Cybuloviny 8/2024

Vítejte u Cybulovin! Jste připraveni na další porci tří zpráv z kyber světa? Tento týden se podíváme na severokorejskou skupinu Moonstone Sleet, na zranitelnosti v produktech Check Point Network Security Gateway a operaci americké FBI Tunnel RAT.

Příjemné čtení.

Tým Cybule

Obsah:

  • Severokorejská skupina Moonstone Sleet při svých útocích kombinuje špionážní a ransomwarové TTP
  • Zero-day zranitelnosti v produktech Check Point VPN Gateway
  • FBI rozbila botnet 911 S5/CloudRouter a zatkla jeho administrátora v rámci operace Tunnel RAT

Severokorejská skupina Moonstone Sleet při svých útocích kombinuje špionážní a ransomwarové TTP

(28.5.2024, Microsoft)

Společnost Microsoft zveřejnila zprávu o nové severokorejské skupině, která se zaměřuje na oblast vzdělávání, obranu, softwarové a IT společnosti, za účelem špionáže a generování zisku pro severokorejský režim. Tato státem sponzorovaná skupina, sledovaná jako Moonstone Sleet (dříve Storm-1789), kombinuje taktiky, techniky a postupy (TTP) používané jinými severokorejskými útočníky se svými jedinečnými metodami a vytvořila si pozici dobře vybaveného protivníka. Moonstone Sleet vytvářela falešné společnosti a pracovní místa pro kontaktování potenciálních cílů, využívala trojanizované verze legitimních nástrojů jako je např. PuTTy, vyvinula škodlivou hru DeTankWar a dodávala nový vlastní ransomware FakePenny.

Co potřebujete vědět:
  • Skupina se do značné míry překrývá se skupinou Diamond Sleet (známou také jako Zinc), která je považována za podskupinu nechvalně proslulé skupiny Lazarus, ale od dubna si začala budovat vlastní infrastrukturu a je aktivní v rozsáhlých operacích.
  • V letošním roce byla APT Moonstone Sleet pozorována při zakládání falešných společností, kterými byly společnosti StarGlow Ventures a C.C. Waterfal, údajně společnosti zabývající se vývojem softwaru a umělé inteligence.
  • Severokorejci se zaměřili na osoby hledající zaměstnání na pozicích vývojářů softwaru.
  • Aktér poslal kandidátům nejprve emailovou zprávu, která obsahovala trackovací pixel 1×1, který umožnil APT skupině sledovat, které oběti emailovou zprávu otevřely.
  • Následně byl jednotlivcům zaslán „test dovedností“, který na zařízeních obětí nainstaloval malware prostřednictvím škodlivého balíčku NPM.
  • Moonstone Sleet vyvinula vlastní variantu ransomwaru FakePenny a nasadila ho proti společnosti, kterou předtím kompromitovala v únoru. Ransomware FakePenny obsahuje loader a encryptor.
  • Začátkem prosince 2023 Moonstone Sleet kompromitovala společnosti zabývající se obrannými technologiemi, s cílem získat přihlašovací údaje a informace týkající se duševního vlastnictví. Následně byly v dubnu 2024 tyto společnosti cílem ransomwaru FakePenny.
  • Z obranného průmyslu se zaměřila na společnosti zabývající se výrobou dronů a technologiemi pro letecký průmysl.

Komentář Cybule: Různorodé taktiky skupiny Moonstone Sleet jsou pozoruhodné nejen svou účinností, ale také tím, jak se vyvinuly z metod používaných jinými severokorejskými kybernetickými aktéry. Tyto techniky ukazují, jak se skupina adaptovala a zdokonalila své schopnosti s cílem naplňovat kybernetické cíle Severní Koreje. Aktivita Moonstone Sleet by mohla odpovídat dřívějším zprávám Ministerstva spravedlnosti USA, že Severní Korea využívá vysoce kvalifikované vzdálené IT pracovníky (jednalo o korejské kvalifikované IT pracovníky, kteří se nechali najmout společnostmi v USA, Rusku, Číně a vydělané peníze odevzdávali severokorejskému režimu) k vytváření příjmů. Zároveň však může jít o další strategii této skupiny pro získání přístupu k citlivým informacím a infrastruktuře organizací po celém světě.

Zero-day zranitelnosti v produktech Check Point VPN Gateway

(29.5.2024, CheckPoint)

Společnost Check Point identifikovala závažnou zranitelnost nultého dne (CVE-2024-24919) ve svých produktech Network Security gateway. Tato zranitelnost se týká zařízení CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways a Quantum Spark, a potenciálně umožňuje útočníkům přístup k citlivým informacím na internetu připojených bránách s povoleným vzdáleným VPN nebo mobilním přístupem.

Co potřebujete vědět:
  • Zranitelnost CVE-2024-24919 umožňuje útočníkům číst určité informace na gatewayích připojených k internetu s povoleným vzdáleným přístupem.
  • Ovlivněná zařízení: CloudGuard Network, Quantum Maestro, Quantum Scalable Chassis, Quantum Security Gateways a Quantum Spark.
  • Dostupné opravy: Quantum Security Gateway a CloudGuard Network Security: R81.20, R81.10, R81, R80.40, Quantum Maestro a Quantum Scalable Chassis: R81.20, R81.10, R80.40, R80.30SP, R80.20SP, Quantum Spark Gateways: R81.10.x, R80.20.x, R77.20.x
  • Společnost CheckPoint varovala před útoky zaměřenými na staré lokální VPN účty, které využívají ověřování pouze heslem, což představuje nedoporučenou metodu.

Komentář Cybule: Útok na Check Point VPN zařízení představuje další ze série útoků zaměřených na aplikace v perimetru sítě. V posledních letech byla podobnými útoky napadena zařízení společností Barracuda Networks, Cisco, Fortinet, Ivanti, Palo Alto Networks a VMware. Skutečnost, že tato zranitelnost může být využita k přístupu k citlivým informacím, podtrhuje nutnost rychlých a pravidelných aktualizací bezpečnostních systémů. Podniky musí věnovat zvýšenou pozornost zabezpečení svých zařízení na perimetru sítě a implementovat vícevrstvá bezpečnostní opatření.

FBI rozbila botnet 911 S5/CloudRouter a zatkla jeho administrátora v rámci operace Tunnel RAT

(29.5.2024, BleepingComputer, Justice.gov)

V koordinovaném mezinárodním úsilí Ministerstvo spravedlnosti USA rozložilo botnet 911 S5 a v Singapuru zatklo jeho administrátora YunHe Wanga, občana ČLR. Botnet 911 S5 začal fungovat v květnu 2014 a původně byl deaktivován administrátorem v červenci 2022, než byl v říjnu 2023 obnoven jako CloudRouter. 911 S5 byl pravděpodobně největší rezidenční proxy službou/botnetem, který zahrnoval více než 19 milionů kompromitovaných IP adres ve více než 190 zemích a potvrdil finanční ztráty obětí v řádu miliard dolarů.

V letech 2014-2022 botnet infikoval přes 19 milionů IP adres a administrátor generoval miliony dolarů tím, že poskytoval přístup ke kompromitovaným IP adresám pro kyberkriminální činnosti. Operace FBI zahrnovala spolupráci s partnery po celém světě a mimo jiné vedla k zabavení majetku v hodnotě přibližně 30 milionů dolarů.

Oznámení o zabavení domény 911 S5 (BleepingComputer)

Co potřebujete vědět:
  • Botnet se šířil prostřednictvím nelegitimních „free“ VPN služeb MaskVPN, DewVPN, PaladinVPN, ProxyGate, ShieldVPN a ShineVPN. Po stažení těchto VPN aplikací se uživatelé nevědomky stali oběťmi botnetu 911 S5, aniž by si byli vědomi přítomnosti backdooru. FBI publikovala návod jak zjistit, zdali vaše zařízení bylo zapojeno do 911 S5.
  • Zájem policie o 911 S5 začal během vyšetřování praní peněz a pašování, při kterém zločinci v Ghaně a ve Spojených státech využívali IP adresy pronajaté na 911 S5 k provádění podvodných nákupů na online platformě ShopMyExchange.
  • Souběžně s akcí orgánů činných v trestním řízení došlo k uvalení sankcí Ministerstvem financí USA na YunHe Wanga a jeho spolupracovníky Jinping Liu a Yanni Zhenga. Sankce byly uvaleny i na tři firmy (Spicy Code Company Limited, Tulip Biz Pattaya Group Company Limited a Lily Suites Company Limited), které byly buď vlastněny nebo kontrolovány Wangem.
  • Úřady zabavily desítky Wangových aktiv a nemovitostí, včetně vozů Ferrari F8 Spider S-A, BMW i8, BMW X7 M50d a Rolls Royce. Dále hrozí propadnutí více než dvaceti kryptoměnových peněženek, několika luxusních náramkových hodinek a celkem 21 rezidenčních nebo investičních nemovitostí (v Thajsku, Singapuru, SAE, Svatém Kryštofu a Nevisu a Spojených státech).
  • Wang čelí obviněním ze spiknutí za účelem spáchání počítačových a telekomunikačních podvodů a hrozí mu až 65 let vězení.

Komentář Cybule: Podle dostupných informací sloužil botnet 911 S5/CloudRouter primárně ke kriminálním aktivitám jako služba poskytování škodlivé infrastruktury. Používání botnetů a model pronajímání infrastruktury pro kyberšpionážní aktivity patří mezi postupy stále častěji využívané aktéry napojenými na čínský stát a jednající v zájmu ČLR. Jeden takový botnet (KV Botnet) byl cílem podobně rozsáhlé operace proti infrastruktuře čínské kyberšpionážní skupiny Volt Typhoon v lednu 2024. Kyberbezpečnostní firma Mandiant nedávno upozornila na rozšířenou praxi pronajímání infrastruktury pro škodlivé aktivity mezi čínskými kyberšpionážními skupinami. V případě botnetu 911 S5 zaznamenaly úřady výrazný úspěch v podobě zatčení hlavního organizátora operace.

Přejít nahoru