W tym wydaniu Krajobrazu Zagrożeń analizujemy ewolucję arsenału rosyjskiej grupy Gamaredon, pokazując jak spojrzenie na pełny łańcuch infekcji pozwala lepiej zrozumieć jej działania. Opisujemy również HTTP/2 Bomb – przypadek, w którym sztuczna inteligencja pomogła odkryć nową technikę ataku opartą wyłącznie na kreatywnym połączeniu znanych wcześniej mechanizmów. Wreszcie pokazujemy, jak cyberprzestępcy wykorzystują blockchain nie tylko do transferu środków, ale również jako element infrastruktury operacyjnej. Wszystkie te przykłady prowadzą do podobnego wniosku: przewagę coraz częściej daje umiejętność łączenia istniejących elementów w nowe, trudniejsze do przewidzenia konfiguracje. 

Zaawansowane zagrożenia

Gamaredon: od chaosu nazw do spójnego obrazu arsenału.

• Gamaredon to rosyjska grupa cyberszpiegowska powiązana z FSB, od lat celująca głównie w instytucje rządowe, wojskowe i podmioty infrastruktury krytycznej w Europie Centralno-Wschodniej. 
• Ujęcie w logice GammaPhish (wejście), GammaLoad (staging), GammaWorm (propagacja) i GammaSteel (kradzież danych) pozwala lepiej śledzić ciągłość działań niż rozproszona nomenklatura poszczególnych próbek i wariantów.  
• Ważną cechą tej architektury jest redundancja. Kolejne etapy infekcji nie tylko prowadzą do następnych, ale same mogą podtrzymywać dostęp do zainfekowanego systemu. 

Gamaredon jest grupą dobrze rozpoznaną, ale opisaną niespójnie. Przez lata wokół jej aktywności narosła rozproszona nomenklatura obejmująca zarówno aliasy samego aktora, jak i nazwy rodzin, modułów oraz wariantów malware. Problem nie polegał na braku danych. Przeciwnie — danych było dużo, ale dotyczyły różnych fragmentów tego samego arsenału, co utrudniało zrozumienie relacji między poszczególnymi komponentami. 

W tym sensie seria publiakcji Sekoia porządkuje temat lepiej niż większość wcześniejszych opisów. Jej wartość nie polega na wprowadzeniu kolejnych etykiet, ale na złożeniu znanych elementów w prosty model funkcjonalny GammaPhish, GammaLoad, GammaWorm i GammaSteel, który jest zgodny z taksonomią stosowaną przez CERT-UA. Taki podział pozwala czytać aktywność Gamaredonu jako jeden łańcuch operacyjny: od wejścia, przez dostarczenie kolejnych etapów i propagację, po eksfiltrację danych. 

To ważne również dlatego, że arsenał Gamaredonu zmienił się na przestrzeni lat. Historycznie grupa była kojarzona z frameworkiem Pteranodon/Pterodo. W nowszych kampaniach widać już jednak wyraźnie odejście od tego modelu na rzecz bardziej rozproszonej, modułowej architektury. Poszczególne komponenty są bardziej wyspecjalizowane, ale nadal pozostają częścią jednej całości. Z punktu widzenia operatora daje to większą elastyczność. 

GammaPhish pełni rolę punktu wejścia. To etap inicjujący kompromitację i uruchamiający dalsze warstwy infekcji. Sam w sobie nie jest najistotniejszym elementem arsenału, ale bez niego nie dochodzi do osadzenia kolejnych komponentów. Już na tym etapie widać, że nie chodzi o jednorazowe dostarczenie payloadu, ale o przygotowanie trwałego dostępu. 

Centralne znaczenie ma GammaLoad. To nie pojedynczy loader, ale warstwa pośrednia odpowiedzialna za dostarczanie dalszych komponentów, odnawianie konfiguracji i podtrzymywanie komunikacji z infrastrukturą operatora. Właśnie tutaj najlepiej widać logistykę całej operacji. GammaLoad korzysta z mechanizmu failover, najpierw sięgając po adresy zapisane w rejestrze, a w razie potrzeby pobierając nowe wartości przez dead drop resolvers z wykorzystaniem legalnych serwisów, takich jak Telegraph, Telegram czy Check-Host. Dzięki temu infrastruktura może być odświeżana bez przebudowy całego łańcucha. 

GammaWorm pokazuje z kolei, że ten arsenał nie został zaprojektowany wyłącznie z myślą o propagacji. Odpowiada za rozprzestrzenianie się przez nośniki wymienne i zasoby sieciowe, ukrywa komponenty w Alternate Data Streams i utrzymuje trwałość przez scheduled tasks. Równocześnie pozostaje kolejnym kanałem wykonywania poleceń i podtrzymywania dostępu. To naprowadza na jeden z najważniejszych wniosków, czyli poszczególne etapy infekcji nie są wyłącznie liniowymi krokami prowadzącymi do następnych. Kilka z nich może działać niezależnie i samo pełnić funkcję backdoora. 

Ten sam mechanizm widać w GammaSteel. To właśnie tutaj wcześniejsze warstwy przekładają się na efekt operacyjny w postaci kradzieży danych. Jednocześnie sam stealer nie jest wyłącznie narzędziem eksfiltracji. Sekoia pokazuje, że jego komponenty są osadzane w rejestrze, szyfrowane z użyciem DPAPI i uruchamiane w sposób redundantny, tak aby zwiększyć szansę skutecznego działania i utrzymać możliwość dalszego wykonywania kodu. To nie jest osobny „finał” infekcji, tylko kolejna warstwa tej samej architektury. 

Najważniejsze w tej serii nie są więc kolejne próbki, tylko sposób ich ułożenia. Dopiero takie ujęcie pozwala zobaczyć Gamaredon nie jako zbiór luźno opisywanych rodzin malware, ale jako jeden, konsekwentnie rozwijany arsenał. W tym modelu nazwy mają znaczenie tylko o tyle, o ile pomagają uchwycić funkcję komponentu w szerszym łańcuchu. 

Patrząc szerzej

Z perspektywy CTI problem nazewnictwa nie jest poboczny.  Rozproszona nomenklatura utrudnia ocenę ciągłości działań przeciwnika, bo kolejne iteracje tego samego arsenału łatwo pomylić z nowymi narzędziami. W przypadku Gamaredonu seria publikacji Sekoia jest cenna właśnie dlatego, że porządkuje ten obraz i przywraca relacje między poszczególnymi warstwami infekcji. 

W dojrzałych operacjach coraz większe znaczenie ma nie pojedynczy implant, ale architektura całego łańcucha — zwłaszcza wtedy, gdy kolejne warstwy mogą działać niezależnie i każda z nich może podtrzymywać dostęp. To często ważniejsze niż sama lista nazw. 

Więcej informacji:
https://blog.sekoia.io/fsbs-matryoshka-1-3-gamaredons-gifts-that-keeps-unpacking-gammaphish-and-gammaworm/ 
https://blog.sekoia.io/fsbs-matryoshka-2-3-gamaredons-gifts-that-keeps-unpacking-gammaload/ 
https://blog.sekoia.io/fsbs-matryoshka-3-3-gamaredons-gifts-that-keeps-unpacking-gammasteel/

Podatności

HTTP/2 Bomb – nowy atak DoS odkryty przez sztuczną inteligencję

• Odkryto nową technikę ataku typu Denial-of-Service (DoS), nazwaną HTTP/2 Bomb, wpływającą na popularne serwery HTTP, w tym NGINX, Apache HTTP Server, Microsoft IIS, Envoy oraz Pingora.  
• Mechanizm wykorzystuje połączenie dwóch znanych od lat technik – HPACK Bomb oraz HTTP/2 Low & Slow – prowadząc do gwałtownego wyczerpania pamięci serwera przy niewielkich zasobach po stronie atakującego.  
• Podatność została odkryta przez model OpenAI Codex, który samodzielnie zidentyfikował możliwość połączenia wcześniej znanych mechanizmów w nowy wektor ataku.     

Na początku czerwca 2026 roku badacze firmy Calif opublikowali szczegóły nowego ataku typu Denial-of-Service (DoS), nazwanego HTTP/2 Bomb. Szczególną uwagę zwrócił fakt, że technika została odkryta przy wsparciu modelu OpenAI Codex, który wskazał możliwość połączenia dwóch znanych od lat mechanizmów związanych z protokołem HTTP/2. 

Pierwszym elementem ataku jest HPACK Bomb. HPACK stanowi mechanizm kompresji nagłówków HTTP/2, którego zadaniem jest ograniczenie ilości przesyłanych danych poprzez przechowywanie wcześniej użytych nagłówków w dynamicznych tablicach po stronie klienta i serwera. W klasycznych atakach HPACK Bomb wykorzystywano możliwość generowania bardzo dużych struktur danych po stronie serwera przy wykorzystaniu niewielkiej ilości danych przesyłanych przez atakującego. 

W ostatnich latach producenci serwerów wdrożyli jednak zabezpieczenia ograniczające całkowity rozmiar zdekompresowanych nagłówków. Codex wskazał, że ograniczenia te nie uwzględniają kosztów związanych z przechowywaniem samych wpisów w tablicach kompresji. W efekcie możliwe stało się generowanie tysięcy niewielkich lub nawet pustych wpisów nagłówków, które zajmują niewiele miejsca logicznie, ale powodują znaczące wykorzystanie pamięci na potrzeby metadanych utrzymywanych przez serwer. 

Drugim elementem jest mechanizm HTTP/2 Low & Slow wykorzystujący kontrolę przepływu danych wbudowaną w protokół HTTP/2. Atakujący doprowadza do sytuacji, w której serwer nie może zwolnić wcześniej zaalokowanej pamięci, ponieważ połączenie pozostaje aktywne i oczekuje na możliwość dalszego przesyłania danych. Powoduje to trwałe „przytrzymanie” zaalokowanych zasobów. 

Połączenie obu technik prowadzi do powstania efektu wzmacniającego. Pierwszy etap powoduje bardzo szybki wzrost wykorzystania pamięci, natomiast drugi uniemożliwia jej odzyskanie. W testach przeprowadzonych przez autorów badań pojedynczy klient był w stanie utrzymywać około 32 GB pamięci na serwerach Apache HTTP Server oraz Envoy w czasie krótszym niż 20 sekund. Dla Envoy zaobserwowano współczynnik amplifikacji przekraczający 5700:1, co oznacza, że niewielka ilość ruchu generowanego przez atakującego prowadziła do ogromnego zużycia zasobów po stronie ofiary. 

Dodatkowym problemem jest fakt, że podatność występuje w domyślnych konfiguracjach wielu popularnych serwerów HTTP/2. Badacze oszacowali, że ponad 880 tysięcy publicznie dostępnych serwisów internetowych może korzystać z potencjalnie podatnych konfiguracji. Choć wiele z nich znajduje się za sieciami CDN i dodatkowymi warstwami ochrony, znaczna liczba usług pozostaje bezpośrednio wystawiona do Internetu. 

Patrząc szerzej

HTTP/2 Bomb jest interesujący nie tylko jako kolejna podatność typu DoS. Znacznie ważniejsze jest to, w jaki sposób została odkryta. Wszystkie elementy wykorzystane w ataku były publicznie znane od wielu lat. Zarówno HPACK Bomb, jak i różne warianty ataków Low & Slow były wielokrotnie analizowane przez społeczność bezpieczeństwa. Przez niemal dekadę nikt nie połączył ich jednak w jeden, skuteczny łańcuch prowadzący do wyczerpania zasobów serwera. 

Przypadek HTTP/2 Bomb pokazuje, że współczesne modele AI zaczynają skutecznie identyfikować nieoczywiste zależności pomiędzy istniejącymi technikami ataku. Oznacza to zmianę sposobu odkrywania podatności – coraz częściej nowe zagrożenia mogą wynikać nie z odnalezienia nieznanego błędu w kodzie, lecz z kreatywnego zestawienia publicznie dostępnej wiedzy technicznej.   

Więcej informacji:  
https://blog.calif.io/p/codex-discovered-a-hidden-http2-bomb 

Cybercrime

Blockchain jako element infrastruktury cyberprzestępczej 

• Operatorzy kampanii ClickFix wykorzystali blockchain Polygon do przechowywania i dystrybucji konfiguracji infrastruktury C2.  
• Blockchain utrudnia blokowanie infrastruktury przestępczej, ale jednocześnie pozostawia publicznie dostępne ślady, które mogą zostać wykorzystane do korelacji kampanii i identyfikacji powiązań pomiędzy operatorami.  
• Technologie blockchain coraz częściej pełnią rolę elementów infrastruktury operacyjnej cyberprzestępców, a nie wyłącznie narzędzi związanych z kryptowalutami.

W odnotowanej przez analityków CERT Orange Polska kampanii ClickFix doszło do zaawansowanej ewolucji technik dystrybucji złośliwego oprogramowania, w której atakujący wykorzystali publiczny blockchain Polygon jako kluczowy element swojej infrastruktury Command and Control (C2). Przypadek ten stanowi dowód na to, że technologie zdecentralizowane przestają być wyłącznie domeną operacji finansowych, stając się odpornym na zakłócenia (takedown-resistant) i wysoce elastycznym narzędziem wspierającym operacje cyberprzestępcze w modelu Malware-as-a-Service (MaaS). 

Łańcuch infekcji rozpoczyna się od kompromitacji legalnych, podatnych stron internetowych (głównie systemów zarządzania treścią CMS), na których intruzi wstrzykują zaciemniony kod JavaScript. Kluczową innowacją jest fakt, że skrypty nie zawierają bezpośrednio zakodowanych adresów serwerów ani domen operatora. Zamiast tego loader komunikuje się z publicznymi węzłami RPC sieci Polygon, wykonując zapytanie do konkretnego smart contractu. Kontrakt ten pełni funkcję zdecentralizowanego repozytorium konfiguracji, zwracając zaszyfrowane dane zawierające aktualne adresy domen i serwerów API wykorzystywanych w dalszych etapach ataku. Ponadto pobierana konfiguracja implementuje mechanizm geofencingu, intencjonalnie wykluczając z infekcji użytkowników z regionu krajów Wspólnoty Niepodległych Państw, co stanowi istotny wektor atrybucyjny. 

Takie podejście zapewnia operatorom kampanii elastyczność i odporność na działania organów ścigania. Zmiana zablokowanej lub przejętej infrastruktury C2 nie wymaga ponownego kompromitowania stron internetowych ani modyfikacji kodu loaderów znajdujących się już na zainfekowanych witrynach. Atakującym wystarczy pojedyncza modyfikacja danych zapisanych w smart contractcie, aby wszystkie aktywne instancje kampanii automatycznie pobrały nowe adresy backendu podczas kolejnego odczytu konfiguracji.  

Po pobraniu aktualnej konfiguracji i pozytywnej weryfikacji geograficznej, użytkownikowi końcowemu prezentowana jest fałszywa strona CAPTCHA, naśladująca powszechne rozwiązania ochronne (np. Cloudflare). Wykorzystywana tu technika ClickFix opiera się w pełni na socjotechnice, a nie na exploitacji podatności technicznych w systemie ofiary. Użytkownik jest instruowany, aby skopiować do schowka, a następnie wkleić i uruchomić złośliwe polecenie bezpośrednio w konsoli systemowej. Polecenie to wykorzystuje systemowe narzędzie curl do pobrania i dyskretnego uruchomienia w tle docelowego payloadu, którym w analizowanych przypadkach były infostealery ukierunkowane na kradzież poświadczeń, plików cookie oraz kluczy do portfeli kryptowalutowych. 

Paradoksalnie technologia, która miała zapewnić przestępcom większą odporność infrastruktury oraz utrudnić jej analizę, stała się dla analityków bezpieczeństwa cennym źródłem informacji wywiadowczych (Cyber Threat Intelligence). Publiczna i transparentna natura rejestru blockchain Polygon umożliwia prześledzenie pełnej historii zmian stanów (State Changes) badanych smart contractów. Analiza ta pozwoliła na wsteczną identyfikację historycznych oraz nowo rejestrowanych domen C2, a także na korelację pozornie niezależnych operacji. Analiza dwóch różnych kontraktów o odmiennych kluczach szyfrujących wykazała, że były one zarządzane przez ten sam „podmiot finansowy”, co potwierdza współdzielenie infrastruktury w ramach jednej sieci afiliacyjnej. Przypadek ten dowodzi, że zdecentralizowana infrastruktura, choć zwiększa ciągłość działania agresora, dostarcza jednocześnie defensywom unikalnych możliwości proaktywnego mapowania i neutralizacji działań przeciwnika.   

Patrząc szerzej

Opisany przypadek nie jest pierwszym przykładem wykorzystania technologii blockchain przez cyberprzestępców i pokazuje, że rozwiązania tego typu są stosowane coraz odważniej i coraz częściej stają się integralnym elementem infrastruktury atakujących. Uprzednio opisywaliśmy między innymi kampanie wykorzystujące technikę EtherHiding, w których blockchain służył do ukrywania elementów infrastruktury operatorów ransomware-as-a-service (RaaS). Obecna kampania pokazuje, że podobne mechanizmy zaczynają pojawiać się również w ekosystemie MaaS. 

Można oczekiwać, że wykorzystanie publicznych sieci blockchain do przechowywania konfiguracji, dystrybucji wskaźników infrastruktury oraz ukrywania komponentów operacyjnych będzie rozwijane także w kolejnych latach.  

Dla zespołów bezpieczeństwa oznacza to konieczność rozszerzenia analiz o dane pochodzące z blockchainów. Co więcej, pojawienie się adresów ich węzłów w alertach bezpieczeństwa, powinno powodować głębszą analizę, a nie być zamykanie jako fałszywie pozytywna detekcja.    

Więcej informacji:
https://cert.orange.pl/aktualnosci/blockchain-jako-element-infrastruktury-cyberprzestepczej-analiza-kampanii-clickfix-wykorzystujacej-siec-polygon