Štítek: trojský kůň

Hackerská skupina Stealth Falcon zneužívala k cíleným špionážním útokům zero-day zranitelnost ve Windows

  • Check Point identifikoval dosud neznámou zranitelnost systému Windows (CVE-2025-33053), která byla aktivně zneužívána.
  • Skupina Stealth Falcon využívala zero-day zranitelnost k cíleným špionážním útokům na subjekty na Blízkém východě a v Africe.

PRAHA – 13. června 2025 Kyberbezpečnostní společnost Check Point Software Technologies odhalila pokus o kybernetický útok na významnou obrannou organizaci v Turecku. Útočníci využili v rámci špionážní operace dosud neznámou zranitelnost ve Windows a zneužili také legitimní nástroj systému Windows k nepozorovanému spuštění škodlivého kódu. Check Point o svých zjištěních informoval Microsoft, který zranitelnosti přiřadil číslo CVE-2025-33053 a vydal opravu.

„Za útoky pravděpodobně stojí kyberšpionážní skupina Stealth Falcon, někdy označovaná také jako FruityArmor, která je aktivní nejméně od roku 2012 a má za sebou řadu útoků na politické a strategické subjekty na Blízkém východě a v Africe. Zaměřuje se zejména na významné cíle ve vládním a obranném sektoru. Stealth Falcon využívá zero-day zranitelnosti, vlastní malware a sofistikované infiltrační mechanismy, což jsou znaky dobře financované APT skupiny,“ říká Daniel Šafář, Area Manager CEE regionu z kyberbezpečnostní společnosti Check Point Software Technologies.

Útočníci poslali oběti nejprve phishingový e-mail s PDF souborem zaměřeným na poškození vojenského vybavení. Ve skutečnosti se ale nejednalo o neškodný PDF soubor, ale o zástupce a soubor .url, který dokázal nepozorovaně spustit kód ze serveru ovládaném útočníky. Kyberzločinci zároveň dokázali v počítači oběti oklamat legitimní nástroj systému Windows, což jim umožnilo spustit nebezpečný kód, aniž by museli v první fázi infekčního řetězce ukládat soubory přímo do napadeného počítače. To jim pomohlo vyhnout se odhalení.

Infekční řetězec

Jakmile byl zástupce aktivován, spustila se další fáze útoku a do akce byl nasazen vícestupňový loader nazvaný Horus Loader podle egyptského boha slunce, což je narážka na kódové označení skupiny.

Horus Loader je flexibilní a těžko odhalitelný. Dokáže mimo jiné:

  • Odstranit stopy zanechané v předchozích krocích infekčního řetězce
  • Obejít základní detekční mechanismy
  • Nasadit a otevřít podvodný dokument, který má odvést pozornost
  • Nepozorovaně aktivovat finální špionážní kód

Zatímco je oběť zaujata prohlížením falešného dokumentu, který má odvést pozornost, malware tiše pokračuje ve své práci na pozadí. Následuje jedna z technicky nejvyspělejších fází operace: nasazení špionážního nástroje Horus Agent.

Jde o speciální program vložený do Mythicu – což je legálně dostupný nástroj, který se často používá při testování zabezpečení firemních systémů. Mythic pomáhá bezpečnostním expertům napodobit útoky hackerů a odhalit tak slabiny.

Na rozdíl od běžného malwaru je Horus napsán v jazyce C++ a je vytvořen s důrazem na flexibilitu a utajení. S ostatními agenty sdílí pouze základní vlastnosti – dost na to, aby fungoval na dané platformě, ale ne dost na to, aby byl snadno detekovatelný nebo odhalitelný kvůli podobnosti kódu.

Horus Agent se následně připojí k řídícímu a velícímu serveru a začne pomocí frameworku Mythic realizovat pokyny. Všechny operace jsou prováděné nepozorovaně, aby nedošlo k odhalení a skupina mohla dlouhodobě krást citlivé informace. Celý postup je proveden velmi profesionálně a ukazuje i na dobrou znalost cílových prostředí a obranných nástrojů.

Stealth Falcon kombinuje zero-day zranitelnost CVE-2025-33053, legitimní nástroje, vícestupňové loadery a speciálně vytvořené implantáty. Ukazuje to, že i drobnosti v konfiguraci a funkcích lze zneužít jako zbraň.

Operace špionážní skupiny Stealth Falcon je dalším varováním, že je nezbytné využívat proaktivní detekci hrozeb a zaměřit se na prevenci a ochranu v reálném čase. Mimořádné hrozbě cílených útoků čelí zejména kritická infrastruktura a vládní a obranné organizace.

Pokud organizace chtějí zjistit, jestli náhodou i u nich nedošlo k narušení bezpečnosti v rámci této operace, doporučujeme zkontrolovat protokoly a monitorovací systémy a hledat následující:

  • E-maily s přílohami obsahujícími zdánlivě neškodnou URL adresu nebo soubor LNK.
  • Neobvyklá nebo neidentifikovaná připojení k serverům WebDAV spuštěná výchozími procesy systému Windows.
  • Použití nástrojů, jako jsou iediagcmd.exe a CustomShellHost.exe, které spouštějí podřízené procesy ze vzdálených míst nebo pracují v nezvyklých kontextech, například jsou spouštěny ze vzdálených počítačů nebo se nacházejí na koncových bodech, kde se jejich spuštění neočekává.
  • Procesy spouštěné vzdáleně, které se maskují jako legitimní systémové nástroje, jako jsou route.exe, ipconfig.exe, netsh.exe nebo explorer.exe.

Jakmile Check Point zranitelnost odhalil, ihned vyvinul a nasadil ochranu, takže zákazníci jsou v bezpečí. Řešení Intrusion Prevention System, Threat Emulation a Harmony Endpoint detekují a blokují pokusy o zneužití této chyby.

Sledujte novinky o bezpečnostním týmu Check Point Research:

Blog: https://research.checkpoint.com/

X: https://twitter.com/_cpresearch_

Sledujte novinky o společnosti Check Point Software Technologies:
 X: http://www.twitter.com/checkpointsw
Facebook: https://www.facebook.com/checkpointsoftware
Blog: http://blog.checkpoint.com
YouTube: http://www.youtube.com/user/CPGlobal
LinkedIn: https://www.linkedin.com/company/check-point-software-technologies

O výzkumném týmu Check Point Research

Check Point Research poskytuje zákazníkům společnosti Check Point Software a širší bezpečnostní komunitě detailní informace o kyberhrozbách. Výzkumný tým shromažďuje a analyzuje data o globálních kyberútocích ze sítě ThreatCloud, chrání tak před hackery a zajišťuje, že všechny produkty Check Point jsou aktualizované a mají nejnovější ochranu. Výzkumný tým se skládá z více než 100 analytiků a výzkumných pracovníků, kteří spolupracují také s dalšími bezpečnostními společnostmi, donucovacími orgány a organizacemi CERT.

O společnosti Check Point Software Technologies

Check Point Software Technologies Ltd. (www.checkpoint.com) je přední poskytovatel kyberbezpečnostních řešení pro vlády a organizace po celém světě. Chrání zákazníky před kyberútoky 5. generace prostřednictvím unikátních řešení, která nabízí bezkonkurenční úspěšnost zachycení malwaru, ransomwaru a jiných pokročilých cílených hrozeb. Check Point nabízí víceúrovňovou bezpečnostní architekturu, Infinity Total Protection s pokročilou prevencí hrozeb 5. generace, a tato kombinovaná produktová architektura chrání podnikové sítě, cloudová prostředí a mobilní zařízení. Check Point navíc poskytuje nejkomplexnější a nejintuitivnější nástroje pro správu zabezpečení. Check Point chrání více než 100 000 organizací všech velikostí.

„Nejsem robot“: fiktivní CAPTCHA testy slouží k šíření malwaru, varuje HP

Hlavní body zprávy

  • Společnost HP představila novou zprávu HP Threat Insights Report, která upozorňuje na reálné hrozby odhalené týmem HP Wolf Security.
  • Zpráva upozorňuje na vzestup falešných CAPTCHA testů, jejichž účelem je přimět uživatele ke spuštění malwaru.
  • Mezi další hrozby patří zneužití Python skriptů k instalaci malwaru nebo malware umožňující vzdálený přístup k webkameře a mikrofonu uživatele.

Praha, 8. dubna 2025 – Společnost HP Inc. zveřejnila nový HP Threat Insights Report, který upozorňuje na rostoucí využívání falešných ověřovacích testů CAPTCHA, pomocí nichž útočníci přimějí uživatele k nechtěné infekci zařízení. Tyto kampaně staví na rostoucím zvyku uživatelů absolvovat složitější ověřovací procesy – trend, který HP označuje jako „klikací tolerance“.

Na základě analýzy reálných kybernetických útoků pomáhá zpráva HP Threat Insights Report organizacím sledovat nejnovější techniky, které kyberzločinci používají k obcházení detekce a průnikům do PC. Analýza dat z milionů koncových zařízení s HP Wolf Security odhalila tyto klíčové kampaně:

  • CAPTCHA Me If You Can: Vzhledem k tomu, že roboti čím dál častěji obejdou klasické CAPTCHA testy, stává se ověřování složitější – a uživatelé si zvykají překonávat různé překážky, aby dokázali, že nejsou roboti. Výzkumníci HP odhalili několik kampaní, ve kterých kyberzločinci nastražili falešné CAPTCHA testy. Návštěvníci byli přesměrováni na stránky ovládané útočníky a vyzváni k absolvování smyšlených ověřovacích kroků. Nakonec byli přivedeni ke spuštění škodlivého PowerShell skriptu, který nainstaloval trojský kůň Lumma Stealer (RAT), tedy malware umožňující vzdálený přístup k zařízení.
  • Úplný přístup k webkameře a mikrofonu obětí: V jiné kampani šířili útočníci open source trojský kůň XenoRAT, který umožňuje sledování pomocí kamery a mikrofonu. Pomocí sociálního inženýrství přiměli uživatele k povolení maker v dokumentech Word a Excel, což jim otevřelo možnost ovládat zařízení, krást data a zaznamenávat stisk kláves. Ukazuje se tak, že i soubory Office stále představují riziko z hlediska šíření malwaru.
  • Python skripty a SVG smuggling: Další zajímavá kampaň ukazuje, jak útočníci doručovali škodlivý JavaScript uvnitř SVG (Scalable Vector Graphic) souborů, aby obešli detekci. Tyto soubory se v prohlížeči automaticky otevírají a spustí vložený kód, který aktivuje sedm škodlivých komponent – včetně RATů a infostealerů – což útočníkům poskytuje více způsobů, jak útok finančně využít. Součástí řetězce infekce bylo i použití skrytých Python skriptů k instalaci malwaru. Popularita Pythonu, podpořená rostoucím zájmem o AI a datovou vědu, z něj dělá atraktivní jazyk pro tvorbu škodlivých kódů, protože jeho interpret je široce rozšířen.

„Všechny tyto kampaně mají společné využívání technik obfuskace a metod, které znesnadňují jejich analýzu a tím oddalují jejich odhalení. I jednoduché, ale účinné způsoby zakrývání škodlivého kódu mohou výrazně zpomalit reakci bezpečnostních týmů a ztížit zastavení útoku. Útočníci například používají přímé systémové volání, čímž komplikují detekci pomocí bezpečnostních nástrojů a získávají více času k nepozorovanému průniku.“

HP Wolf Security dokáže izolovat hrozby, které uniknou běžné detekci na PC, a přitom umožní malware bezpečně spustit v chráněném prostředí. Díky tomu má HP detailní přehled o nejnovějších technikách kyberzločinců. Zpráva, která vychází z dat za čtvrté čtvrtletí 2024 ukazuje, jak kyberzločinci rozšiřují škálu metod, jimiž obcházejí bezpečnostní nástroje založené na detekci:

  • Alespoň 11 % e-mailových hrozeb identifikovaných pomocí HP Sure Click obešlo jeden nebo více skenerů e-mailových bran.
  • Nejčastějším typem doručení malwaru byly spustitelné soubory (43 %), následované archivními soubory (32 %).

Dr. Ian Pratt, šéf bezpečnosti osobních systémů HP Inc., k tomu říká: „Vícestupňové ověřování se stalo normou, což zvyšuje naši ‚klikací toleranci‘. Výzkum ukazuje, že uživatelé jsou ochotni projít několika kroky infekčního řetězce, což odhaluje slabiny v osvětě o kyberbezpečnosti. Organizace vedou závod ve zbrojení s útočníky – a umělá inteligence ho jen zrychlí. Aby mohly čelit stále nepředvídatelnějším hrozbám, měly by se zaměřit na zmenšení plochy útoku tím, že izolují rizikové akce, jako je klikání na potenciálně škodlivý obsah. Tím pádem nemusí předvídat, jaký bude další útok – protože ochrana už bude fungovat.”

HP Wolf Security

HP Wolf Security je prvotřídní zabezpečení koncových bodů. Portfolio hardwarového zabezpečení a bezpečnostních služeb HP zaměřených na koncová zařízení je navrženo tak, aby pomohlo organizacím chránit počítače, tiskárny a lidi před kybernetickými predátory. HP Wolf Security (https://hp.com/wolf) poskytuje komplexní ochranu a odolnost koncových bodů, která začíná na úrovni hardwaru a rozšiřuje se na software a služby.

O společnosti HP

Společnost HP Inc. (NYSE: HPQ) je celosvětovým lídrem v oblasti technologií a tvůrcem řešení, která umožňují lidem realizovat jejich nápady a zabývat se věcmi, na nichž jim záleží nejvíc. Společnost HP působí ve více než 170 zemích světa a nabízí širokou škálu inovativních a udržitelných zařízení, služeb a předplatitelských programů pro osobní počítače, běžný i 3D tisk, hybridní práci, hraní her a další. Více informací o HP Inc. naleznete na http://www.hp.com.

Zaměstnanci: Největší riziko pro firemní kyberbezpečnost

Kyberbezpečnost není jen o technologiích – největší slabinou firemních sítí jsou často samotní zaměstnanci. Ať už jde o špatné návyky, neznalost hrozeb nebo obyčejnou lidskou chybu, útočníci toho dokážou dokonale využít. Jaké jsou nejčastější chyby?

Mezi ty nejobvyklejší prohřešky i nadále patří používání jednoduchých hesel jako „123456“ nebo „admin“, případně opakování hesel mezi různými systémy a přístroji. Útočníci dokážou využít automatizované nástroje k prolomení slabých hesel během sekund.

Dalším rizikem jsou phishingové e-maily, které aktuálně patří nejčastější typy podvodů. Neustále se zdokonalují a dokáží napodobit legitimní komunikaci od bank, partnerů nebo kolegů. Stačí jedno neopatrné kliknutí a firma může čelit vážným problémům. „Zaměstnanci často otevírají přílohy z e-mailů, které na první pohled vypadají jako běžná firemní komunikace, nebo si stahují soubory z internetu bez ověření jejich bezpečnosti. Útočníci využívají různé techniky, jako jsou falešné faktury nebo dokumenty vydávající se za oficiální zprávy od dodavatelů či obchodních partnerů,“ popisuje Martin Votava, obchodní ředitel společnosti COMGUARD, která se specializuje na řešení v oblasti firemní IT bezpečnosti.

Stahování neověřených souborů
Jednou z oblíbených metod kyberzločinců je tzv. malspam (malware + spam) – nevyžádané e-maily obsahující škodlivé přílohy nebo odkazy vedoucí k infikovaným souborům. Po jejich otevření se do systému často stáhne ransomware, který zašifruje firemní data, nebo trojský kůň umožňující hackerům vzdálený přístup k firemní síti. „Vedle důsledně nastavené bezpečnostní politiky ve firmě a důsledného školení zaměstnanců je vhodné pořídit i další nástroje,“ vysvětluje Votava.

Firmy, které potřebují nadstandardní přehled o aktuálních rizicích tak mohou využívat například databázi hrozeb ThreatGuard od společnosti COMGUARD. Ta navíc poskytuje i kritickou podporu, jak hrozbě předcházet a řešit ji. ThreatGuard kombinuje pokročilé technologie umělé inteligence s analýzou aktuálních hrozeb. Na jednom místě tak shromažďuje aktuální hrozby a upozorní IT pracovníky i týmy ještě před tím, než útok způsobí škody.

Jednou z nedávných hrozeb, na kterou ThreatGuard upozornil, se týkala odhalených zranitelností v cloudových službách, které mohly vést k získání citlivých informací nebo ke vzdálenému spuštění škodlivého kódu a neoprávněnému přístupu. Uživatelé tomu však jdou svým neopatrným chováním naproti. „Stále více společností umožňuje svým zaměstnancům pracovat v remote režimu. To ovšem klade vyšší nároky na zabezpečení. Tím hůř, pokud se zaměstnanci připojují přes veřejné wi-fi v kavárnách nebo v hotelech,“ nastiňuje Votava.

Pomůže prevence, vzdělávání i vhodné nástroje

Lidský faktor je v kyberbezpečnosti jedním z největších rizik, ale správná prevence, efektivní nástroje a vzdělávání zaměstnanců mohou výrazně snížit pravděpodobnost úspěšného útoku.

Zaměstnance je nutné pravidelně školit. Velmi efektivní je praktické testování od IT týmů, tzv. PhishTest, které zaměstnancům rozesílají maily tvářící se jako nejčastější phishingové zprávy. Pokud zaměstnanec na link klikne, je to zpráva o tom, že je třeba jej proškolit,“ uzavírá Martin Votava.

Exit mobile version