Cybuloviny 13/24

Koordinovaná operace mezi orgány činnými v trestním řízení a soukromými společnostmi by byla ještě před pár lety jen těžko představitelná. Možná právě proto dostala operace na vyřazení serverů Cobalt Strike Beacon název po řeckém bohu snů – Morpheus. Zatímco operace MORPHEUS efektivně likvidovala nelicencované verze Cobalt Strike, ruská skupina APT29 pokračovala ve své sérii útoků na významné technologické firmy. Po útocích na Microsoft a Hewlett Packard se nyní zaměřila na německý TeamViewer. A do třetice se zaměříme na škodlivé rozšíření prohlížeče Google Chrome používané severokorejskou kyberšpionážní skupinou Kimsuky.

Příjemné čtení.

Tým Cybule

Obsah:

  • MORPHEUS: Globální zásah Europolu proti zneužívání Cobalt Strike
  • TeamViewer napaden ruskou hackerskou skupinou APT29
  • Severokorejská skupina Kimsuky krade informace přes rozšíření prohlížeče Chrome

MORPHEUS: Globální zásah Europolu proti zneužívání Cobalt Strike

(3.7.2024, Europol)

V rámci rozsáhlé mezinárodní operace pod koordinací Europolu, kterou vedla britská Národní agentura pro boj proti trestné činnosti (NCA) ve spolupráci s partnerskými organizacemi z 27 zemí, bylo vyřazeno 593 serverů Cobalt Strike zneužívaných kyberzločinci. Operace MORPHEUS, která trvala týden, identifikovala a odstranila nelicencované verze tohoto rozšířeného nástroje pro penetrační testování, které byly využívány k proniknutí do systémů, krádežím dat a dalším kybernetickým útokům.

Co potřebujete vědět:
  • Cobalt Strike je populární komerční nástroj vyvinutý společností Fortra pro potřeby penetračního testování, jehož cílem je provádět simulované útoky s cílem identifikovat slabá místa v zabezpečení a napodobovat taktiky a techniky reálných hrozeb, čímž se stává neocenitelným nástrojem pro bezpečnostní profesionály, kteří chtějí posílit odolnost své organizace proti kybernetickým útokům.
  • V rukou kyberzločinců se nelicencované kopie Cobalt Strike stávají mocným nástrojem využitelným k široké škále útočných aktivit.
  • Tyto verze byly spojeny s mnoha významnými malwarovými a ransomwarovými kampaněmi, včetně kampaní RYUK, Trickbot a Conti.
  • Společnost Fortra podnikla kroky, aby zabránila zneužívání svého softwaru a během tohoto vyšetřování spolupracovala s orgány činnými v trestním řízení a s řadou soukromých společností jako je BAE, Trellix, Spamhaus a The Shadowserver Foundation.
  • Orgány činné v trestním řízení identifikovaly známé IP adresy s řadou názvů domén používaných zločineckými skupinami, aby poskytovatelé internetových služeb (ISP) mohli zablokovat nelicencované verze tohoto nástroje. Celkem bylo v 27 zemích označeno 690 IP adres, z nichž bylo odstraněno 593.
  • Spolupráce mezi veřejným a soukromým sektorem byla zásadní pro dosažení úspěchu této operace, neboť partneři ze soukromého sektoru využili pokročilé skenovací, telemetrické a analytické schopnosti, aby pomohli identifikovat tyto škodlivé aktivity.
  • Nový přístup umožnil pozměněný regulační rámec Europolu, který posílil schopnost agentury lépe podporovat členské státy EU, včetně spolupráce se soukromým sektorem. Díky tomuto novému přístupu má Europol přístup k informacím o hrozbách v reálném čase a širšímu pohledu na taktiku kyberzločinu.
  • Toto partnerství umožňuje koordinovanější a komplexnější reakci, což v konečném důsledku zvyšuje celkovou odolnost digitálního ekosystému v celé Evropě.

Komentář Cybule: Operace MORPHEUS je tento rok již několikátým koordinovaným zásahem proti kyberkriminálním aktérům a představuje významný krok v posílení mezinárodní spolupráce. I když je operace nepochybně důležitým vítězstvím, boj proti kyberkriminalitě je běh na dlouhou trať. Je nutné pokračovat v investicích do preventivních opatření, posilovat odolnost systémů a zvyšovat povědomí o kybernetické bezpečnosti. Pouze komplexní a koordinovaný přístup na globální úrovni umožní efektivně čelit kybernetickým hrozbám a chránit neustále se vyvíjející a rozšiřující se digitální prostředí.

TeamViewer napaden ruskou hackerskou skupinou APT29

(26.6.2024, TeamViewer)

Společnost TeamViewer odhalila 26. června 2024, že její vnitřní firemní síť byla napadena hackerskou skupinou APT29, známou také jako Cozy Bear a Midnight Blizzard. Tato skupina, podporovaná ruskou zahraniční službou SVR, se typicky zaměřuje na evropské vlády, členské státy NATO a na významné technologické společnosti. TeamViewer ve svém prohlášení zdůraznil, že nebylo zcizeno žádné zákaznické ani produkční datové prostředí.

Co potřebujete vědět:
  • Podle vyšetřování využili útočníci kompromitovaný zaměstnanecký účet k proniknutí do vnitřní sítě TeamVieweru. Získali přístup k šifrovaným heslům a seznamům zaměstnanců, které obsahují jména a firemní kontaktní údaje.
  • Přestože TeamViewer uvedl, že neexistují žádné důkazy o narušení podnikového prostředí nebo zákaznických dat, několik firem zabývajících se kybernetickou bezpečností, včetně NCC Group Global Threat Intelligence a Health-ISAC, varovalo své klienty před možným kompromitováním a aktivním využíváním softwaru TeamViewer skupinou APT29.
  • TeamViewer v reakci na útok posílil své autentizační postupy a spolupracuje s Microsoftem na zmírnění rizik. Společnost také informovala příslušné úřady a pracuje na obnovení svého IT prostředí.
  • TeamViewer je oblíbený software pro vzdálenou správu, používaný více než 640 000 zákazníky po celém světě a nainstalovaný na více než 2,5 miliardách zařízení, hraje klíčovou roli v mnoha kritických odvětvích, včetně výroby, zdravotnictví a veřejného sektoru.
  • Tato událost není první, kdy byla společnost TeamViewer kompromitována státem sponzorovaným útočníkem. V roce 2016 byla cílem čínské APT skupiny, která nasadila backdoor Winnti a zcizila velké množství dat. Kompromitace byla veřejně oznámena až v roce 2019. V současném incidentu TeamViewer přislíbil, že bude transparentní a bude poskytovat aktuální informace v průběhu vyšetřování.

Komentář Cybule: APT29 je od roku 2008 spojována s několika významnými kompromitacemi, včetně Demokratického národního výboru v roce 2015 a incidentu SolarWinds v roce 2020. V lednu 2024 vyšly najevo kompromitace společností Microsoft a Hewlett Packard Enterprise, přičemž se skupina zaměřila na získání citlivých informací z poštovních schránek. Jak jsme mohli pozorovat i v případě TeamViewer, i zde byl cíl získat citlivé a osobní údaje. Navzdory ujištění společnosti TeamViewer, že nebylo zcizeno žádné zákaznické ani produkční datové prostředí, vzbuzuje rozsah a povaha tohoto narušení obavy. Vzhledem k tomu, že TeamViewer poskytuje vzdálený přístup k počítačům a často má rozsáhlé oprávnění ke klientským systémům, může mít tento útok potenciálně závažné důsledky. Transparentnost a rychlá reakce společnosti TeamViewer jsou v této situaci klíčové pro obnovu důvěry zákazníků a zajištění bezpečnosti jejich systémů.

Severokorejská skupina Kimsuky krade informace přes rozšíření prohlížeče Chrome

(1.7.2024, Zscaler)

Výzkumníci Zscaler ThreatLabz odhalili aktivitu severokorejské skupiny Kimsuky. V pozorované kampani Kimsuky použila nové škodlivé rozšíření pro Google Chrome s názvem “TRANSLATEXT”. Toto rozšíření krade citlivé informace jako jsou e-mailové adresy, uživatelská jména, hesla, cookies a snímky obrazovky prohlížeče. Rozšíření je mimo jiné schopné obcházet bezpečnostní nastavení Google Mail a (v Jižní Koreji) velmi populárních služeb Naver a Kakao. Kampaň cílí na jihokorejské akademiky a vládní zaměstnance specializované na záležitosti Severní Koreje. Rozšíření bylo krátce hostováno na GitHubu v repozitáři, který skupina založila v březnu 2024.

Architektura nástroje TRANSLATEXT (Zscaler)

Co potřebujete vědět:
  • TRANSLATEXT byl nahrán na GitHub jako GoogleTranslate.crx a vydával se za rozšíření Google Translate. Obsahoval však čtyři škodlivé JavaScriptové soubory, které byly navrženy k obcházení bezpečnostních opatření, krádeži e-mailových adres a přihlašovacích údajů, pořizování snímků obrazovky prohlížeče a exfiltraci cookies a dalších dat.
  • Prvotním vektorem útoku je pravděpodobně spearphishingový email, který oběti doručí ZIP soubor 한국군사학논집 심사평서 (1).zip (Recenze monografie o vojenské historii Koreje). V souboru je dokument ve formatu HWP (Hangul Word Processor), v Koreji populární formát pro práci s korejským znakovým písmem, a spouštěcí soubor Windows, který se vydává za dokument.
  • Když uživatel spustí spouštěcí soubor, tak malware načte PowerShell skript ze serveru útočníka. Kimsuky spustí další PowerShell skripty ke sběru informací o oběti a zkontroluje rozšíření prohlížeče Google Chrome. Útočník poté přidá TRANSLATEXT do registru HKCU\Software\Policies\Google\Chrome\ExtensionInstallForcelist, který umožňuje vynutit instalaci rozšíření bez vědomí uživatele.
  • Kimsuky je aktivní nejméně od roku 2013 a je známá kyberšpionážními i finančně motivovanými útoky, které primárně cílí na jihokorejské think-tanky, vládní instituce a akademickou sféru.
  • Kimsuky často zneužívá zranitelností v Microsoft Office a používá pracovní témata k širším spearphishingovým kampaním.
  • V posledních týdnech skupina zneužila známou bezpečnostní chybu v Microsoft Office (CVE-2017-11882) k distribuci keyloggeru a použila pracovní návnady v útocích zaměřených na letecký a obranný sektor s cílem nasadit nový backdoor s funkcemi pro sběr dat a spouštění sekundárního malwaru (nástroje použité po prvotní kompromitaci).

Komentář Cybule: Kimsuky je sesterská skupina známějšího aktéra Lazarus (APT38, Diamond Sleet, STARDUST CHOLLIMA). Obě skupiny působí v rámci severokorejské zpravodajské služby Reconnaissance General Bureau (RGB), která spadá do působnosti Generálního štábu Korejské lidové armády. Kimsuky je také sledována pod názvy APT43, ARCHIPELAGO, Black Banshee, Emerald Sleet, Springtail a VELVET CHOLLIMA. Cílení na akademický sektor a specificky na experty na Severní Koreu je častou aktivitou severokorejských skupin. V probíhající kampani se Kimsuky pravděpodobně snaží o sběr zpravodajských informacích o postoji vlády Jižní Koreje vůči KLDR.

Přejít nahoru