Cybuloviny 23/25

/ Cybuloviny, Týdenní přehled

Po letní pauze se znovu hlásíme s Cybulovinami. V dnešním vydání se podíváme na novou spyware kampaň cílící na uživatele iPhonů. Nový malware je společným jmenovatelem i v případě dvou notorický známých skupin: ruské APT28 a čínské Hive0154, kterou budete znát pod jménem Mustang Panda.

Příjemné čtení!

Tým Cybule

Obsah:

  • Cílená špionáž na vašem iPhonu: Apple varuje před sofistikovanými útoky
  • Nová hrozba NotDoor: Jak ruská hackerská skupina APT28 zneužívá Microsoft Outlook pro pokročilou kyberšpionáž
  • Čínský aktér Hive0154 využívá USB malwaru proti thajským institucím

Cílená špionáž na vašem iPhonu: Apple varuje před sofistikovanými útoky

(11.9.2025, CERT-FR)

Francouzské národní centrum pro kybernetickou bezpečnost (CERT-FR) vydalo dne 11. září 2025 zprávu CERT-FR-2025-CTI-010, která popisuje sérii upozornění na možná kompromitovaná zařízení uživatelů Apple. Tato upozornění souvisí s vysoce sofistikovanými spywarovými útoky, které cílí na osoby na významných postech – novináře, politiky, právníky či státní úředníky. Dokument připomíná, že tyto kampaně jsou běžně známy jako součást tzv. „mercenary spyware“ scénáře, v němž se využívají chyby typu zero-day, útoky bez akce ze strany uživatele (zero-click) a další sofistifikované metody.

Co potřebujete vědět:
  • Pokud obdržíte oznámení od Apple typu „Notification of Threat“, znamená to, že minimálně jedno zařízení spojené s vaším účtem iCloud bylo identifikováno jako možné cíle spywaru. Spyware jako Pegasus, Predator, Graphite či Triangulation – často využívají zranitelnosti typu zero-day a někdy i útoky, kde uživatel nemusí nic kliknout („zero-click“)
  • Příkladem této technické propracovanosti je útok, který proběhl necelý měsíc před zářijovým varováním. Zneužil souběžně dvě zranitelnosti: jednu ve WhatsApp (označenou jako CVE-2025-55177) a druhou v operačním systému Apple iOS (označenou jako CVE-2025-43300). Kombinace zranitelnosti aplikace třetí strany s kritickou chybou v jádru operačního systému je mimořádně obtížná a nákladná. Takové útoky poukazují na to, že se nejedná o práci jednotlivých hackerů, ale o činnost sofistikovaných komerčních dodavatelů špionážního softwaru nebo státně podporovaných aktérů, jejichž cílem je strategická výzvědná činnost.
  • Útoky jsou primárně zaměřeny na úzkou skupinu vysoce postavených jedinců s vlivem na veřejné dění. Zasažené skupiny zahrnují novináře, právníky, aktivisty, politiky, vysoké úředníky a členy řídících výborů ve strategických sektorech. Analýza obětí odhaluje, že cílem není finanční zisk nebo krádež dat pro komerční účely. Místo toho je motivem shromažďování zpravodajských informací, politická subverze a potlačení disentu.
  • Základem obranné strategie se staly přímé notifikace od Apple, které jsou doručovány buď prostřednictvím iMessage nebo e-mailem z oficiálních adres threat-notifications[at]email.apple.com nebo threat-notifications[at]apple.com. Apple zasílá tato upozornění již od listopadu 2021 a zářijové varování bylo již čtvrtým vlnou notifikací pro francouzské uživatele v roce 2025, po varováních z 5. března, 29. dubna a 25. června.
  • Rozhodnutí společnosti Apple veřejně upozorňovat na možné kompromitace zařízení je významnou změnou ve strategii. Veřejné přiznání, že zařízení uživatele mohlo být napadeno, představuje riziko pro společnost, která si vybudovala reputaci v oblasti bezpečnosti. Skutečnost, že je Apple ochoten toto riziko podstoupit, naznačuje, že závažnost a trvalost těchto útoků jsou natolik vysoké, že tradiční a tiché bezpečnostní aktualizace již nepostačují. Tato strategie představuje nový průmyslový standard, kdy technologická společnost přechází z tichého opravování zranitelností k veřejné kampani za zvýšení povědomí a posílení pozice uživatelů. Po obdržení notifikace je klíčové jednat okamžitě a cíleně. Doporučení francouzského CERT-FR jsou velmi konkrétní a směřují spíše k forenzní analýze než k běžnému řešení bezpečnostních problémů. CERT-FR radí obrátit se na ně pro technickou pomoc, ale hlavně ponechat notifikační e-mail a neprovádět žádné změny v zařízení, aby se uchovaly důkazy pro vyšetřování. Tato instrukce, která se zaměřuje na „uchování důkazů“, zdůrazňuje, že se nejedná o běžný IT problém, ale o záležitost, která je vyšetřována na úrovni trestného činu nebo hrozby pro národní bezpečnost. Jazyk použitého doporučení signalizuje, že se tyto útoky vymykají běžné kybernetické kriminalitě. Zabezpečení zařízení se stává operačním bezpečnostním problémem, nikoliv jen technickou výzvou.

Komentář Cybule: Základem dlouhodobé obrany proti sofistikovaným hrozbám je vždy kombinace technologických funkcí a obezřetného chování uživatelů. V praxi to znamená udržovat zařízení v aktuálním stavu, spoléhat na automatické aktualizace a nezanedbávat ani tak zdánlivě banální návyk, jako je pravidelný restart telefonu. Apple si je vědom rostoucího tlaku v oblasti kybernetických útoků, a proto do nejnovějších modelů implementoval pokročilé obranné technologie. Jednou z nich je Memory Integrity Enforcement (MIE), která výrazně ztěžuje zneužití zranitelností založených na poškození paměti – tedy jedné z nejčastějších technik útočníků. Stejně důležitou novinkou je Isolation Mode, tedy režim izolace, který radikálně omezuje funkčnost zařízení, a tím i jeho „attack-surface“. Díky tomu dokáže minimalizovat riziko úspěšného nasazení tzv. zero-click exploitů, kdy k infikování telefonu není potřeba žádná interakce ze strany uživatele. Tyto mechanismy samy o sobě útoky nezastaví, ale výrazně snižují jejich šanci na úspěch a dávají uživatelům čas i prostor reagovat.

Nová hrozba NotDoor: Jak ruská hackerská skupina APT28 zneužívá Microsoft Outlook pro pokročilou kyberšpionáž

(3.9.2025, Lab52)

Nedávné zjištění výzkumného týmu LAB52 odhalilo novou, mimořádně sofistikovanou kyberšpionážní kampaň. V jejím centru stojí záludný backdoor nazvaný NotDoor, který je připisován nechvalně proslulé hackerské skupině APT28. Tento malware, zneužívající integrované funkce Microsoft Outlooku a techniku DLL side-loading, umožňuje útočníkům provádět nepozorovanou exfiltraci dat a vzdálené ovládání napadených systémů. Cílem útoku jsou primárně organizace v zemích NATO, což podtrhuje jeho geopolitické motivace.

Co potřebujete vědět:

  • Malware NotDoor byl objeven a analyzován španělskou firmou S2 Grupo a její laboratoří LAB52, která ho pojmenovala NotDoor kvůli přítomnosti řetězce „Nothing“ v jeho kódu. Jádro malwaru tvoří sofistikovaný backdoor založený na Visual Basic for Applications (VBA), který je integrován přímo do Microsoft Outlooku.  
  • NotDoor zneužívá event-driven triggery VBA, jako je Application_MAPILogonComplete (při spuštění Outlooku) a Application_NewMailEx (při příchodu nového e-mailu), k aktivaci svého payloadu. Malware je navržen tak, aby monitoroval příchozí e-maily, a jakmile e-mail obsahuje předem definovaný řetězec, například „Daily Report“, dojde k jeho aktivaci. Poté malware umožňuje útočníkům provádět širokou škálu škodlivých akcí, včetně exfiltrace dat z napadeného systému, nahrávání souborů a spouštění libovolných příkazů.  
  • Zákeřnost NotDoor spočívá v jeho schopnosti využít legitimní funkce operačního systému a softwaru. Vektor počátečního přístupu není přesně znám, ale pravděpodobně zahrnuje sociální inženýrství, které vede oběť k instalaci dvou klíčových komponent: legitimního binárního souboru onedrive.exe a škodlivé DLL knihovny SSPICLI.dll.  
  • Klíčovým mechanismem je technika DLL side-loading. Útočníci spustí legitimní, digitálně podepsaný soubor onedrive.exe, který je zneužit k načtení škodlivé knihovny SSPICLI.dll. Tímto způsobem malware efektivně obchází tradiční bezpečnostní řešení, která jsou nastavena tak, aby důvěřovala podepsaným souborům od společnosti Microsoft. Po načtení, škodlivá DLL knihovna instaluje payload obsahující NotDoor makro do úložiště maker Outlooku ( %APPDATA%\Microsoft\Outlook\VbaProject.OTM) a upraví klíče v registrech Windows, aby zajistila automatické spouštění maker při startu Outlooku, a to bez zobrazení jakýchkoli bezpečnostních varování.
  • Tyto mechanismy jsou přímou reakcí na moderní bezpečnostní opatření. Využitím taktiky living off the land útočníci nepoužívají nový, podezřelý spustitelný soubor, ale namísto toho zneužívají standardní a důvěryhodnou aplikaci. NotDoor se dále vyhýbá detekci pomocí obfuskace kódu, náhodných názvů proměnných a vlastní techniky kódování řetězců, které znemožňují snadnou analýzu. Skrytá komunikace je prováděna buď exfiltrací dat e-mailem na útočníkem kontrolovanou adresu (např.a.matti444@proton[.]me) nebo prostřednictvím DNS a HTTP callbacků.

Komentář Cybule: NotDoor není jen novým nástrojem, ale také demonstrací „pokračující evoluci APT28, která neustále vytváří nové artefakty schopné obcházet zavedené obranné mechanismy“. Skupina APT28 aktivně zkoumá a využívá nejnovější technologie. Důkazem je nedávná kampaň s malwarem LameHug, který je popsán jako jeden z prvních malwarů, který využívá velké jazykové modely (LLM). Zatímco LameHug může být vnímán jako experimentální testovací prostředí pro budoucí útoky, jeho existence poukazuje na flexibilitu a inovativní přístup útočníků. Tato neustálá adaptace a experimentování s novými technologiemi a taktikami naznačuje, že budoucí útoky nebudou jen využívat stávající techniky, ale budou pravděpodobně integrovat umělou inteligenci a strojové učení k automatizaci a personalizaci útoků, což představuje obrovskou výzvu pro kybernetickou obranu. NotDoor je tak spíše historickým milníkem na cestě k ještě sofistikovanějším hrozbám.

Čínský aktér Hive0154 využívá USB malwaru proti thajským institucím

(11.9.2025, IBM)

V polovině roku 2025 objevil výzkumný tým IBM X-Force nový malware od čínské skupiny, kterou IBM označuje jako Hive0154, avšak lépe známou pod názvem Mustang Panda. Nový malware zahrnuje aktualizovanou variantu backdooru Toneshell (Toneshell9 a předchozí Toneshell8) a nový USB červ SnakeDisk, který se spouští pouze na zařízeních s thajskými IP adresami. Kampaň koreluje s geopolitickým napětím mezi Thajskem a Kambodžou, které vyústilo v několikadenní ozbrojený konflikt v červenci 2025.

Co potřebujete vědět:

  • Hive0154 je velmi aktivní čínská aktér, v jehož rámci působí několik podskupin. Hive0154 je rovněž známá pod označeními Mustang Panda, Twill Typhoon. Earth Preta či Bronze President. Arzenál skupiny se vyznačuje širokým portfoliem malwaru zahrnujícím Toneshell, Pubload, PlugX a specializované USB červy.
  • Nový Toneshell9 se spouští jako sideloadovaná knihovna DLL a pro splynutí s bežným síťovým provozem využívá proxy servery již konfigurované v napadeném prostředí pro komunikaci s C2.
  • USB červ SnakeDisk se aktivuje pouze na zařízení s thajskými IP, infikuje USB disky a šíří se dále. V případě úspěšné infekce nasazuje backdoor Yokai s cílem ovladnout napadený počítač. Cílení na thajské cíle bylo hlavní charakteristikou pozorované kampaně a dá se předpokládat, že SnakeDisk může být bez větších problému upraven pro širší použití.
  • Backdoor Yokai byl veřejně poprvé popsaný v prosinci 2024 v kampaních zaměřených na thajské úředníky, což svědčí o pokračujícím zájmu Hive0154 o thajské vládní a vojenské sítě, zvláště v kontextu konfliktu Thajska a Kambodže v roce 2025.
  • SnakeDisk je pravděpodobně výsledkem vývoje předchozího USB červa, používaného Hive0154, známého jako Tonedisk.

Komentář Cybule: Nelze s naprostou jistotou určit, že Hive0154 je identický s aktérem Mustang Panda. Geografický záběr na Jihovýchodní Asii a hlavně specializace na USB malware naznačuje, že pokud nejde o identické skupiny, tak budou minimálně významně provázané. Geografický záběr také není úplně stoprocentně spolehlivý indikátor, protože se může změnit na základě požadavků na úrovni vedení státu. Mustang Panda byl v nedávné minulosti aktivní v Evropě.

Related Posts

Přejít nahoru