- Check Point identifikoval dosud neznámou zranitelnost systému Windows (CVE-2025-33053), která byla aktivně zneužívána.
- Skupina Stealth Falcon využívala zero-day zranitelnost k cíleným špionážním útokům na subjekty na Blízkém východě a v Africe.
PRAHA – 13. června 2025 – Kyberbezpečnostní společnost Check Point Software Technologies odhalila pokus o kybernetický útok na významnou obrannou organizaci v Turecku. Útočníci využili v rámci špionážní operace dosud neznámou zranitelnost ve Windows a zneužili také legitimní nástroj systému Windows k nepozorovanému spuštění škodlivého kódu. Check Point o svých zjištěních informoval Microsoft, který zranitelnosti přiřadil číslo CVE-2025-33053 a vydal opravu.
„Za útoky pravděpodobně stojí kyberšpionážní skupina Stealth Falcon, někdy označovaná také jako FruityArmor, která je aktivní nejméně od roku 2012 a má za sebou řadu útoků na politické a strategické subjekty na Blízkém východě a v Africe. Zaměřuje se zejména na významné cíle ve vládním a obranném sektoru. Stealth Falcon využívá zero-day zranitelnosti, vlastní malware a sofistikované infiltrační mechanismy, což jsou znaky dobře financované APT skupiny,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.
Útočníci poslali oběti nejprve phishingový e-mail s PDF souborem zaměřeným na poškození vojenského vybavení. Ve skutečnosti se ale nejednalo o neškodný PDF soubor, ale o zástupce a soubor .url, který dokázal nepozorovaně spustit kód ze serveru ovládaném útočníky. Kyberzločinci zároveň dokázali v počítači oběti oklamat legitimní nástroj systému Windows, což jim umožnilo spustit nebezpečný kód, aniž by museli v první fázi infekčního řetězce ukládat soubory přímo do napadeného počítače. To jim pomohlo vyhnout se odhalení.
Infekční řetězec
Jakmile byl zástupce aktivován, spustila se další fáze útoku a do akce byl nasazen vícestupňový loader nazvaný Horus Loader podle egyptského boha slunce, což je narážka na kódové označení skupiny.
Horus Loader je flexibilní a těžko odhalitelný. Dokáže mimo jiné:
- Odstranit stopy zanechané v předchozích krocích infekčního řetězce
- Obejít základní detekční mechanismy
- Nasadit a otevřít podvodný dokument, který má odvést pozornost
- Nepozorovaně aktivovat finální špionážní kód
Zatímco je oběť zaujata prohlížením falešného dokumentu, který má odvést pozornost, malware tiše pokračuje ve své práci na pozadí. Následuje jedna z technicky nejvyspělejších fází operace: nasazení špionážního nástroje Horus Agent.
Jde o speciální program vložený do Mythicu – což je legálně dostupný nástroj, který se často používá při testování zabezpečení firemních systémů. Mythic pomáhá bezpečnostním expertům napodobit útoky hackerů a odhalit tak slabiny.
Na rozdíl od běžného malwaru je Horus napsán v jazyce C++ a je vytvořen s důrazem na flexibilitu a utajení. S ostatními agenty sdílí pouze základní vlastnosti – dost na to, aby fungoval na dané platformě, ale ne dost na to, aby byl snadno detekovatelný nebo odhalitelný kvůli podobnosti kódu.
Horus Agent se následně připojí k řídícímu a velícímu serveru a začne pomocí frameworku Mythic realizovat pokyny. Všechny operace jsou prováděné nepozorovaně, aby nedošlo k odhalení a skupina mohla dlouhodobě krást citlivé informace. Celý postup je proveden velmi profesionálně a ukazuje i na dobrou znalost cílových prostředí a obranných nástrojů.
Stealth Falcon kombinuje zero-day zranitelnost CVE-2025-33053, legitimní nástroje, vícestupňové loadery a speciálně vytvořené implantáty. Ukazuje to, že i drobnosti v konfiguraci a funkcích lze zneužít jako zbraň.
Operace špionážní skupiny Stealth Falcon je dalším varováním, že je nezbytné využívat proaktivní detekci hrozeb a zaměřit se na prevenci a ochranu v reálném čase. Mimořádné hrozbě cílených útoků čelí zejména kritická infrastruktura a vládní a obranné organizace.
Pokud organizace chtějí zjistit, jestli náhodou i u nich nedošlo k narušení bezpečnosti v rámci této operace, doporučujeme zkontrolovat protokoly a monitorovací systémy a hledat následující:
- E-maily s přílohami obsahujícími zdánlivě neškodnou URL adresu nebo soubor LNK.
- Neobvyklá nebo neidentifikovaná připojení k serverům WebDAV spuštěná výchozími procesy systému Windows.
- Použití nástrojů, jako jsou iediagcmd.exe a CustomShellHost.exe, které spouštějí podřízené procesy ze vzdálených míst nebo pracují v nezvyklých kontextech, například jsou spouštěny ze vzdálených počítačů nebo se nacházejí na koncových bodech, kde se jejich spuštění neočekává.
- Procesy spouštěné vzdáleně, které se maskují jako legitimní systémové nástroje, jako jsou route.exe, ipconfig.exe, netsh.exe nebo explorer.exe.
Jakmile Check Point zranitelnost odhalil, ihned vyvinul a nasadil ochranu, takže zákazníci jsou v bezpečí. Řešení Intrusion Prevention System, Threat Emulation a Harmony Endpoint detekují a blokují pokusy o zneužití této chyby.
Sledujte novinky o bezpečnostním týmu Check Point Research:
Blog: https://research.checkpoint.com/
X: https://twitter.com/_cpresearch_
Sledujte novinky o společnosti Check Point Software Technologies:
X: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies
O výzkumném týmu Check Point Research
Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.
O společnosti Check Point Software Technologies
Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.