Author: Cyber Team

  • Opozorila o izkoriščanju SAP NetWeaver: CVE-2025-31324

    Opozorila o izkoriščanju SAP NetWeaver: CVE-2025-31324

    Kibernetsko obveščanje o grožnjah

    Naslednji blog zapis temelji na poročilu May H1 Vulnerability Insights Report ekipe TeamT5 Vulnerability Research Team. Za več informacij o tej ranljivosti, podrobnejše smernice za odziv ter pomoč pri zaščiti in krepitvi kibernetske varnosti vaših informacijskih sistemov nas lahko kontaktirate na info@cyber-sec.si. Naša ekipa strokovnjakov vam lahko pomaga pri izvedbi varnostnih pregledov, odkrivanju morebitnih kompromitacij, implementaciji zaščitnih ukrepov ter vzpostavitvi dolgoročne strategije za zmanjšanje kibernetskih tveganj.

    Aktivno izkoriščanje CVE-2025-31324 v SAP NetWeaver

    TeamT5 je zaznal, da je kritična ranljivost (CVE-2025-31324) v SAP NetWeaver aktivno izkoriščena s strani kitajske APT skupine Amoeba (znana tudi kot APT41). Najzgodnejši zaznani primer izkoriščanja s strani Amoeba sega v maj 2025, medtem ko javna poročila kažejo, da je bilo izkoriščanje ničelnega dne zaznano že januarja 2025. Napadalci so po uspešni zlorabi ranljivosti namestili webshell in zlonamerno programsko opremo, kot sta vshell in CobaltStrike Beacon.

    Poleg tega je nadaljnja preiskava pokazala, da je bilo prizadetih več velikih ponudnikov storitev v oblaku. Več kot 100 subjektov, vključno z Google Cloud, Microsoft Azure in Amazon Web Services, je bilo kompromitiranih z webshell-om. Žrtve so bile v Tajvanu, Južni Koreji, Kitajski, Indiji, ZDA, Španiji, Turčiji, Rusiji, Nemčiji, Gvatemali, Saint Barthélemyju in Čilu, med sektorji pa so bili izobraževanje, proizvodnja, avtomobilska industrija, reciklaža, turizem, IT, prehrana in pijača…

    Povzetek za vodstvo

    Ocenjujemo, da je resnost ranljivosti CVE-2025-31324 kritična, in pozivamo stranke, naj uporabijo to poročilo za zmanjšanje vpliva. CVE-2025-31324 je ranljivost za neavtoriziran prenos datotek v SAP NetWeaver Visual Composer Metadata Uploader. S CVSS oceno 9.8 omogoča uspešno izkoriščanje ranljivosti neavtoriziranemu napadalcu nalaganje webshell-a in namestitev zlonamerne programske opreme.

    SAP je ranljivost odpravil v varnostnem opozorilu, izdanem maja 2025. Kljub temu so bila javna poročila in Proof-of-Concept (PoC) za CVE-2025-31324 objavljena že od aprila 2025, medtem ko poročila kažejo, da se je ranljivost aktivno izkoriščala kot napad ničelnega dne že januarja 2025.

    Na podlagi preiskave in trenutnega stanja izkoriščanja CVE-2025-31324 smo v tem poročilu prikazali forenzične artefakte, v Prilogi I navedli zlonamerno programsko opremo, v Prilogi II pa kazalnike kompromitacije (IoC). Najpomembneje je, da smo pripravili obsežen nasvet za omilitev in odziv za naše stranke.

    Povzetek stanja izkoriščanja

    • Poleg APT dejavnosti je preiskava pokazala, da so bili kompromitirani tudi veliki ponudniki storitev v oblaku (Google Cloud, Microsoft Azure, AWS) z več kot 100 prizadetimi organizacijami.
    • CVE-2025-31324 izkorišča kitajska APT skupina Amoeba od maja 2025.
    • Amoeba je ranljivost uporabila v napadih proti Indiji, Nemčiji, Turčiji, Španiji, ter v sektorjih reciklaže, avtomobilske industrije in turizma.
    • Kot začetno nalogo so napadalci naložili webshell, nato pa namestili CobaltStrike Beacon in vshell.
    • C2 strežniki zlonamerne programske opreme: 43.133.196.194 in 101.32.26.154.

    Prizadeti izdelki

    • Izdelek: SAP NetWeaver (Visual Composer razvojni strežnik)
    • Verzija: VCFRAMEWORK 7.50

    Navodila za omilitev in odziv

    • Uradne informacije
    • Orodja za iskanje groženj
      • Na voljo je YARA pravilo za odkrivanje generičnega JSP webshell-a (prek orodja ThreatVision).

    Forenzični artefakti

    1. Webshell-i
      • Napadalci lahko ranljivost izkoristijo za nalaganje webshell-a v mape ./apps/sap.com/irj/root/ in ./apps/sap.com/irj/work/.
      • Pogoste datoteke: cache.jsp, shell.jsp, helper.jsp, usage.jsp, user.jsp, readme.jsp.
    2. Pregled SAP dostopnih dnevnikov
      • Lokacija dnevnikov: ./log/system/httpaccess/responses*.trc*
      • Vnos pri izkoriščanju:
        ATTACKER_IP : POST /developmentserver/metadatauploader?CONTENTTYPE=MODEL&CLIENT=1 HTTP/1.1 200
      • Vnos pri dostopu do webshell-a:
        ATTACKER_IP : GET /irj/helper.jsp?cmd=COMMAND HTTP/1.1 200

    Tabela zlonamerne programske opreme

    ImeTipOpis
    vshellRATOdprtokodni RAT z možnostjo tuneliranja, prikritih kanalov in simulacij APT taktik. Uporablja se v vajah rdeče-modrih ekip.
    CobaltStrike BeaconRATPlačljivo orodje za penetracijsko testiranje, ki ga pogosto zlorabljajo napadalci. Omogoča keylogging, prenos datotek, proxy SOCKS, eskalacijo privilegijev, uporabo Mimikatz ipd.

    Kazalniki kompromitacije (IoC)

    IP-ji:

    • 101.32.26.154
    • 43.133.196.194

    Hash-i:

    • 7ec3d703d7fa41d0f13100ea352a9afd22c0e32f3fd1b2e08a83163ddcbe56d5
    • d560a377ffdba0efe9905d2d84492b486b115f60ee9a9efea850f67106ca9f14
    • 3f5fd4b23126cb21d1007b479954af619a16b0963a51f45cc32a8611e8e845b5
    • c7b9ae61046eed01651a72afe7a31de088056f1c1430b368b1acda0b58299e28
    • 9fb57a4c6576a98003de6bf441e4306f72c83f783630286758f5b468abaa105d

  • Kitajsko-povezana APT skupina izkorišča ranljivost v Ivanti Connect Secure VPN za vdor v več organizacij

    Kitajsko-povezana APT skupina izkorišča ranljivost v Ivanti Connect Secure VPN za vdor v več organizacij

    Kibernetsko-obveščevalne grožnje

    Naslednji blog zapis temelji na poročilu ekipe TeamT5 Vulnerability Research Team. Za več informacij o tej ranljivosti, podrobnejše smernice za odziv ter pomoč pri zaščiti in krepitvi kibernetske varnosti vaših informacijskih sistemov nas lahko kontaktirate na info@cyber-sec.si. Naša ekipa strokovnjakov vam lahko pomaga pri izvedbi varnostnih pregledov, odkrivanju morebitnih kompromitacij, implementaciji zaščitnih ukrepov ter vzpostavitvi dolgoročne strategije za zmanjšanje kibernetskih tveganj.

    V poznem marcu je bilo zaznano, da je kitajsko-povezana APT skupina izkoristila kritično ranljivost v napravah Ivanti Connect Secure VPN za vdor v več organizacij po vsem svetu. Med žrtvami je skoraj dvajset različnih industrij v dvanajstih državah. Menimo, da je napadalec v času analize še vedno ohranjal nadzor nad omrežji žrtev.

    Žrtve

    Med prizadetimi državami so Avstrija, Hrvaška, Avstralija, Francija, Španija, Japonska, Južna Koreja, Nizozemska, Singapur, Tajvan, Združeni arabski emirati, Združeno kraljestvo in Združene države Amerike. Targetirane industrije vključujejo avtomobilsko industrijo, kemijsko industrijo, skupine podjetij, gradbeništvo, informacijsko varnost, izobraževanje, elektroniko, finančne institucije, igralništvo, vlado, medvladne organizacije (IGO), informacijsko tehnologijo, odvetniške pisarne, proizvodnjo, materiale, medije, nevladne organizacije (NVO), raziskovalne inštitute ter telekomunikacije.

    Podrobnosti grožnje

    Analiza z visoko stopnjo zaupanja ocenjuje, da je napadalec izkoriščal ranljivosti v napravah Ivanti Connect Secure VPN za izvajanje napadov po vsem svetu. Verjetno je izkoristil ranljivosti CVE-2025-0282 ali CVE-2025-22457 za pridobitev začetnega dostopa.

    Tako CVE-2025-0282 kot CVE-2025-22457 sta ranljivosti tipa “stack buffer overflow” v Ivanti Connect Secure VPN z oceno CVSS 9,0. Uspešno izkoriščanje omogoča napadalcu oddaljeno izvajanje kode, kar vodi v vdor v notranje omrežje in namestitev zlonamerne programske opreme.

    V napadu je napadalec uporabil skupno orožje, ki ga uporabljajo kitajske grožbene skupine, imenovano SPAWNCHIMERA. SPAWNCHIMERA je razvit posebej za Ivanti Connect Secure VPN in vsebuje vse funkcionalnosti razvpite družine SPAWN, vključno z:

    • SPAWNANT (namestitveni program),
    • SPAWNMOLE (SOCKS5 tuneler),
    • SPAWNSNAIL (SSH stranska vrata),
    • SPAWNSLOTH (brisalec dnevnikov).

    Poleg tega še nakazuje, da bi lahko tudi drugi napadalci pridobili informacije o ranljivosti in začeli lastne kampanje proti napravam Ivanti VPN. Od aprila opažamo množične poskuse izkoriščanja naprav Ivanti VPN. Čeprav je večina poskusov spodletela, je veliko naprav Ivanti VPN postalo neodzivnih in nestabilnih.

    Močno priporočamo, da prizadete organizacije izvedejo temeljito preiskavo incidenta. Glede na raznolike TTP-je napadalca, kot so večplastna C2 infrastruktura, izogibanje mehanizmom nadzora in uporaba brisalcev dnevnikov, bo brez dodatne tehnične podpore izziv zaznati zlonamerne sledi napadalca v omrežju.

  • Zero-click napad na Android prek USB kabla – Ko se zlonamerna aplikacija namesti sama

    Zero-click napad na Android prek USB kabla – Ko se zlonamerna aplikacija namesti sama

    Zero-click napad na Android prek USB kabla – Ko se zlonamerna aplikacija namesti sama

    “Samo napolnil sem telefon.”

    V resnici pa si nehote dovolil, da se samodejno namesti vohunska aplikacija, ki lahko bere tvoja sporočila, brez da bi sploh karkoli pritisnil.

    V varnostnem preizkusu smo pokazali, kako je mogoče Android telefon kompromitirati zgolj s priklopom na USB kabel.
    Brez ADB
    Brez root dostopa
    Brez klika ali potrditve uporabnika
    Brez zaznave Play Protect

    Kako deluje napad?

    1. Napadalec pripravi zlonameren USB kabel (ali USB polnilno točko).
    2. Ko uporabnik priključi svoj Android telefon, se v ozadju sproži samodejna povezava s strežnikom, iz katerega prenese zlonamerno programsko opremo.
    3. Po prenosu se zgodi sledeče:
      • aplikacija se samodejno namesti,
      • zaobide Play Protect,
      • Napadalci pridobijo dostop kjer lahko prebirajo sporočila, klice, lokacijo, itd …

    Uporabnik v tem procesu ne klikne ničesar. Napad je popolnoma avtomatiziran.

    Kaj smo pridobili?

    Popoln dostop do:

    • dohodnih in odhodnih SMS sporočil,
    • kontaktov in klicev,
    • lokacije uporabnika,
    • drugih podatkov.

    S tem napadom lahko napadalec:

    • prestreže 2FA kode,
    • dostopa do e-bančništva in družbenih omrežij,
    • vodi tiho nadzorovanje žrtve brez da bi ta karkoli opazila.

    Demonstracija v živo

    Oglej si dejanski posnetek napada:

    Zakaj je ta napad tako nevaren?

    • Zero-click: Uporabnik ne naredi popolnoma nič – zgolj poveže napravo.
    • Zaobide Play Protect: Google varnostne zaščite so neučinkovite.
    • Usmerjeno proti vsakemu, ki uporablja Android telefon – doma, v službi ali na poti.
    • Možnost širitve v poslovna okolja – ogrožena sta posameznik in podjetje.

    Kako se zaščititi?

    • Nikoli ne uporabljajte tujega ali javnega USB kabla.
    • Uporabljajte izključno “charge-only” USB kable, ki blokirajo podatkovni prenos.
    • V nastavitvah Androida onemogočite samodejne prenose in “namestitev iz neznanih virov”.
    • Izogibajte se javnim polnilnim postajam – uporabljajte svoj powerbank.
    • Uporabljajte dodatno varnostno programsko opremo, ki zazna nenavadno vedenje aplikacij.

    Zaključek

    Ta napad dokazuje, da niti fizična povezava ni več varna.
    Sodobni napadi ne zahtevajo več klikanja na zlonamerne povezave – dovolj je, da priključiš napravo, in napad se izvede samodejno.

    Zaupaj svojemu telefonu – ne pa vsakemu kablu.

    Za varnostne preglede, testiranje mobilne odpornosti in ozaveščevalne delavnice nas kontaktirajte na info@cyber-sec.si

  • 🎧 Napad na slušalke: Ko Bluetooth postane orodje za prisluškovanje

    🎧 Napad na slušalke: Ko Bluetooth postane orodje za prisluškovanje

    Varnostna ranljivost, ki omogoča oddaljeni nadzor nad slušalkami – in celo prisluškovanje okolici

    V dobi brezžičnih naprav pogosto pozabimo, da udobje prinaša tudi tveganja. V nedavni varnostni raziskavi smo praktično prikazali, kako lahko z uporabo odprtokodnih orodij napadalec brez vednosti žrtve prevzame nadzor nad brezžičnimi slušalkami.

    Kako poteka napad?

    1. Napadalec zazna Bluetooth naprave v okolici.
    2. Z uporabo orodij, kot so btmon, bluedump ali bt-audio, ugotovi, da so slušalke pogosto samodejno odprte za povezavo brez PIN-a ali potrditve.
    3. Po uspešni povezavi napadalec:
      • Prek aktivnega mikrofona slušalk začne prisluškovati okolici.

    Prisluškovanje z mikrofonom slušalk

    ❗️ Osebna izkušnja raziskovalca: Po uspešni povezavi s slušalkami je bilo možno v realnem času poslušati okolico preko njihovega vgrajenega mikrofona – brez da bi žrtev to zaznala.

    Več povezav = več možnosti za napad

    Veliko modelov omogoča funkcijo “multipoint pairing”, kar pomeni, da so slušalke lahko hkrati povezane z dvema ali celo več napravami (npr. telefon in prenosnik).

    Kaj to pomeni za varnost?

    • Napadalec lahko postane druga “nevidna” naprava, ne da bi prekinil trenutno povezavo žrtve.
    • Žrtev nima nobenega opozorila, da je dodana še ena povezava.
    • Napad se lahko izvaja tudi v ozadju, brez motenja uporabnika – razen, če se namenoma vmeša v zvok.

    Demonstracija v živo

    Oglej si dejanski prikaz tega napada:

    Kako se zaščititi?

    • Vedno izklopite Bluetooth, ko ga ne uporabljate.
    • Redno brišite seznanjene naprave s seznama slušalk.
    • Če slušalke podpirajo izklop mikrofona, to storite, ko ga ne potrebujete.
    • Uporabljajte Bluetooth naprave, ki zahtevajo avtentikacijo ob vsaki novi povezavi.
    • Po možnosti izklopite multipoint funkcijo, če je ne potrebujete.

    Zaključek

    Bluetooth ranljivosti so resnične – in nevarne. Tudi vsakdanji pripomočki, kot so brezžične slušalke, lahko postanejo orodje za vohunjenje. Pomembno je, da razumemo, kako te tehnologije delujejo, in jih uporabljamo odgovorno.

    Za profesionalno varnostno svetovanje ali predstavitev v živo nas kontaktirajte na info@cyber-sec.si ali obiščite cyber-sec.si

  • Kako vam ThreatSonar olajša pot do skladnosti z NIS2

    Kako vam ThreatSonar olajša pot do skladnosti z NIS2

    Uvajanje NIS 2 se neizbežno bliža

    Napovedana uveljavitev ZInfV-1, slovenskega zakona, ki v naš pravni red prenaša direktivo NIS 2, je podjetjem postavila jasen cilj: v rekordnem času vzpostaviti celovit, 24/7 nadzor nad kibernetskimi tveganji in zagotoviti forenzično sledljivost vsakega incidenta. V poplavi rešitev se zdi izbira prave platforme za varnostno operativno središče (SOC) zahtevna – a letos je odgovor močno olajšala komisija sejmov kot sta Computex in CyberSec EXPO, ki sta ThreatSonar nagradila z nazivom »Best Choice Award 2025« v kategoriji naprednega EDR/MDR.

    Zakaj je ThreatSonar prepričal strogo mednarodno žirijo in postal zlati standard za skladnost z ZInfV-1 ter NIS 2? V nadaljevanju razkrivamo, kako njegova vedenjska analitika, avtomatizirana forenzika in zaščita pred izsiljevalsko programsko opremo omogočajo, da slovenska podjetja obvladajo nove zakonske zahteve – brez drastičnega povečanja kadrov in stroškov.

    Katere zahteve zakon nalaga podjetjem?

    Ključna zahteva ZInfV-1 / NIS 2Kaj konkretno pomeni v praksi
    Celovito upravljanje tveganjEvidenca sredstev, ocenjevanje ranljivosti, spremljanje dobaviteljev.
    24-urna prijava varnostnih incidentovZanesljiva detekcija, časovnica dogodka in takojšna eskalacija CSIRT-u.
    Redne preverbe in revizijePeriodično skeniranje in dokazila za nadzorni organ (URSIV).
    Forenzična sledljivost in hranjenje dnevnikovRekonstrukcija dogodka, hram­ba artefaktov, poročila o osnovnem vzroku.
    Dokaz o neprekinjenem nadzoru24/7 spremljanje končnih točk in jedrnih sistemov.

    Zakaj je ThreatSonar logična izbira za novo zakonodajo

    Zakonodajna zahtevaFunkcionalnost ThreatSonarja, ki jo pokrije
    Upravljanje ranljivosti & dobavne verigeSignal Pattern prepozna neznane grožnje, ThreatTr­acer stalno pregleduje sisteme in odvisnosti.
    24/7 detekcija & opozarjanjeDaemon EDR agent spremlja procese v realnem času, blokira RaaS, APT in WebShell napade.
    Hitra forenzika & poročanjeSmart Forensics avtomatsko zbere RAM, registre, EventLoge in izdela auto-generated poročila – priprav­ljena za CSIRT.
    Izolacija in omejevanje škodeFunkcija Protect Plus takoj uniči sejo napadalca, izolira končno točko in zaščiti VSS varnostne kopije.
    Dokazi za nadzorni organVizualna časovnica incidenta in MITRE ATT&CK oznake dokazujejo skladnost revizorjem URSIV.

    1. Celovita zaščita pred izsiljevalsko programsko opremo

    ThreatSonar z vedenjskim zaznavanjem prepozna > 90 % neznanih variant, postavi »trap« datoteke in v realnem času ubije procese, preden se zažene šifriranje.

    2. Forenzična avtomatika skrajša odzivni čas

    Auto-Investigation samodejno nariše topologijo širjenja po omrežju in poveže artefakte z zunanjimi IoC-ji (YARA, hash, IP). Poročilo je pripravljeno v 1-5 dneh (namesto tednov ročnega dela).

    3. Prilagodljiva namestitev: on-prem, oblak ali povsem offline

    Lahka »on-demand« izvedba za enkratne preglede, Daemon za stalni nadzor, Offline Scanner za izolirana omrežja – vse tri načine je mogoče uvoziti v isti nadzorni portal.

    4. Intelligence-driven lov na grožnje

    ThreatSonarova ekipa analitikov vsak teden posodobi nabor pravil s svežimi APT taktikami iz regije APAC (in drugod), kar pokrije tudi zahtevo ZInfV-1 po spremljanju aktualnih groženj.

    Kako začeti

    1. Ocena vrzeli – preverite, katere obveznosti ZInfV-1 že izpolnjujete.
    2. Pilotna namestitev ThreatSonarja – v 60 minutah pokrijete > 1 000 končnih točk in dobite prvo forenzično sliko.
    3. Integracija s procesi CSIRT/SOC – avtomatizirajte eskalacijo in poročanje.
    4. Dokumentacija skladnosti – izvozite poročila za nadzorni organ in notranji revizijski odbor.

    Zaključek

    ZInfV-1 in NIS 2 dvigujeta letvico kibernetske odpornosti v Sloveniji. ThreatSonar vam omogoča, da te zahteve izpolnite hitro, stroškovno učinkovito in z minimalnim kadrovskim vložkom – od 24/7 detekcije do forenzičnega poročanja, ki ga organi priznavajo kot dokaz o skladnosti.

    Potrebujete več informacij ali demo? 
Kontaktirajte našo ekipo CYBER-SEC in preverite, kako lahko ThreatSonar v nekaj urah zapre vaše največje varnostne vrzeli.

    Pošlji povpraševanje