Źródło: TrendMicro (https://www.trendmicro.com/pl_pl/research/25/a/information-stealer-masquerades-as-ldapnightmare-poc-exploit.html)
Złośliwe repozytorium było forkiem tego z prawdziwym Proof of Concept, a zamiast oryginalnych plików .py, pojawił się plik wykonywalny “poc.exe”. Po jego uruchomieniu wykonywany jest skrypt Powershell, odpowiadający za zarejestrowanie zadania w harmonogramie. Zadanie odpowiada za pobranie skryptu z Pastebin, zbierającego publiczny adres IP urządzenia ofiary i przesyłającego go za pośrednictwem FTP. Ponadto zbierane – i wysyłane do chmurowej usługi FTP drivehq[.]com – są następujące dane:
- informacje na temat komputera ofiary
- lista działających procesów
- lista plików zawartych w folderach Pobrane, Ostatnie, Dokumenty i Pulpit
- dane sieciowe (adresy IP, adaptery)
- zainstalowane pakiety oprogramowania i ich wersje
TrendMicro przypomina w artykule także o zasadach bezpieczeństwa przy korzystaniu z otwartych repozytoriów kodu:
- pobieranie oprogramowania tylko z zaufanych i oficjalnych źródeł
- weryfikacja wiarygodności twórcy i jego powiązań (na przykład firma, którą reprezentuje)
- sprawdzenie ostatnich commitów i zmian w kodzie pod kątem podejrzanych zmian
- ostrożna ocena repozytoriów z których korzysta mało osób (mała liczba forków, gwiazdek i znikoma aktywność użytkowników)
- analiza informacji na temat repozytorium (zarówno tych dostępnych w internecie, jak i bezpośrednio na GitHubie) w poszukiwaniu złych opinii, analiz lub nieścisłości
Repozytorium ze złośliwym kodem jest już niedostępne na GitHubie (tak jak i twórca repozytorium).
Więcej: https://www.trendmicro.com/pl_pl/research/25/a/information-stealer-masquerades-as-ldapnightmare-poc-exploit.html
Wybrane zagrożenia tygodnia
Zaawansowane zagrożenia
Polska na liście celów haktywistów
W ostatnich dniach polskie instytucje znalazły się na liście celów grupy NoName057 (znanej również jako NoName0157), która specjalizuje się w atakach DDoS (Distributed Denial of Service). Znana jest ona z działalności prorosyjskiej, a jej działania często są powiązane z celami geopolitycznymi Kremla.
Rzeczywista motywacja zmiany w kierunku Polski nie jest z dużą pewnością znana. Może się jednak wiązać z objęciem przez nasz kraj prezydencji w Radzie Unii Europejskiej. Zwiększa to naszą widoczność na arenie międzynarodowej, a także symboliczne znaczenie w strukturach unijnych. Grupa NoName057 może chcieć zakłócić działania polskich instytucji w celu osłabienia wizerunku Polski i zdestabilizowania działań unijnych. Haktywiści bardzo mocno wzmacniają swoje działania kontekstem militarnym, wykorzystując propagandę. W znakomitej większości przygotowany przekaz jest robiony na potrzeby wewnętrzne.
Żródło: Telegram / X @Cyberknow20
Grupa haktywistyczna Mysterious Team Bangladesh poinformowała na Telegramie, że przygotowuje się do cyberataków na podmioty w Polsce. To informacja o tyle zaskakująca, że grupa ta do tej pory nie prowadziła ataków na cele w naszym kraju. Angażuje się co prawda w ataki motywowane politycznie, jednak są one związane z obroną interesów Bangladeszu oraz promowaniem swoich poglądów ideologicznych. Jako swój główny obszar aktywności skupiają się na konflikcie z Indiami oraz działaniach promuzułmańskich. Można podejrzewać, że deklaracja ataków na Polskę to chęć wsparcia działań antyizraelskich w związku z informacjami o uchwale rządu polskiego o ochronie premiera Izraela, gdyby ten pojawił się w Polsce (informacje te rezonowały w światowych mediach).
Główną techniką ataków Mysterious Team Bangladesh są DDoS oraz przejmowanie i defacement stron WWW. W zakresie ataków DDoS grupa prowadzi ataki aplikacyjne (typowe HTTP Flood oraz Slowloris) oraz wolumetryczne (UDP Flood, SYN Flood, ICMP Flood, DNS Amplification). Często łączy techniki w celu zwiększenia efektywności. Przykładami są jednoczesne ataki na warstwę sieciową (3/4) i aplikacyjną (warstwa 7). Grupa nie ma własnej infrastruktury atakującej, ani też specyficznych narzędzi. Rekrutuje członków w społeczności i przekazuje dokładne instrukcje i wskazania na narzędzia (botnety), których używać.
Zagrożenie ze stron motywowanych ideologicznie aktorów towarzyszy nam każdego dnia. Mieliśmy dosyć długi okres, kiedy istniejące grupy i ich zarządzający rozproszyli swoje cele na różne konflikty. Jednak obecnie widać większe zmotywowanie i koordynację działań adwersarzy. Pojawiające się w naszej cyberprzestrzeni nowe grupy (tj. Mysterious Team Bangladesh) wymagają zwiększonej obserwacji i konieczności poznania ich technik oraz taktyk ataku.
Cyberwar
Ataki Ukrainian Cyber Alliance na rosyjski telekom
6 stycznia 2025 roku rosyjski dostawca internetu Nodex padł ofiarą poważnego cyberataku, który doprowadził do całkowitego paraliżu jego sieci. Atak spowodował, że klienci firmy, zwłaszcza w Petersburgu i okolicach, utracili dostęp do internetu.
Źródło: Telegram / Ukrainian Cyber Alliance
Do przeprowadzenia ataku przyznała się grupa hakerska Ukrainian Cyber Alliance, znana z wcześniejszych działań wymierzonych w rosyjskie instytucje. Hakerzy opublikowali zrzuty ekranu potwierdzające uzyskanie dostępu do krytycznych systemów Nodex, w tym infrastruktury wirtualnej Hewlett Packard Enterprise, VMware oraz kopii zapasowych Veeam. Według ich oświadczeń dane zostały skradzione, a serwery całkowicie wyczyszczone, co znacznie utrudnia proces przywracania usług.
Nodex poinformował na platformie VKontakte, że sieć została zniszczona i trwają prace nad jej odbudową z kopii zapasowych. Firma nie była w stanie podać dokładnego terminu przywrócenia pełnej funkcjonalności usług.
Źródło: Telegram / Ukrainian Cyber Alliance
Schemat ataku przypomina wcześniejsze działania rosyjskich grup hakerskich (jak Sandworm), które atakowały ukraińskich operatorów telekomunikacyjnych. Przykładem jest atak na operatora Kyivstar w grudniu 2024, za który odpowiedzialność wzięła grupa Sołncepiok, powiązana z rosyjskimi służbami specjalnymi.
Obecny incydent podkreśla rosnące znaczenie cyberataków jako narzędzia w konfliktach międzypaństwowych, gdzie infrastruktura telekomunikacyjna staje się celem działań hakerskich, wpływając bezpośrednio na klientów i destabilizując usługi kluczowe dla społeczeństwa.
Więcej:
https://hackingblogs.com/major-cyberattack-against-russian-isp-nodex
https://vk.com/wall-7622_694
Cybercrime
FunkSec – grupa ransomware wspomagana przez AI
Grupa FunkSec zyskała na popularności w polskich mediach za sprawą wycieku danych z sklepbaterie.pl. Na stronie DLS (ang. Dedicated Leak Sites) grupy możemy przeczytać, że ponad połowa danych została sprzedana, a do pobrania dostępna jest próbka danych zawierająca dane około 200 tysięcy osób.
Źródło: DLS grupy FunkSec
Grupa FunkSec jest nową grupą ransomware, która pojawiła się w końcówce 2024. Swoją DLS uruchomili w grudniu, a znajdziemy na niej obecnie listę około 90 ofiar grupy. Z oficjalnej notatki (tzw. ransom note) dodawanej przy zaszyfrowanych plikach możemy dowiedzieć się o cenie 0.1 BTC za odszyfrowanie danych. Adres portfela bitcoinowego grupy z notatki wskazuje jednak na łącznie 4 transakcje o łącznej kwocie zaledwie 0.03 BTC.
Na temat samej grupy dostępne jest niewiele informacji. Nie ma bezpośrednich dowodów na jej związek z innymi grupami ransomware. Pojawienie się nazwy Ghost Algéria w notatce identycznej do tej od grupy FunkSec czy wzmianki o Cyb3r-Fl00d jako o starej grupie FunkSec mogą sugerować pewne powiązania. Może też jednak chodzić bardziej o próbę uwiarygodnienia się FunkSec niż na wskazanie bezpośredniej współpracy.
Niektórzy członkowie grupy znani są na forach Dark Webu. W publikowanych zrzutach ekranu widziana była informacja o lokalizacji jako Algerii i francuskich ustawieniach klawiatury w komputerze. Pokrywa się to z oprogramowaniem ransomware grupy, okraszonej zrzutami ekranu ze strony Virus Total jako dowód o małej wykrywalności oprogramowania. Wskazane próbki zostały umieszczone w Virus Total z algierskiej adresacji.
Grupa pracuje w modelu double-extortion, eksfiltruje, a następnie szyfruje dane i publikuje je lub sprzedaje na swoim DLS po niezapłaceniu przez ofiarę okupu. FunkSec posiada także forum dedykowane grupie oraz oferuje narzędzia takie jak:
- JQRAXY_HVNC – narzędzie do zdalnej kontroli dostępu
- FDDOS – narzędzie do przeprowadzania ataków DDoS
- funkgenerate – generator list haseł na podstawie scrapowania e-maili oraz potencjalnych haseł z danej strony
- Serwis sortowania danych w różnych opcjach rozmiaru plików
Źródło: DLS grupy FunkSec
Grupa oferuje także usługi RaaS (ang. Ransomware-as-a-Service), za 100 dolarów: udostępniając oprogramowanie ransomware grupy, umożliwiając personalizację notatki ransomware’owej, formatów zaszyfrowanych plików, zmiany tapety, wskazania folderów do szyfrowania, etc.
Źródło: DLS grupy FunkSec
W niektórych narzędziach oferowanych przez grupę (m.in. skrypt do DDoS) możemy znaleźć komentarze świadczące o wygenerowaniu kodu przez agenta LLM. Grupa opublikowała także chatbota pozbawionego restrykcji do wspomagania szkodliwych działań.
Źródło: https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai
Źródło: https://research.checkpoint.com/2025/funksec-alleged-top-ransomware-group-powered-by-ai
Złośliwe oprogramowanie
Nowy/stary stealer na MacOS
Badacze firmy CheckPoint Research w zeszłym tygodniu opublikowali analizę kampanii złośliwego oprogramowania o nazwie Banshee Stealer, celującego w użytkowników MacOS .
Banshee Stealer został po raz pierwszy udokumentowany w sierpniu 2024 przez Elastic Security Labs. Oferowany w modelu malware-as-a-service (MaaS) za 3000 USD miesięcznie był zdolny do kradzieży danych z przeglądarek internetowych, portfeli kryptowalutowych oraz plików o określonych rozszerzeniach.
Grupa stojąca za stelaerem doznała poważnego ciosu w listopadzie 2024, gdy kod źródłowy wyciekł do sieci, co doprowadziło do wstrzymania operacji grupy. Jednak Check Point poinformował, że zidentyfikował liczne kampanie nadal rozprzestrzeniające to złośliwe oprogramowanie za pośrednictwem stron phishingowych, chociaż nie wiadomo, czy stoją za nimi jego pierwotni operatorzy.
Złośliwe oprogramowanie jest rozprowadzane za pośrednictwem stron phishingowych oraz repozytoriów na GitHubie, podszywających się pod popularne oprogramowanie, jak Google Chrome, TradingView, Zegent, Parallels, Solara, CryptoNews, MediaKIT i Telegram.
Kampanie celują w użytkowników macOS z użyciem Banshee, a jednocześnie infekują użytkowników Windows z użyciem oprogramowania Lumma Stealer, co wskazuje, że cyberprzestępcy dążą do zainfekowania jak największej liczby systemów. Sam kod źródłowy Banshee przeszedł kilka modyfikacji. Najistotniejszą zmianą jest zastosowanie algorytmu szyfrowania z mechanizmu antywirusowego Apple XProtect, które pozwoliło na ukrycie tekstowych ciągów znaków używanych w oryginalnej wersji Banshee Stealer. Dzięki temu malware przez ponad dwa miesiące unikał wykrycia przez silniki antywirusowe. Nowy wariant zrezygnował z mechanizmu blokującego infekcję systemów macOS ustawionych na język rosyjski, co może dowodzić, że za operacjami nie stoi już rosyjskojęzyczna grupa.
Więcej:
https://blog.checkpoint.com/research/cracking-the-code-how-banshee-stealer-targets-macos-users
Oszustwa i podszycia
Phishing z podszyciem pod rekrutację do CrowdStrike
CrowdStrike poinformowało o phishingu z podszyciem pod proces zatrudnienia w ich firmie. W wiadomości e-mail “kandydat” otrzymuje rzekome zaproszenie na 15-minutową rozmowę w sprawie stanowiska “Junior Developer”. Oszustwo ma zachęcić do pobrania nowej aplikacji CRM, gdzie ofiara ma zarejestrować termin rozmowy kwalifikacyjnej. Komunikacja i strona pobierania aplikacji przekonująco przypominają identyfikację wizualną CrowdStrike, a przedstawiona przez oszustów instrukcja dotycząca działań do podjęcia po instalacji dodaje wiarygodności całemu procesowi.
Źródło: CrowdStrike (https://www.crowdstrike.com/en-us/blog/recruitment-phishing-scam-imitates-crowdstrike-hiring-process)
Po pobraniu i uruchomieniu z perspektywy użytkownika pojawia się jedynie komunikat o błędzie aplikacji. W tle działanie rozpoczyna złośliwe oprogramowanie. Na początek cs-applicant-crm-installer.exe (jeszcze przed komunikatem o błędzie) sprawdza w jakim środowisku się znajduje zanim pobierze zasadnicze elementy złośliwego oprogramowania. Początkowa weryfikacja ma na celu utrudnienie detekcji i analizy poprzez zaprzestanie złośliwych działań w przypadku znalezienia się w środowisku analitycznym (sandbox, maszyna wirtualna).
Jeżeli środowisko przejdzie test, z GitHuba pobierana jest koparka kryptowalut CryptoMiner XMRig i zapewnia sobie uruchamianie przy starcie systemu.
Więcej: https://www.crowdstrike.com/en-us/blog/recruitment-phishing-scam-imitates-crowdstrike-hiring-process
CVE tygodnia
CVE-2025-0282: Ivanti Zero Day
W ubiegłym tygodniu opublikowano nową lukę bezpieczeństwa w urządzeniach Ivanti, aktywnie wykorzystywaną w atakach Zero-Day od grudnia 2024 roku. Podatność może prowadzić do zdalnego wykonania kodu przez nieautoryzowanego użytkownika.
Luka oznaczona jako CVE-2025-0282 (wycena CVSS: 9,0) to przepełnienie oparte na stosie. Problem dotyczy oprogramowania:
- Ivanti Connect Secure w wersjach wcześniejszych niż 22.7R2.5,
- Ivanti Policy Secure w wersjach wcześniejszych niż 22.7R1.2,
- Ivanti Neurons dla bram ZTA w wersjach wcześniejszych niż 22.7R2.3.
Ivanti załatało również inną podatność (CVE-2025-0283, CVSS: 7,0), która umożliwia lokalnemu uwierzytelnionemu atakującemu eskalację uprawnień. Podatności te zarządzone są w aktualizacji do wersji 22.7R2.5.
Należąca do Google firma Mandiant przeprowadziła dochodzenie w sprawie ataków wykorzystujących CVE-2025-0282. W wyniku analizy odkryto wdrożenie ekosystemu złośliwego oprogramowania o nazwie SPAWN na kilku urządzeniach należących do różnych organizacji. Użycie SPAWN przypisano grupie UNC5337, powiązanej z UNC5221, prawdopodobnie działającą w Chinach.
Ataki te obejmowały również instalację wcześniej nieudokumentowanego złośliwego oprogramowania o nazwach DRYHOOK i PHASEJAM. Żaden z tych wariantów nie został powiązany z konkretnym aktorem lub grupą.
Amerykańska agencja CISA dodała podatnosć CVE-2025-0282 do katalogu znanych luk bezpieczeństwa wykorzystywanych w atakach (Known Exploited Vulnerabilities).
Komentarz analityka
FunkSec pozostaje jedną z szybciej rozwijających się grup ransomware. Obecnie niewiele wiemy na jej temat, jednak z upływem czasu coraz więcej analityków zacznie zwracać nań uwagę. Brak powiązań z innymi, popularniejszymi grupami jest wyróżniającym elementem. Większe i skuteczne grupy ransomware powstawały po upadku poprzednich, zachowując członków, którzy uniknęli aresztowania, w innych strukturach. Ciekawym aspektem jest oferowanie darmowych usług jak HVNC, czy skrypt do DDoSów. Aspekt AI jest również wyróżniającym elementem, chociaż jego użycie nie jest bezpośrednio związane z oprogramowaniem ransomware, a dodatkowymi usługami. Pomimo kilku błędów OPSECowych, które popełnili członkowie FunkSec na forach w Dark Webie, grupa wciąż atakuje nowe cele, informując o sukcesach na swojej stronie. Prewencja i monitorowanie grupy są tu kluczowym elementem, aby skutecznie uchronić się przed zagrożeniem z ich strony.
Fałszywy PoC LDAP Nightmare opublikowany na GitHubie oraz phishing imitujący proces rekrutacyjny do firmy CrowdStrike to interesujące przykłady ataków kierowanych do analityków cyberbezpieczeństwa lub osób związanych z branżą IT. Grupa docelowa jest określona i wąska, co pomaga realizować założone cele oszustów – na przykład pozyskanie szczególnie wartościowych dla atakujących kont użytkowników. Powinno nam to przypominać, że każdy może zostać oszukany – nawet świadomi użytkownicy mogą okazać się podatni na dostarczony w dobrym momencie, dopracowany phishing. Zainteresowanie wyczekiwanym PoC lub otrzymanym zaproszeniem na rozmowę może spowodować nadmierny pośpiech, który skończy się infekcją złośliwym oprogramowaniem. Analitycy cyberbezpieczeństwa nie powinni tracić czujności, ponieważ na ich potknięcia mogą czyhać nie tylko pospolici cyberprzestępcy, ale także grupy APT, których celem może być szpiegostwo lub destrukcja w istotnych sektorach. Warto zauważyć, że atak z podszyciem pod CrowdStrike, okazał się “tylko” infekcją CryptoMinerem. Atakujący z powodzeniem mogliby dostarczyć oprogramowanie kradnące dane (jak w przypadku fałszywego PoC) lub ransomware. Wtedy konsekwencje infekcji byłyby dużo większe.
Ivanti Connect Secure, wcześniej znane jako Pulse Connect Secure, było często celem ataków, w tym zaawansowanych grup APT, czy operatorów ransomware. Ze względu na wcześniejsze przypadki eksploitacji tych urządzeń, użytkownikom oprogramowania zdecydowanie zalecamy niezwłoczne zastosowanie dostępnej poprawki dla wykrytych luk.
Platforma Censys zidentyfikowała 33 542 wystawione instancje Ivanti Connect Secure (choć nie wszystkie z nich są podatne). Większość znajduje się w Stanach Zjednoczonych i Japonii, przy czym rzadko ujawniają one publicznie swoją wersję oprogramowania. Widoczność dla urządzeń Policy Secure (które nie są wystawione na działanie internetu) oraz Neurons for ZTA jest niedostępna. Dla porównania w Polsce liczba zidentyfikowanych podatnych urządzeń na dzień publikacji raportu wynosiła 155.
Choć macOS jest często postrzegany jako bezpieczniejszy niż Windows, coraz więcej cyberprzestępców tworzy specjalistyczne narzędzia atakujące właśnie tę platformę. Stealery często rozprzestrzeniają się za pomocą fałszywych aktualizacji oprogramowania, phishingowych stron internetowych, czy wiadomości wysyłanych przez aplikacje takie jak Discord. Zaawansowane techniki ukrywania działalności (szyfrowanie kodu, unikanie mechanizmów bezpieczeństwa) czynią złośliwe oprogramowanie trudnym do wykrycia, a jego obecność na urządzeniu może być długo niezauważona. Dlatego kluczowe jest zastosowanie się do podstawowych zasad bezpieczeństwa, takich jak instalowanie oprogramowania tylko z zaufanych źródeł, regularne aktualizowanie systemu i używanie oprogramowania antywirusowego dostosowanego do macOS.
Grupy motywowane celami wojskowymi odgrywają znaczącą rolę w cyberatakach na infrastrukturę krytyczną i systemy IT. Ich działania są często precyzyjnie zaplanowane i prowadzone z wykorzystaniem zaawansowanych technik. Celem jest zdobycie strategicznej przewagi, uzyskanie dostępu do wrażliwych informacji lub wywołanie chaosu, który może wpłynąć na działania przeciwnika. Jednym z większych problemów jest destrukcja systemów, prowadząca do poważnych konsekwencji zarówno w sferze technologicznej, jak i operacyjnej. Skutki takich działań mogą obejmować zakłócenie funkcjonowania sieci energetycznych, systemów komunikacyjnych, a nawet instytucji finansowych. Destrukcja wpływa nie tylko na zdolność państw do obrony swoich interesów, ale także zwiększa ryzyko eskalacji konfliktów na innych polach. Opisane przypadki ataków na rosyjski sektor telekomunikacyjny, działania rosyjskiej grupy Sandworm w Ukrainie (KievStar, sektor energetyczny), szeroka aktywność haktywistów potwierdzają znaczenie cyberprzestrzeni w działaniach militarnych i wywierania wpływu na społeczeństwa.
