Author: Cyber Team

  • Pametno z UI – prepoznaj lažno, deluj etično

    Pametno z UI – prepoznaj lažno, deluj etično

    Po delavnici: “Pametno z UI – prepoznaj lažno, deluj etično”

    Na kratki, 30-minutni delavnici za mlade (12–18 let) so udeleženci Kariernega sejma Brežice na konkreten in interaktiven način spoznali, kako deluje umetna inteligenca v ozadju manipuliranih vsebin ter kako jo uporabljati odgovorno. Program je združil kratek uvod v uporabo UI, deepfake demo in skupinsko igro “Detektiv za UI”, v kateri so udeleženci prepoznavali resnične in manipulirane primere ter utemeljevali svoje odločitve.

    Skupaj z udeleženci so izpostavili najpogostejše znake lažnih posnetkov: neusklajene ustnice, “migetanje” robov, nenaravne kožne tone in utripanje, mikro-sence pri laseh ter artefakte v zvoku. Ves prikaz je bil izveden izključno v izobraževalne namene, brez snemanja udeležencev.

    V nadaljevanju so mladi razmišljali o osebnih, šolskih, pravnih in družbenih posledicah neetične rabe UI—od disciplinskih ukrepov in izgube zaupanja do blatenja, kraje identitete in širjenja dezinformacij. Posebej je bila poudarjena odgovorna objava: kadar nismo prepričani o verodostojnosti, vsebine ne delimo in se posvetujemo z odraslo osebo ali pristojnimi službami.

    Delavnica je sklenila s 5 zlatimi pravili etične rabe UI:
    (1) soglasje,
    (2) transparentnost,
    (3) preverjanje virov,
    (4) nerazširjanje škode in
    (5) varovanje zasebnosti.

    Udeleženci so prejeli še enostranskii vodič ter kontakte za prijavo zlorab in podporo v šolskem okolju.

    Za vse, ki želijo osvežitev ključnih točk delavnice ali gradivo deliti naprej, je na voljo enostranski povzetek:

  • NPM Supply Chain napad: Kompromitiran avtor paketov z 2 milijardama tedenskih prenosov

    NPM Supply Chain napad: Kompromitiran avtor paketov z 2 milijardama tedenskih prenosov

    Danes zjutraj je kibernetska skupnost doživela resen pretres – kompromitiran je bil razvijalec qix, avtor izjemno priljubljenih paketov chalk in debug-js, ki skupaj beležita več kot 2 milijardi prenosov na teden.

    Kako se je napad začel?

    Vse se je začelo z ciljanim phishing e-mailom, ki je prihajal iz lažne domene npmjs[.]help.
    Napadalcem je uspelo ukrasti prijavne podatke in 2FA dostop, nato pa so v vse njegove pakete vgradili zlonamerno kodo.

    Kaj je počel malware?

    Zlonamerna koda je bila zasnovana kot crypto-stealer, ki je izvajal naslednje aktivnosti:

    • “Hook”-al window.ethereum in Solana API-je
    • Preusmerjal Ethereum transakcije na naslov 0xFc4a4858…
    • Zamenjeval kripto naslove v JSON odgovorih s 280 hardkodiranimi naslovi

    Kolikšna je bila škoda?

    Finančni izkupiček napadalcev je bil presenetljivo majhen – nekaj centov v ETH in približno 20 USD v memecoin-ih.
    Toda prava škoda se meri drugače:

    • Ogroženi milijoni končnih uporabnikov
    • Tisoče ur izgubljenega inženirskega dela
    • Še višji varnostni stroški za podjetja in razvijalce

    Kaj lahko storite, če uporabljate npm?

    Če uporabljate npm, priporočamo naslednje korake:

    1. Preverite node_modules za sumljivo kodo (grep -R 'checkethereumw').
    2. Počistite npm cache z ukazom npm cache clean --force.
    3. Dvakrat preverite naslove transakcij, ki jih podpisujete.

    Orodja za preverjanje

    Za pomoč pri preverjanju lahko uporabite naslednji skripti:

  • Penetracijsko testiranje za podjetja – kako zaščititi svoje poslovanje pred kibernetskimi grožnjami

    Penetracijsko testiranje za podjetja – kako zaščititi svoje poslovanje pred kibernetskimi grožnjami

    Uvod

    V današnjem digitalnem svetu so podjetja izpostavljena vedno bolj naprednim kibernetskim grožnjam. Penetracijsko testiranje (ang. penetration testing) je ena izmed najučinkovitejših metod za preverjanje varnosti informacijskih sistemov. Pri CYBER-SEC d.o.o. pomagamo podjetjem prepoznati ranljivosti, preden jih izkoristijo napadalci.

    Kaj je penetracijsko testiranje?

    Penetracijsko testiranje je simulacija kibernetskega napada na informacijske sisteme podjetja, s ciljem:

    • Odkriti varnostne pomanjkljivosti.
    • Preveriti odpornost na zunanje in notranje napade.
    • Testirati odzivnost varnostnih mehanizmov.

    Obstajajo različne vrste penetracijskih testov:

    Vrste testiranja

    1. Zunanje penetracijsko testiranje – testiranje iz perspektive zunanjega napadalca.
    2. Notranje penetracijsko testiranje – testiranje z dostopom do notranjih informacij.
    3. Grey-box testiranje – kombinacija obeh pristopov.
    4. Testiranje aplikacij – preverjanje spletnih in mobilnih aplikacij.
    5. Social engineering test – simulacija phishing in drugih manipulativnih napadov na zaposlene.

    Zakaj je pomembno za podjetja?

    Kibernetski napadi so vse pogostejši in vse dražji. Po raziskavah lahko posamezen incident podjetje stane več deset tisoč evrov, poleg tega pa povzroči izgubo zaupanja strank.

    Prednosti penetracijskega testiranja za podjetja:

    • ✅ Preprečevanje poslovne škode.
    • ✅ Izpolnjevanje zakonodajnih zahtev (ZInfV-1, NIS2).
    • ✅ Zaščita občutljivih podatkov (GDPR).
    • ✅ Izboljšanje varnostne kulture zaposlenih.

    Postopek penetracijskega testiranja pri nas

    Pri CYBER-SEC d.o.o. sledimo preverjenemu metodološkemu pristopu:

    1. Analiza in načrtovanje – skupaj z naročnikom določimo obseg in cilje testiranja.
    2. Zbiranje informacij – pasivno in aktivno zbiranje podatkov o cilju.
    3. Iskanje ranljivosti – uporaba orodij in tehnik za odkrivanje šibkih točk.
    4. Eksploatacija – preverjanje možnosti izkoriščanja ranljivosti.
    5. Poročilo in priporočila – podrobno poročilo z rešitvami in prioritetami.
    6. Ponovno testiranje – preverimo, ali so bile ranljivosti uspešno odpravljene.

    Pogoste napake podjetij glede kibernetske varnosti

    • Podcenjevanje notranjih groženj.
    • Uporaba zastarele programske opreme.
    • Pomanjkanje izobraževanja zaposlenih.
    • Neizvajanje rednih varnostnih pregledov.

    Zakonodajne zahteve

    V Sloveniji zakon ZInfV-1 in evropska direktiva NIS2 določata obveznosti podjetij na področju kibernetske varnosti. Penetracijsko testiranje je ključni korak pri doseganju skladnosti s temi predpisi.

    Zaključek in poziv k dejanju

    Če želite zaščititi svoje podjetje in se izogniti finančnim ter uglednim izgubam, je penetracijsko testiranje nujen korak.

    📞 Kontaktirajte nas še danes in preverite, kako lahko pri CYBER-SEC d.o.o. skupaj izboljšamo varnost vašega podjetja.

  • HTTP/1.1 mora umreti: zakaj desinhronizacija ubija varnost in zakaj je čas za HTTP/2

    HTTP/1.1 mora umreti: zakaj desinhronizacija ubija varnost in zakaj je čas za HTTP/2

    HTTP/1.1 mora umreti: zakaj desinhronizacija ubija varnost in zakaj je čas za HTTP/2

    1) Zakaj je HTTP/1.1 tako ranljiv

    HTTP/1.1 trpi zaradi “dvoumnih” zahtevkov: različne naprave (CDN-ji, WAF-i, reverse proxyj-i, aplikacijski strežniki) lahko različno razčlenjujejo glave in telo (Content-Length vs. Transfer-Encoding, presledki, CR/LF odstopanja). Napadalci to izkoristijo za request smuggling/desync – prisilijo “front-end” in “back-end” v nesoglasje o tem, kje se en zahtevek konča in začne naslednji, kar odpre vrata za zastrupljanje predpomnilnikov, krajo sej, SSRF in obvode WAF-a. PortSwigger je letos pokazal nove razrede teh napadov in jasno sporočilo z Black Hat: desync je še vedno povsod, še posebej tam, kjer se HTTP/2 potiho pretvarja v HTTP/1.1 zadaj.

    Dodaten problem je “nevidno zniževanje protokola”: mnogi robni sistemi sprejemajo HTTP/2 od brskalnika, nato pa tiho pretvorijo promet v HTTP/1.1 proti aplikaciji. Ta dodatna plast kompleksnosti spet odpre stara vrata za desync, če parserji na poti niso popolnoma skladni.

    Opomba: tudi HTTP/2 ni čarobna krogla – v 2023 smo videli Rapid Reset (CVE-2023-44487), kjer napadalec zlorabi multiplexing in s hitrim pošiljanjem/preklicevanjem streamov povzroči nesorazmeren porast porabe CPU (DoS). To je treba zakrpati in omejevati, a ranljivost je drugačnega tipa kot klasični desync v HTTP/1.1.

    2) Kako napadalci pristopijo (na visoki ravni – za modre ekipe)

    • Iščejo neskladja parserjev: primerjajo, kako rob (CDN/reverse proxy) in aplikacijski strežnik obravnavata CL/TE, neobičajne presledke, glave “TE: trailers” ipd. Razlike nakazujejo potencial za desync.
    • Izrabljajo “HTTP/2 → HTTP/1.1” znižanja: ciljajo poti, kjer front-end sprejme h2, back-end pa pričakuje h1. Če se pravila razmejitve razlikujejo, lahko s “fantomskim” delom zahteve manipulirajo naslednji zahtevek žrtve.
    • Posledice uspešnega desynca: zastrupljanje cache-a (stran A vrne vsebino B), kraja sej ali prijavnih tokov, obvoz WAF-a in interni “pivot” (SSRF).
    • Za DoS na h2: poskušajo “Rapid Reset” – množično odpiranje in takojšnje resetiranje streamov, kar ceneje izčrpava strežnik. Obramba: posodobitve in omejitve stopnje/streamov.

    3) Remediacija: prehod na HTTP/2 + varne nastavitve (Apache & Nginx)

    Ključna načela

    • TLS + ALPN: za brskalnike se HTTP/2 pogaja prek ALPN pri TLS; ne zanašajte se na Upgrade: h2c. Onemogočite h2c (cleartext).
    • Doslednost na poti: zmanjšajte ali odstranite “nevidna znižanja” (CDN/reverse proxy → origin). Če znižanje ostane, poskrbite za enoten, strogo skladen parsing na vseh točkah.
    • Posodobitve: namestite popravke proti CVE-2023-44487 in uvedite omejitve (rate limiting, max concurrent streams, request buffering).

    Apache (2.4+)

    1. Omogočite module in ALPN h2 v TLS vhostu (443):
    a2enmod http2 ssl headers
    <VirtualHost *:443>
    ServerName example.com
    SSLEngine On
    SSLCertificateFile /pot/do/fullchain.pem
    SSLCertificateKeyFile /pot/do/privkey.pem

    # HTTP/2 prek ALPN, brez h2c
    Protocols h2 http/1.1

    # (priporočeno) MPM event + PHP-FPM namesto prefork+mod_php
    # in redni varnostni headerji ...
</VirtualHost>

    Za stabilnost/zmogljivost preklopite na mpm_event + PHP-FPM (HTTP/2 in prefork se slabše razumeta). Uradna dokumentacija: mod_http2 in vodič za HTTP/2.

    Dodatno:

    • Onemogočite h2c, zanašajte se na h2 (TLS/ALPN).
    • Če uporabljate posrednike, testirajte CL/TE skladnost (desync) na stagingu.

    Nginx

    V strežniškem bloku za HTTPS dodajte http2 (in uporabite veljaven certifikat):

    server {
    listen 443 ssl http2;
    server_name example.com;

    ssl_certificate     /path/fullchain.pem;
    ssl_certificate_key /path/privkey.pem;

    # ...
}

    To omogoči HTTP/2 na robu. Poskrbite za TLS in redno posodabljajte Nginx na izdaje, ki naslovijo h2 DoS (Rapid Reset).

    Opomba: nekateri reversni proxyji/CDN-ji lahko še vedno govorijo HTTP/1.1 proti originu. Kjer je to mogoče, izberite pot, ki ne uvaja skrite pretvorbe ali zagotovite identična pravila razčlenjevanja ter testirajte desync scenarije (PortSwigger priporočila)

    Povzetek

    • Ključ do varnosti je doslednost na vseh sklopih (edge ↔ origin), izklop h2c, redne posodobitve in preizkusi desync na stagingu.
    • HTTP/1.1 je nagnjen k desyncu zaradi zgodovinskih dvoumnosti.
    • HTTP/2 prinaša varnejše ograje (in boljšo zmogljivost), a zahteva pravilno ALPN/TLS nastavitev in popravke (npr. Rapid Reset).

    Reference:

    • https://portswigger.net/research/http1-must-die
    • https://www.youtube.com/watch?v=n3Bw8CASnHE

  • IOC Opozorilo: Prepoznana Lumma Stealer C2 domena – larpfxs[.]top

    IOC Opozorilo: Prepoznana Lumma Stealer C2 domena – larpfxs[.]top

    Datum: 31. avgust 2025
    Grožnja: Lumma Stealer (aka LummaC2 / LummaC) – Windows infostealer (MaaS)
    Vrsta indikatorja: Domena (C2)
    Indikator: larpfxs[.]top
    Zanesljivost: Visoka

    Na kratko (TL;DR): Blokirajte larpfxs[.]top na ravni DNS/HTTP(S)/EDR. Preiščite zadnje razreševanje ali povezave, rotirajte poverilnice/žetone za prizadete uporabnike ter poiščite artefakte infostealerja in morebitne kasnejše naloge (follow-on payloads).

    Kaj je Lumma Stealer?

    Lumma Stealer je na Windows usmerjen malware-as-a-service (MaaS) infostealer, ki ga od leta 2022 naprej upravlja več povezanih akterjev. Specializira se za pridobivanje visoko vrednih podatkov – shranjenih poverilnic v brskalnikih, piškotkov in sejnih žetonov, podatkov iz AutoFill/kreditnih kartic, artefaktov kripto denarnic in prstnih odtisov gostitelja – ter njihovo eksfiltracijo na C2 panele pod nadzorom napadalcev.
    Pogoste dostavne poti vključujejo phishing, malvertising in lažne installerje/cracke, ki jih širijo prek TDS (traffic distribution systems) in vabnih strani (npr. fake CAPTCHA). Ker povezani akterji infrastrukturo pogosto rotirajo, naj bodo obramba in detekcije na vedenjski osnovi prednostna naloga, ob boku IoC-jem.

    Kaj se je zgodilo

    Viri groženj so označili larpfxs[.]top kot aktivno C2 infrastrukturo Lumma Stealer, z ruskojezično prijavo, značilno za Lumma C2 panele, in s svežo aktivnostjo na 31. avgust 2025.

    Zakaj je pomembno

    Kompromisi z infostealerji so pogosto prva domina v širšem vdoru: ukradene poverilnice in sejni žetoni omogočajo lateralno gibanje, prevzem SaaS računov in finančne zlorabe. Zaradi povezanega modela in hitre rotacije infrastrukture Lumma ohranja pritisk na ekipe za detekcijo in odziv – blokada ene domene ni dovolj brez širšega lova na vedenje infostealerja in naknadne beacon komunikacije.

    Povzetek indikatorja

    PoljeVrednost
    VrstaDomena
    Indikatorlarpfxs[.]top
    GrožnjaLumma Stealer C2
    Prvič viden (UTC)2025-08-31 20:26:53
    ZanesljivostVisoka
    VirSkupnostni threat intel

    Takojšnji ukrepi (najprej naredite to)

    1. Blokirajte larpfxs[.]top na DNS resolverju, varnem spletnem prehodu/proxyju ter v EDR/požarnem zidu na odjemalcih.
    2. Poiščite in zajezite vse naprave, ki so od 2025-08-24 (min. 7-dnevni pogled nazaj) razrešile ali kontaktirale to domeno.
    3. Ponastavite/rotirajte poverilnice prizadetih uporabnikov; prekličite in ponovno izdajte SSO/oblačne/SaaS žetone.
    4. Lovite artefakte infostealerja: dokazi o masovnem dostopu do podatkov brskalnika, izvoz poverilnic ter naknadni payloadi (loaderji/RAT-i).

    Vodič za detekcijo in threat hunting

    Prilagodite imena polj svoji shemi SIEM/EDR. Spodaj so izhodišča.

    1) DNS / Proxy

    Splunk (proxy/web):

    index=proxy  (dest_host="larpfxs.top" OR url="*://larpfxs.top/*")
| stats values(user) values(src_ip) values(http_user_agent) min(_time) max(_time) by dest_host

    Splunk (DNS, vklj. Sysmon Event ID 22):

    (index=dns OR source="Microsoft-Windows-Sysmon/Operational")
(query="larpfxs.top" OR QueryName="larpfxs.top")
| stats values(Computer) values(User) values(src_ip) min(_time) max(_time) by QueryName

    Elastic (ECS):

    dns.question.name : "larpfxs.top" or url.domain : "larpfxs.top"

    2) Odjemalec / EDR

    Iščite:

    • Procese, ki berejo shranjene datoteke brskalnikov: Login Data, Cookies, Web Data (Chromium/Firefox profili).
    • Neobičajne vzorce dostopa, ki jim sledi odhodni HTTPS na nepreverjene domene (vklj. larpfxs.top).
    • Tipične procesne verige infostealerjev z zlorabo LOLBIN orodij (mshta, rundll32, powershell) tik pred omrežno eksfiltracijo.

    Preventivni ukrepi

    • Egress kontrola: privzeto zavrnitev; dovolilni seznami poslovnih domen; “sink-hole” znanih zlonamernih domen.
    • Utrjevanje (hardening): obvezni upravljalniki gesel + strojni varnostni ključi; onemogočite shranjevanje gesel v brskalnikih za skrbnike.
    • Kontrola aplikacij: omejite interpreterje skript in blokirajte neznane razširitve brskalnikov.
    • E-pošta/splet: peskovnik (sandbox) za priponke; omejite prenose izvršljivih datotek iz rizičnih kategorij.
    • Telemetrija: omogočite DNS beleženje (odjemalec in resolver), proxy dnevnike, Sysmon (vklj. DNS) in hranite forenziko brskalnikov.

    Pravila Sigma (primeri)

    DNS poizvedba za larpfxs.top (Sysmon/EDR DNS)

    title: DNS Query for Lumma C2 Domain larpfxs.top
id: 0e2f1c4c-43a1-4bc1-9c18-7c4a3f1c9c21
status: experimental
logsource:
  product: windows
  service: sysmon
  category: dns_query
detection:
  selection:
    QueryName|endswith: "larpfxs.top"
  condition: selection
fields:
  - Image
  - QueryName
  - User
  - ComputerName
falsepositives:
  - Unlikely
level: high
tags:
  - attack.T1041
  - attack.T1071.001

    Spletna zahteva na larpfxs.top (proxy/ECS)

    title: Web Request to Lumma C2 Domain larpfxs.top
id: 7b7f0a3e-a8e0-4e93-bad5-9f5a26d62255
status: experimental
logsource:
  product: webserver
  category: webserver
detection:
  selection:
    http.hostname|endswith: "larpfxs.top"
  condition: selection
level: high

    Suricata (omrežni senzor)

    Ujemanje TLS SNI

    alert tls any any -> any any (
  msg:"Lumma C2 SNI: larpfxs.top";
  tls.sni; content:"larpfxs.top"; nocase;
  priority:1; classtype:trojan-activity; sid:42002501; rev:1;
)

    Forenzični in triažni kontrolni seznam

    • Plen iz brskalnika: pregled shrambe poverilnic (Chrome/Edge/Firefox), piškotkov, sejnih žetonov; pozorni bodite na masovni dostop.
    • Persistenca: preverite Run ključe, Startup mape, Scheduled Tasks in poti odlaganja v slogu %AppData%\Roaming, ki jih pogosto zlorabljajo stealerji.
    • Naknadni payloadi: povezani akterji pogosto po eksfiltraciji uvajajo loaderje/RAT-e – preglejte za sekundarne beacon-e ali implante.

    Kako si lahko pomagate s ThreatSonarjem (TeamT5)

    Kaj je ThreatSonar (na kratko): ThreatSonar je orodje za proaktivni threat hunting/compromise assessment, namenjeno hitremu odkrivanju latentnih groženj in povezovanju sledi napadalcev. Sorodni izdelek ThreatSonar Anti-Ransomware deluje kot EDR s funkcijami stalnega nadzora, vizualizacije incidentov ter izolacije končnih točk.

    1) Hiter “Compromise Assessment” po vseh endpointih

    Zaženite široki pregled (scan) čez vse končne točke in strežnike, da preverite morebitne indikatorje kompromisa in nenavadno vedenje. ThreatSonar je zasnovan za kompromisne ocene in odzive na incidente, kar MSSP/SOC ekipam omogoča hitrejše ugotavljanje “zdravja” okolja.

    2) Specifičen IOC watch za larpfxs[.]top

    V ThreatSonarju nastavite watchlist in detekcije za to domeno:

    • DNS: ujemanje poizvedb za larpfxs.top (client DNS telemetry).
    • Spletni promet: ujemanje HTTP Host / TLS SNI za larpfxs.top.
    • Časovna korelacija: povezava omrežnih dogodkov s procesi, ki dostopajo do datotek brskalnikov (npr. Login Data, Cookies, Web Data).
      V EDR modulu ThreatSonar Anti-Ransomware lahko takšno vedenje povežete v incident z vizualizacijo poti napada.

    3) Avtomatiziran odziv in zajezitev

    Za pozitivne zadetke konfigurirajte samodejne akcije:

    • Isolate endpoint (omrežna izolacija) in on-demand rescan.
    • Samodejno ustvarjanje povzetkov incidenta z mapiranjem na MITRE ATT&CK taktike/tehnike za hitrejšo triažo.
      Ti koraki skrajšajo čas odziva in zmanjšajo širjenje grožnje po notranjem omrežju.

    4) Lov na vedenjske TTP-je (onkraj ene domene)

    Poleg same domene larpfxs[.]top v ThreatSonarju lovite vedenje značilno za infostealerje: masovni dostop do shrambe brskalnikov, eksfiltracija prek HTTPS kratek čas po takih aktivnostih, ter verige LOLBIN (npr. mshta, rundll32, powershell). Detekcije naj temeljijo na kombinaciji procesnih/omrežnih sledi in naj sprožijo vizualiziran incident za nadaljnje vertikalne premike (pivot).

    5) Poročanje, ponovljivost in integracije

    Za MSSP-je: standardizirajte “intake → scan → triage → response → report” tok, da skrajšate “time-to-value” pri več strankah.

    Uporabite auto-generiran povzetek incidenta kot uradni artefakt za ticketing/IR poročila.

    Načrtujte periodične preglede poročil (tedensko/mesečno) in integracijo z vašim SIEM/SOAR za korelacije na ravni podjetja.