Cybuloviny 21/24

/ Cybuloviny, Týdenní přehled

Pomalu se přesouváme do podzimu a i útočníci si zcela jistě odpočinuli, i když na jejich letní aktivitě se to moc neprojevilo. Analytici Trend Micro objevili nový bezsouborový backdoor, který si do systému obětí našel cestu přes lednovou zranitelnost v populárním nástroji Atlassian Confluence. Finské úřady se připojují k mnoha varováním před státními aktéry, kteří využívají kompromitovaná domácí zařízení ke ztěžování detekce jejich škodlivých aktivit. A pokud po skončení léta hledáte zaměstnání, tak si dejte pozor na falešné nabídky od severokorejské skupiny Lazarus. This is not the job you are looking for a navíc přijdete o citlivá data a (pokud máte) kryptoměny.

Příjemné čtení.

Tým Cybule

Obsah:

  • Zranitelnost v Atlassian Confluence umožňuje rozmístění nového backdooru Godzilla
  • Finské úřady upozornují na riziko nezabezpečených domacích síťových zařízení
  • Severokorejská skupina Lazarus cílí na zájemce o práci pomocí falešné aplikace FreeConference

Zranitelnost v Atlassian Confluence umožňuje rozmístění nového backdooru Godzilla

(30.8.2024, Trend Micro)

Společnost Trend Micro identifikovala nový vektor útoku využívající zranitelnost CVE-2023-22527 v softwaru Atlassian Confluence. Tento útok zahrnuje nový bezsouborový backdoor známý jako webshell Godzilla, který funguje v paměti napadeného počítače a byl vyvinutý uživatelem “BeichenDream”. Trend Micro označuje Godzillu jako čínskojazyčný malware, ale jinak nepřiřazuje pozorovanou aktivitu konkrétnímu státu nebo aktérovi. Útočník nejprve využije zranitelnost v Atlassian Confluence, která umožňuje vzdálené spuštění kódu v kompromitovaném prostředí. Ve druhém kroku spustí útočník loader, který nahraje Godzillu. Po spuštění Godzilly získává útočník vzdálený přístup. Trend Micro ve své analýze nespecifikuje aktivitu útočníka po umístění backdooru do systému oběti. Obecně platí, že backdoor umožňuje aktérovi získat vzdálený přístup, kterým nejen obejde nutnost standardní autentizace, ale také slouží jako alternativní přístup do napadeného systému pro případ, že zranitelnost, kterou původně zneužil, byla v průběhu kampaně opravena.

Co potřebujete vědět:
  • Webshell Godzilla je bezsouborový backdoor fungující v paměti počítače, čímž se vyhýbá detekci tradičními antivirovými řešeními. Hlavním problémem bezesouborových technik malwaru je, že jsou extrémně obtížně detekovatelné, pokud se obrana počítače spoléhá na starší antivirové programy, které používají metody detekce založené na signaturách malwaru (části kódu, které jsou pro daný malware unikátní), sandboxingu, whitelistingu nebo i metod ochrany pomocí strojového učení.
  • Komunikace mezi C2 serverem pod kontrolou útočníka a Godzillou je chráněna AES šifrováním.
  • Útok využívá CVE-2023-22527, kritickou zranitelnost v Atlassian Confluence. Tato zranitelnost s nejvyšším možným CVSS skóre 10 umožňuje vzdálené spuštění kódu využitím chyby v injekci šablony. Trend Micro zdůrazňuje důležitost oprav systémů a používání pokročilých bezpečnostních opatření k boji proti takovým hrozbám. V tomto konkrétním případě jde o zranitelnost z ledna 2024, tj. od ledna 2024 existuje bezpečnostní aktualizace. Přesto je zranitelnost široce zneužívána i na na začátku zaří 2024.
  • CVSS skóre (Common Vulnerability Scoring System) je standardizovaný systém pro hodnocení závažnosti bezpečnostních zranitelností v informačních systémech spravovaný organizací FIRST. Faktory jako relativní složitost zneužití, potřeba lokálního přístupu, potřeba akce ze strany napadeného uživatele (např. stažení škodlivé přílohy emailu), hrají roli při výpočtu CVSS skóre. V případě CVE-2023-22527 jde o zranitelnost, jejiž zneužití probíhá přes síťové připojení, nevyžaduje interakci na straně uživatele a útočník nepotřebuje získat vyšší oprávnění než je běžný uživatel.

Komentář Cybule: Confluence je softwarový nástroj pro podporu spolupráce na týmových projektech, práce s obsahem a správou dokumentů napříč organizací. Typickým uživatelem jsou velké soukromé i státní organizace, což činí ze zranitelností v Atlassian Confluence vysoce žádané zboží mezi státními i kriminálními aktéry. Trend Micro prozatím analyzoval vektor útoku zneužití zranitelnosti v Confluence k umístění Godzilly na cílových systémech. Dá se předpokládat, že analýza celého incidentu bude dostupná v budoucnu, včetně analýzy funkcionalit Godzilly a možnosti atribuce útočníka.

Finské úřady upozorňují na riziko nezabezpečených domácích síťových zařízení

(1.9.2024, Yle.fi)

Finské úřady varovaly, že nedemokratické státy zneužívají nezabezpečená síťová zařízení v finských domácnostech a firmách pro kybernetickou špionáž. Finská bezpečnostní a zpravodajská služba (Supo) a Centrum kybernetické bezpečnosti Finské agentury pro dopravu a komunikace identifikovaly případy, kdy byla finská zařízení, jako jsou routery a síťové diskové servery, napadena pro účely špionáže. Postup útočníku často zahrnuje směrování kybernetických útoků přes kompromitovaný síťová zařízení, které se stávají součásti botnetů nebo tzv. ORB sítí (operational relay box). Cílem útočníků je v takovém případě ztížení detekce, protože provoz se jeví jako pocházející z finské IP adresy. Supo zdůrazňuje, že za aktivitou stojí především státy jako Rusko a Čína, které usilují o informace související s politickým rozhodováním a průmyslovými a obchodními tajemstvími. Alternativně mohou být napadená zařízení také využívána při útocích typu odepření služby (Denial of Service, DoS), které narušují online služby.

Co potřebujete vědět:
  • Nedemokratické státy zneužívají finská síťová zařízení pro zakrývání své aktivity za účelem snížení detekce. V posledních letech se jedná o významný trend mezi státními aktéry, které využívají existující botnety (např. různé varianty Mirai botnetu) nebo využívají komerční služby k vystavení ORB sítí.
  • Nezabezpečené domácí routery jsou běžným cílem všech typů útočníků a zapojení botnetů do masivních DDoS útoků zaměřených na narušení online služby.
  • Finské zpravodajské služby hodnotí, že Rusko a Čína jsou hlavní aktéři kybernetické špionáže zaměřené proti Finsku.
  • Úřady doporučují aktualizovat zařízení a zabezpečit správcovská rozhraní pro zmírnění rizik. Aktualizace zařízení a jejich nahrazení v případě, že výrobce přestal produkt podporovat, jsou nejvíc efektivní metodou zabránění zapojení domácího zařízení do škodlivé aktivity.

Komentář Cybule: V loňském a letošním roce jsme byli svědky několika zásahů proti botnetům využívaných státními aktéry k zakrývání svých aktivit. Mezinárodní operace Dying Amber vedla v únoru 2023 k narušení botnetu Moobot využivanému ruskou GRU. Aktivní opatření proti zařízením v ČR provedlo Vojenské zpravodajství. V polovině prosince 2023 narušila americká FBI botnet KV-Botnet využívaný čínskou skupinou Volt Typhoon. Botnet Quad7 (známý jako 7777-botnet) patří mezi aktivní botnety/ORB sítě využívanén statními aktéry. Quad7 je s největší pravděpodobnosti řízen nespecifikovaným čínským aktérem.

Severokorejská skupina Lazarus cílí na zájemce o práci pomocí falešné aplikace FreeConference

(4.9.2024, Group-IB)

Severokorejská kyberšpionážní skupina Lazarus zahájila novou sofistikovanou kampaň nazvanou “Contagious Interview”(známá také jako DEV#POPPER), která se zaměřuje na odborníky z oblasti blockchainu a vývoje her. Útočníci využívají pokročilé techniky sociálního inženýrství a zneužívají důvěryhodné platformy, jako je LinkedIn či Upwork, k navázání kontaktu s cíli. K dosažení svých záměrů používají falešné videokonferenční aplikace a škodlivý kód v projektech Node.js, přičemž hlavním cílem těchto útoků je exfiltrace citlivých dat, včetně přístupů ke kryptoměnovým peněženkám.

Řetězec kompromitace (Group-IB)

Co potřebujete vědět:
  • Lazarus využívá k vyhledávání obětí sociální sítě LinkedIn, WWR, Moonlight a Upwork a zaměřuje se především na odborníky z oblasti blockchainu a herního průmyslu. Po prvním kontaktu útočníci často přesouvají konverzaci na šifrovanou platformu Telegram, kde lákají kandidáty na „pohovor“ prostřednictvím falešných videokonferenčních aplikací nebo projektů Node.js. Uchazeči jsou pod záminkou fiktivních úkolů nebo technických testů přiměni ke stažení a spuštění škodlivého softwaru.
  • Mezi hlavní podvodné aplikace patří FCCCall (Free Conference Call Service), která imituje legitimní aplikaci pro videohovory. FCCCall je kopií videokonferenční aplikace, která vypadá neškodně, ale ve skutečnosti je zdrojem malwaru. Tato aplikace byla vyvinuta na platformě Qt6, která umožňuje její nasazení na více operačních systémech, včetně Windows a macOS.
  • Po stažení a instalaci aplikace FCCCall se na pozadí aktivuje malware BeaverTail, který z prohlížečů a kryptoměnových peněženek exfiltruje přihlašovací údaje. Následně dojde ke stažení dalšího škodlivého kódu InvisibleFerret, který exfiltruje data na vzdálený server. Skupina Lazarus tyto nástroje neustále vylepšuje, přičemž každá nová verze obsahuje drobná technická vylepšení, která činí útoky obtížněji odhalitelnými.
  • Známkou tohoto vylepšení je, že útočníci vložili škodlivý JavaScript do úložišť souvisejících s kryptoměnami i hrami. Kód JavaScriptu je přitom navržen tak, aby načítal Javascript BeaverTail z domény ipcheck[.]cloud nebo regioncheck[.]net.
  • To ale není všechno. Funkce BeaverTailu pro exfiltraci informací jsou nyní realizovány prostřednictvím sady Python skriptů, souhrnně nazývaných CivetQ, které jsou schopné shromažďovat cookies, informace z webového prohlížeče, stisky kláves a obsah schránky a poskytovat další skripty.

Komentář Cybule: Skupina Lazarus se neustále přizpůsobuje novým trendům a výzvám. Zatímco dříve cílili na tradiční finanční instituce, nyní se zaměřují na nové sektory, jako jsou kryptoměny a herní průmysl. Jejich taktiky jsou promyšlené a rafinované, což podtrhuje potřebu neustálé ostražitosti ze strany jednotlivců i organizací.

Přejít nahoru