Security News – Máj 2023

Prečítajte si prehľad noviniek z oblasti kybernetickej bezpečnosti za máj 2023. Každý mesiac vám budeme prinášať bezpečnostné prípady a zaujímavosti, ktoré vám pomôžu zostať v bezpečí. 

Dve APT skupiny s napojením na iránsku vládu aktívne zneužívajú zraniteľnosť v softvéri pre správu tlače PaperCut. Zraniteľnosť umožňuje vzdialené vykonanie kódu, získanie systémových privilégií a získanie citlivých údajov, ktoré sú uložené na firemných serveroch. Aj napriek existencii aktualizácií je táto zraniteľnosť stále aktívne zneužívaná.

Severokórejská APT skupina Kimsuky vo svojich najnovších kampaniach cieli na vládne organizácie, výskumné centrá a univerzity v USA, Európe a v Ázií.

Nová mapa v CS:GO obchádza ruskú cenzúru a umožňuje hráčom získať informácie o prebiehajúcej vojne na Ukrajine. Za projektom stoja fínske noviny Helsinging Sanomat.

Proruská skupina UserSec ohlásila novú kampaň zameranú na krajiny NATO a ich webové stránky. Podľa vyhlásenia by nemala byť vynechaná žiadna krajina.

Britskému hackerovi, ktorý bol vydaný do USA, hrozí až 77 rokov za mrežami. Na svojom konte má viacero činov: prieniky do počítačov, ich systémov, extrakcia údajov, stalkovanie, bankové podvody, či pranie peňazí. Ku všetkým činom sa priznal.

Americké autority vydali zatykač a vypísali odmenu za dolapenie ruského hackera. Mikhail Matveev sa podieľal na viacerých ransomware útokoch na americkú kritickú infraštruktúru. Je spájaný s ransomwarmi Hive, LockBit a Babuk.

Toyota oznámila únik dát, ktorý trval takmer 10 rokov. Tento únik sa týkal informácií o pozícií viac ako dvoch miliónov vozidiel. Chyba bola spôsobená zlou konfiguráciou databázy, ktorá umožňovala prístup hocikomu a bez hesla.

Poisťovňa spoločnosti Merck jej musí vyplatiť 1,4 miliardy dolárov za útok NotPetya. Poisťovňa nechcela splniť svoj záväzok a odvolávala sa na kauzulu týkajúcu sa vojnového stavu, keďže za útokom boli ruskí hackeri, ktorí cielili na Ukrajinu.

Španielska polícia zatkla 40 členov kybernetického gangu Trinitarians. Jeho obeťami sa stalo viac ako 300 000 ľudí tak, že dostali falošné SMS správy, ktoré budili pocit urgencie vykonať aktivitu na podvodnej stránke finančnej inštitúcie. 

Intel vyšetruje údajný únik privátnych kľúčov ktoré používal Intel Boot Guard.  Toto by mohlo ohroziť jeho schopnosť zabrániť inštalácii škodlivých UEFI firmaware na MSI zariadenia. Stalo sa tak potom, ako sa MSI stalo obeťou útočníkov. Útočníci začali zverejňovať získané dáta, keď firma MSI odmietla zaplatiť výkupné.

Bývalý CISO spoločnosti Uber bol odsúdený na trojročnú podmienku, pokutu a verejnoprospešné práce. Príčinou je to, že v roku 2016 zatajil útok na spoločnosť, počas ktorého došlo k úniku údajov o 57 miliónoch klientoch a 600 000 vodičoch.

FBI zabavila ďalších 13 domén spojených s možnosťou „prenajatia“ si DDoS útoku. Jedná sa už o tretiu vlnu zásahov voči tomuto typu domén a celkovo bolo odstavených už 76 domén.

Spoločnosť Meta dostala pokutu vo výške 1,2 miliardy eur. Od roku 2020 totiž prenášala osobné údaje používateľov z EÚ do USA, čo je v rozpore so súdnym rozhodnutím ohľadom takéhoto prenosu údajov. 

WordPress pluginy „Advanced Custom Fields“ a „Advanced Custom Fields Pro“ sú zraniteľné voči cross-site scriptingu (XSS). S viac ako 2 miliónmi stiahnutiami patria tieto rozšírenia medzi najpopulárnejšie vo Worpresse. Napriek tomu, že na túto zraniteľnosť už existuje aktualizácia, viac ako 72% používateľov stále používa  starú verziu.

WordPress plugin „Essential Addons for Elementor“ obsahoval zraniteľnosť, ktorá umožňovala útočníkom získať administrátorské práva na stráne pre neautorizovaných používateľov. Tento zásuvný modul používa viac ako milión webových stránok. Aktualizácia je už k dispozícií.

Kyberkriminálna skupina Lemon Group zneužíva milióny Android zariadení, ktoré boli infikované ich malware-om. Malware sa pravdepodobne dostal do zariadení vďaka infikovaniu jedného z dodávateľov firmware pre mobilné zariadenia.

Nemocnica na Staten Island (USA) sa stala terčom ransomware útoku. Nemocnica však napriek obmedzeniam dokázala liečiť pacientov, ktorí nemuseli byť presmerovaní do iných nemocníc.

Medical Clinic & SurgiCenter v Tennessee sa stala terčom ransomware útoku, ktorý viedol k tomu, že nemocnica musela zrušiť všetky aktivity a núdzovo vypnúť siete, aby zabránili šíreniu útoku.

Napriek tomu, že FBI neodporúča platiť výkupné, Kalifornské mesto San Bernardino zaplatilo 1,1 milióna dolárov ransomware gangu, ktorý zašifroval sieť ich policajného zboru. .

Google pridal možnosť monitorovania dark webu pre americké Gmail účty. Táto služba kontroluje výskyt emailu na dark webe a poskytuje odporúčania, ako môžu používatelia zvýšiť svoju bezpečnosť. Používatelia zároveň dostanú notifikáciu, keď sa ich email stal súčasťou úniku dát.

Webový prehliadač Brave predstavil novú vlastnosť „Forgetful Browsing“. Tá zabraňuje webovým stránkam opätovne identifikovať používateľa pri opakovaných návštevách. Po zavretí webovej stránky sú zmazané cookies, localStorge, indexedDB, HTTP a DNS cache.

V roku 2022 zablokoval Apple 1,7 milióna aplikácií kvôli problémom s ochranou súkromia a bezpečnostným rizikám. Pred podvodmi sa im tak podarilo ochrániť viac ako dve miliardy dolárov. Taktiež bolo odstránených viac ako 400 000 developerských účtov.

Nové top level domény ZIP a MOV budia obavy pred zneužitím na phishingové útoky. Problémom je ich jednoduchá zameniteľnosť s dobre známymi a rozšírenými koncovkami súborov zip a mov. Na poukázanie nevhodnosti týchto domén si ľudia už registrovali domény typu setup.zip, update.zip.

Podľa amerických federálnych úradov bráni ich snahám obmedziť kybernetické útoky práve neochota obetí nahlasovať ransomware útoky. Odhaduje sa, že len 20-30% obetí útoky nahlasuje. Pri vyššom nahlasovaní útokov by bolo možné zvýšiť dopad súčasnej práce.

Muž v Číne čelí hrozbe 10 rokov vo väzení potom, čo pomocou ChatGPT vytvoril falošnú správu o vlakovej nehode. Jeho správa sa začala v Číne šíriť zdieľaniami a cez Baidu. Deep fake zdroje musia byť v Číne jednoznačne označené, aby nezavádzali verejnosť.

Cisco SPA 112 2-Port Phone Adapters obsahujú zraniteľnosť, ktorá umožňuje neautorizovaným útočníkom spustiť kód na diaľku a získať administrátorské práva. Aktualizácia pre zariadenia nebude vydaná, keďže produkt je už po skončení životnosti (end-of-life podpora skončila v roku 2020).

Útočníci zneužívajú QR kódy. Oskenovaním podvodného QR kódu za účelom vyplnenia dotazníka si môžu obete nevedomky stiahnuť aplikáciu, pomocou ktorej útočníci získajú prístup k ich internet bankingu. Podobne sa QR kódy zneužívajú pri podvrhnutých pokutách za parkovanie, kde sa tvária, že sprostredkúvajú možnosť platby online.

Hlavné heslo v správcovi hesiel KeyPass je náchylné na extrakciu z operačnej pamäte. Aktualizácia, ktorá chybu odstráni, sa očakáva v priebehu júla 2023. Na extrakciu hesla momentálne potrebuje útočník prístup k operačnej pamäti alebo jej artefaktom v operačnom systéme (napríklad hiberfil.sys).