumu nasadil útočník několik nástrojů pro vzdálené monitorování a správu (RMM), například Level.io, AnyDesk a NinjaOne, aby mohl komunikovat s napadeným zařízením a udržovat persistenci. Útočník primárně využíval modul SecretsDump z nástroje Impacket, který umožňuje získávat přihlašovací údaje přes síť. Tento nástroj byl použit k získání přihlašovacích údajů z velkého množství zařízení. Kompromitovaná pověření pak útočník dále využil k přístupu na další zařízení a k extrakci dalších přihlašovacích údajů. Během tohoto procesu útočník současně přistupoval k citlivým souborům s cílem extrahovat KeePass secrets a prováděl útoky hrubou silou, aby získal přihlašovací údaje ke specifickým účtům.
- Microsoft uvedl, že Storm-0501 používal nástroj Cobalt Strike k laterálnímu pohybu v síti, a to za využití kompromitovaných přihlašovacích údajů, pomocí kterých spouštěl další příkazy. Exfiltrace dat z lokální infrastruktury byla realizována prostřednictvím nástroje Rclone, který přenášel data na veřejnou cloudovou službu MegaSync.
- Přechod do cloudu probíhal buď zneužitím kompromitovaného účtu Microsoft Entra Connect Sync, nebo únosem relace lokálního uživatelského účtu, který měl v cloudu odpovídající administrátorská oprávnění, přičemž bylo deaktivováno MFA (vícefaktorové ověřování). Útok vrcholil nasazením ransomwaru Embargo v celé napadené organizaci po získání dostatečné kontroly nad sítí, exfiltrací citlivých dat a lateral movementu do cloudu.
Komentář Cybule: Embargo je ransomware založený na programovacím jazyce Rust, který byl poprvé objeven v květnu 2024. Ransomwarová skupina stojící za Embargo funguje na základě modelu Raas (ransomware-as-a-service), kdy umožňuje svým přidruženým subjektům, jako je Storm-0501, používat její platformu k útokům výměnou za podíl na výkupném. Podobné techniky jako v případě Storm-0501 již dříve zaznamenala společnost Microsoft u jiných skupin, jako jsou Octo Tempest a Manatee Tempest, které rovněž cílí na propojení mezi lokálními a cloudovými prostředími k dosažení svých cílů. S tím, jak se rozšiřují hybridní cloudová prostředí, je pro organizace stále důležitější zajistit bezpečnost zdrojů na různých platformách. Společnost Microsoft se zavázala pomáhat zákazníkům porozumět těmto útokům a vytvářet proti nim účinnou obranu.
Odhalení bezpečnostních zranitelností v systému OpenPrinting Common Unix Printing System (CUPS) na Linuxových platformách
(26.9.2024, EvilSocket)
Soubor bezpečnostních zranitelností byl odhalen v systému OpenPrinting Common Unix Printing System (CUPS) na Linuxových platformách, které mohou za určitých podmínek umožnit vzdálené spuštění příkazů. Podle bezpečnostního výzkumníka Simon Margaritelli může neautentizovaný vzdálený útočník tiše změnit existující IPP URL adresy tiskáren nebo nainstalovat nové, což by mohlo vést k vykonání libovolných příkazů na cílovém počítači v okamžiku, kdy je z tohoto zařízení zahájena tisková úloha. CUPS je standardizovaný open-source tiskový systém určený pro Linux a další Unixové operační systémy, jako jsou ArchLinux, Debian, Fedora, Red Hat Enterprise Linux (RHEL), ChromeOS, FreeBSD, NetBSD, OpenBSD, openSUSE a SUSE Linux.
Co potřebujete vědět:
- Jedná se především o tyto zranitelosti:
- CVE-2024-47176 (cups-browsed): Zranitelnost v aplikaci cups-browsed, která naslouchá na portu UDP 631, důvěřuje paketům přicházejícím z jakéhokoli zdroje. Útočníci mohou tuto chybu zneužít k přesměrování CUPS na útočníkem ovládanou URL adresu, což může vést k provedení škodlivých příkazů při zahájení tiskové úlohy.
- CVE-2024-47076 (libcupsfilters): Knihovna libcupsfilters nesprávně ověřuje pakety protokolu IPP (Internet Printing Protocol), což útočníkům umožňuje vložit do systému CUPS škodlivá data.
- CVE-2024-47175 (libppd): Knihovna libppd neprovádí sanitaci atributů IPP, což umožňuje zápis škodlivých dat do dočasného souboru PPD.
- CVE-2024-47177 (cups-filters): Tato chyba v cups-filters umožňuje spuštění libovolného příkazu prostřednictvím parametru FoomaticRIPCommandLine v souborech PPD. Kombinace těchto zranitelností může vést k vzdálenému spuštění kódu v exponovaných systémech.
- Aby tento útok byl uspěšný, musí být splněny určité podmínky:
- Služba cups-browsed musí být povolena (není vždy povolena ve výchozím nastavení).
- UDP port 631 musí být veřejně nebo lokálně vystaven v rámci sítě.
- Musí být zahájena tisková úloha, aby exploit mohl uspět.
- Opatření k zmírnění rizika: Deaktivujte cups-browsed. Toto je nejrychlejší a nejúčinnější způsob, jak zmírnit riziko, pokud nepotřebujete automatické objevování tiskáren. Tímto příkazem změníte nastavení tak, aby se systém chránil před útoky.
Komentář Cybule: Vystavení UDP portu 631 může zanechat systémy zranitelné vůči externím útočníkům, kteří mají možnost posílat neautentizované pakety. To může vést k neoprávněné konfiguraci tiskáren a spuštění škodlivého kódu. Ačkoliv většina systémů standardně blokuje tento port, některé konfigurace mohou vést k jeho neúmyslnému vystavení, zejména v rámci místních sítí nebo cloudových prostředí. Opravy identifikovaných zranitelností jsou aktuálně ve vývoji a jejich vydání se očekává v následujících dnech. Do té doby se doporučuje deaktivovat a odinstalovat službu cups-browsed, pokud není nezbytně nutná, a blokovat či omezit veškerý provoz na UDP portu 631.
Skupina Salt Typhoon kompromitovala poskytovatele internetového připojení v USA
(26.9.2024, The Wall Street Journal)
Čínská skupina Salt Typhoon (také známá jako FamousSparrow a GhostEmperor) úspěšně kompromitovala několika amerických poskytovatelů internetových služeb (ISP) v rámci kyberšpionážní kampaně zaměřené na získávání citlivých informací. Probíhající analýza incidentu se zaměřuje na hypotézu, že útočníci kompromitovali klíčové routery Cisco Systems. Hlavní motivací útočníků je pravděpodobně získání dlouhodobé přítomnosti pro sběr citlivých dat nebo případné destruktivní akce. Útok na ISP je v souladu s dlouhodobě pozorovanou aktivitou Salt Typhoon. Kampaň je zjevně součástí širšího vzorce čínských kybernetických operací, které cílí na systémy kritické infrastruktury, včetně telekomunikačního a energetického sektoru.
Co potřebujete vědět:
- Čínská skupina Salt Typhoon primárně cílí na komunikační infrastrukturu, armádu a orgány činné v trestním řízení v Severní Americe, Oceánii, Jižní Americe a jihovýchodní Asii. Známá svým zaměřením na špionáž a krádež dat, skupina využívá techniky pro zachycování síťového provozu a modifikaci síťových zařízení pomocí nástrojů jako Derusbi, UnderAxe, Demodex a Scandi.
- Salt Typhoon je aktivní nejméně od roku 2020 a překrývá se s dalšími pozorovanými APT aktivitami sledovanými jako GhostEmperor a FamousSparrow. Primární cíle Salt Typhoon se nacházejí v sektoru informačních a komunikačních technologií (ICT), zejména jde o poskytovatele internetových služeb se silnými vazbami na vládní agentury a obranný průmysl. Do záběru Salt Typhoon patří také sektory solární energie, financí a nevládní organizace.
- Podle zjištění deníku Wall Street Journal se do reakce na incident zapojil bezpečnostní tým Microsoftu, který v současné době zjišťuje rozsah kompromitace a k jakým informacím měli útočníci přístup.
- Znepokojení plyne především z možnosti, že se útočníci dostali do typů routeru od společnosti Cisco, které se nacházejí v kritických částech sítě a přes které prochází významná část internetového provozu konkrétních poskytovatelů. Cisco v reakci na spekulace vydalo prohlášení, že v současné době společnost nemá informace, že by se kampaň Salt Typhoon týkala jejích zařízení.
- Jedná se o druhý odhalený závažný útok na ISP během třiceti dnů. Na konci srpna došlo ke zveřejnění informací o útoku na ISP ze strany skupiny Volt Typhoon, ke kterému pravděpodobně došlo nejpozději v červnu 2024.
Komentář Cybule: Odhalení kampaně Salt Typhoon přichází v krátkém sledu po zásahu FBI proti botnetu Raptor Train, o kterém jsme informovali v minulém vydání Cybulovin. Botnet využívala další čínská kyberšpionážní skupina Flax Typhoon. Čínské skupiny útočí proti telekomunikačnímu sektoru (kam patří např. ISP, mobilní operátoři nebo výrobci telekomunikačních zařízení) dlouhodobě. Cílem jsou často informace, které útočníkům umožňují zaměření se na konkrétní jednotlivce. Prvotní informace k aktivitě Salt Typhoon naznačují, že útočník mohl mít zájem i o získání dlouhodobého přístupu s cílem podniknout destruktivní aktivitu, např. nezvratného zašifrování, které může vést k permanentní nedostupnosti uložených informací nebo faktické likvidaci infikovaných zařízení např. smazáním Master Boot Record (MBR). Pokud se tato hypotéza potvrdí, jednalo by se o druhý známý příklad, kdy se čínská APT skupina pokusila o získání přístupu s cílem nepozorovaně přetrvat v napadeném systému až do doby, kdy přijde příkaz k vykonání kybernetické sabotáže. Doposud se takto chovala skupina Volt Typhoon. Bude nicméně těžké naprosto vyloučit další možnosti, protože z pohledu vyšetřovatelů se podobná aktivita od špionáže liší primárně tím, že útočník nepřistoupí ke zcizení informací, tj. jejich odesláním (exfiltrací) ze systému oběti na infrastrukturu pod kontrolou útočníka.