hamburger
Zgłoś incydent

(jeśli zgłaszasz przypadek phishingu, zapisz mail (przesuń go z programu pocztowego na pulpit komputera lub wybierz opcję plik/zapisz jako), a następnie załącz)

Podejrzany SMS prześlij na nr 508 700 900

Jeśli zgłoszenie dotyczy bezpieczeństwa dzieci, zgłoś je również pod http://www.dyzurnet.pl
Wyszukiwarka
@CERT_OPL
28 października 2025

Krajobraz zagrożeń 13-26/10/25

Incydent w F5; Nie ma tygodnia bez koreańskiego Lazarusa; Rosyjska cyberprzestępczość i aparat państwowy; Glassworm - cyfrowy robak; Co dalej z Lumma Stealerem?; Podatność w WSUS.

W najnowszym wydaniu „Krajobrazu zagrożeń” łączymy śledztwo i praktykę: analizujemy konsekwencje długotrwałej kompromitacji F5 przypisywane UNC5221, wskazujemy konkretne kroki łagodzące oraz mechanikę ryzyka dla łańcucha dostaw oprogramowania. Przyglądamy się też zmianom w arsenale Lazarusa, które redefiniują ataki supply-chain i komunikację C2 oraz opisujemy GlassWorm – pierwszego samoreplikującego się robaka uderzającego w ekosystemy deweloperskie. Dodatkowo: przegląd cyberprzestępczości, oszustw i krytycznych CVE tygodnia – wszystko z praktycznymi wskazówkami dla SOC oraz CTI i priorytetami do wdrożenia jeszcze dziś.

Na skróty:

  1. Temat tygodnia: F5 pod atakiem: analiza incydentu UNC5221 i rekomendacje działań.
  2. Zaawansowane zagrożenia: Co nowego w Lazarusie?
  3. Cybercrime: DarkConvenant – rosyjska cyberprzestępczość i aparat państwowy.
  4. Oszustwa i podszycia: Jak się miewa Lumma Stealer?
  5. Cyberwar: Fast pass do infrastruktury, czyli współpraca chińskich grup APT.
  6. Złośliwe oprogramowanie: Glassworm – cyfrowy robak w środowisku deweloperskim.
  7. CVE Tygodnia: WSUS – podatność i ataki.

Temat tygodnia

F5 pod atakiem: analiza incydentu UNC5221 i rekomendacje działań.

W połowie października 2025 roku firma F5 ogłosiła, że od ponad roku jej wewnętrzne systemy zostały skompromitowane przez wysoce zaawansowanego, państwowego aktora cybernetycznego, prawdopodobnie chiński zespół UNC5221. Incydent został wykryty 9 sierpnia 2025 roku, a atak objął głównie środowisko deweloperskie F5, w tym dostęp do kodu źródłowego produktów BIG-IP oraz informacje o wcześniej nieujawnionych lukach bezpieczeństwa. Atak ten jest szczególnie niebezpieczny ze względu na długotrwały charakter dostępu i możliwość eksfiltracji poufnych danych klientów, w tym konfiguracji systemów i szczegółów wdrożeń.

W odpowiedzi na incydent, F5 opublikowało w październiku zestaw krytycznych poprawek bezpieczeństwa, obejmujących 27 podatności wysokiego ryzyka. Najpilniejszą kwestią są CVE-2025-53868, CVE-2025-61955 oraz CVE-2025-57780. CVE-2025-53868 umożliwia atakującemu zdalnemu wykonanie poleceń SCP/SFTP i obejście restrykcji trybu Appliance w wersjach 15.x-17.x. CVE-2025-61955 i CVE-2025-57780 to luki eskalacji uprawnień w F5OS-A i F5OS-C, pozwalające uwierzytelnionemu użytkownikowi obejść ograniczenia trybu Appliance. Dodatkowo, inne podatności, takie jak CVE-2025-61958 i CVE-2025-59481, dotyczą ucieczek z sandboxa w trybie Appliance, ale wymagają już uprzywilejowanego dostępu administracyjnego.

F5 dostarczyło klientom prywatnie przewodnik do poszukiwania zagrożeń (Threat Hunting skupiony na środowisku wirtualizacyjnym) wraz z przykładowym skryptem Python, który umożliwia wykrywanie obecności malware BRICKSTORM w środowiskach vSphere. Malware ten był wcześniej wykorzystywany w atakach grupy UNC5221, m.in. w 2024 roku w atakach zero-day na systemy Ivanti. Techniki obserwowane w sieciach zaatakowanych tym malware obejmują klonowanie maszyn wirtualnych w vCenter (tzw. VirtualGHOST), tworzenie i usuwanie kont lokalnych w vCenter/ESXi, wykrywanie backdoorów w systemie plików vCenter oraz nietypowy ruch sieciowy na portach 9999 i 10022.

Pomimo, że obecnie nie ma dowodów na wykorzystanie nieujawnionych podatności przez UNC5221 w tym incydencie, kradzież kodu źródłowego oraz dostęp do poufnych informacji o lukach w zabezpieczeniach stwarza wysokie ryzyko dalszych ataków. W związku z tym eksperci oceniają poziom zagrożenia jako wysoki, zalecając pilne wdrożenie poprawek październikowych oraz rotację certyfikatów i kluczy podpisujących produkty BIG-IP, BIG-IQ i F5OS. Dla klientów, których dane mogły zostać skompromitowane, F5 rozpoczęło kontakt indywidualny. Dotyczy to głównie danych pochodzących z przypadków wsparcia technicznego, które były przechowywane w skompromitowanym środowisku deweloperskim.

Atak ten uderza w sedno ryzyka związanego z kompromitacją dostawcy – konsekwencje dla klientów mogą być poważne nawet wtedy, gdy ich urządzenia nie zostały bezpośrednio naruszone. Gdy przez ponad rok atakujący miał wgląd w proces wytwarzania oprogramowania dla appliance BIG‑IP, nawet pozornie drobne zmiany w kodzie mogą stać się ukrytą furtką umożliwiającą dostęp do sieci organizacji. Fakt, że urządzenia te działają na krawędzi sieci (między światem publicznym a infrastrukturą wewnętrzną), sprawia, że są wyjątkowo atrakcyjnym celem – modyfikacja jednego komponentu może otworzyć drogę do eskalacji, persistent presence i późniejszej eksfiltracji danych.

Dla zespołów SOC i CTI priorytetem musi być połączenie błyskawicznej reakcji z dokładną retrospektywną analizą: natychmiastowa aktualizacja i rotacja kluczy, intensywne polowanie na ślady klonowania VM, nieautoryzowanych kont i nieznanych binariów, oraz korelacja nietypowego ruchy wychodzącego i sesji SSH z telemetrią stacji końcowych oraz sieci. W praktyce oznacza to uruchomienie przyspieszonego procesu Threat Huntingu w środowiskach wirtualizacji, wzbogacenie reguł detekcji o behawioralne wzorce oraz weryfikację wyników skanerów manualnym śledztwem. Tylko takie, skoordynowane działanie – szybkie, ale jednocześnie systematyczne – da szansę na wykrycie ukrytej obecności, usunięcie backdoorów i znaczące ograniczenie możliwości wykorzystania wykradzionych informacji w kolejnych operacjach przeciwnika.

Więcej informacji:

https://my.f5.com/manage/s/article/K000154696
https://my.f5.com/manage/s/article/K000156572
https://www.ncsc.gov.uk/news/confirmed-compromise-f5-network

Wybrane zagrożenia tygodnia

Zaawansowane zagrożenia

Co nowego w Lazarusie?

Lazarus, szeroko znany również pod nazwami HIDDEN COBRA, APT38, Guardians of Peace, Labyrinth Chollima czy BlueNoroff, to północnokoreańska grupa APT prowadząca od ponad 15 lat operacje na styku cyberwywiadu, sabotażu i finansowania reżimu KRLD. Pierwsze głośne działania przypisywane tej grupie – atak na Sony Pictures z 2014 roku – ujawniły agresywne podejście aktora. Od tego czasu Lazarus przeszedł ewolucję taktyczną, integrując techniki supply-chain, blockchainowe kanały C2 i trojanizację popularnych narzędzi open-source.

Najbardziej widoczną zmianą jest masowe przejście w stronę ataków supply-chain oraz zdecentralizowanej infrastruktury C2. W kampanii Contagious Interview, aktywnej od 2022 roku, Lazarus podszywa się pod rekruterów i oferuje fałszywe projekty IT, które zawierają złośliwe paczki npm lub PyPI. W 2025 roku badacze odnotowali ponad 338 trojanizowanych pakietów, które zebrały dziesiątki tysięcy pobrań. Te biblioteki dystrybuowały m.in. BeaverTail i OtterCookie – wysoce obfuskowane infostealery działające w JavaScript, komunikujące się z C2 poprzez WebSocket. Nowsze wersje OtterCookie zostały wzbogacone o moduły keyloggera i zrzutu ekranu, wskazując na konwergencję z innymi rodzinami Lazarusa.

Kolejnym innowacyjnym elementem jest EtherHiding – technika, w której blockchain (Ethereum, Solana) wykorzystywany jest jako nośnik dla zaszyfrowanych payloadów. Dzięki użyciu publicznych wywołań JSON-RPC (np. eth_getStorageAt) operatorzy Lazarusa uzyskują dostęp do pierwszych etapów malware w sposób niemożliwy do wyłączenia, trwały i niewidoczny w klasycznym ruchu sieciowym. To rzadkość wśród grup APT i przykład agresywnej innowacji.

Arsenał grupy wzbogacił się również o nowe implanty i loadery:

  • PyLangGhost – lekki loader w Pythonie uruchamiany przez łańcuch curl–zip–wscript, pozwalający na trwałe przejęcie systemu.
  • BinMergeLoader – stosowany w kampaniach wymierzonych w sektor UAV, działający w pamięci i komunikujący się przez Microsoft Graph API.
  • HexEval i XORIndex – nowe loadery dystrybuowane w paczkach npm, które dynamicznie pobierają BeaverTail, zamiast zawierać go w kodzie. W połowie 2025 roku odnotowano tysiące pobrań bibliotek zawierających te mechanizmy.
  • WeaselStore, Tropidoor i AkdoorTea – świeże backdoory i infostealery opisane przez ESET i Mandiant, wskazujące na szybkie tempo rozwoju warsztatu Lazarusa.

Ważnym wektorem działań stała się także infiltracja środowisk deweloperskich poprzez fałszywych kontraktorów IT. Podszywając się pod specjalistów AI i open-source, Lazarus oferował kod z backdoorami, umożliwiający nie tylko eksfiltrację danych, ale też długotrwałe utrzymanie dostępu do strategicznych repozytoriów.

Lazarus nie tylko utrzymuje swoją aktywność, ale wręcz redefiniuje sposób prowadzenia operacji APT. Zamiast pojedynczych implantów i spearphishingów obserwujemy dziś całe ekosystemy: trojanizowane open-source, blockchainowe kanały C2, fałszywych IT-workerów i rebrandowane malware. Całościowo, arsenał Lazarusa wyróżnia się dużą dynamiką i zdolnością adaptacji do zmieniających się warunków operacyjnych. Grupa konsekwentnie stosuje rebranding własnych narzędzi – przykładem jest transformacja VSingle w YamaBot czy ewolucja DTrack w kolejne, coraz bardziej zaawansowane warianty – co pozwala jej utrudniać śledzenie i korelację kampanii. Jednocześnie Lazarus szeroko wykorzystuje usługi i protokoły określane jako „living-off-the-web”, takie jak Microsoft Graph API, wtyczki WordPress czy mechanizmy blockchain RPC, dzięki czemu może ukrywać swoją aktywność w legalnym ruchu sieciowym i minimalizować ryzyko wykrycia. Istotnym elementem taktyki stały się także masowe ataki supply-chain, obejmujące złośliwe paczki npm, PyPI czy trojanizowane projekty open-source, które otwierają drogę do kompromitacji środowisk deweloperskich i dystrybucji malware na dużą skalę. W zakresie komunikacji C2 Lazarus wykorzystuje proxy i wielopoziomowe trasy połączeń, opierając się na routerach SOHO, serwerach VPS oraz węzłach blockchain, co dodatkowo komplikuje atrybucję i utrudnia blokowanie infrastruktury. Całość dopełnia łączenie celów finansowych i wywiadowczych w ramach tych samych operacji, co sprawia, że działania grupy są jednocześnie źródłem dochodu dla reżimu północnokoreańskiego oraz narzędziem do pozyskiwania strategicznych informacji wojskowych i technologicznych.

Dla zachowania bezpieczeństwa kluczowe jest dostosowanie detekcji do tych zmian: monitorowanie anomalii w procesach deweloperskich (np. postinstall scripts w npm), analiza ruchu JSON-RPC z endpointów, wykrywanie nadużyć Graph API oraz weryfikacja kontraktorów i kodu open-source. Brak adaptacji w tym obszarze oznacza ryzyko kompromitacji nawet przy braku klasycznych wektorów ataku.

Więcej informacji:

https://socket.dev/blog/north-korea-contagious-interview-campaign-338-malicious-npm-packages
https://www.virusbulletin.com/uploads/pdf/conference/vb2025/papers/DeceptiveDevelopment-and-North-Korean-IT-workers-from-primitive-crypto-theft-to-sophisticated-AI-based-deception.pdf
https://cloud.google.com/blog/topics/threat-intelligence/dprk-adopts-etherhiding
https://www.welivesecurity.com/en/eset-research/gotta-fly-lazarus-targets-uav-sector/

Cybercrime

DarkConvenant – rosyjska cyberprzestępczość i aparat państwowy.

Koncepcja „Dark Covenant” została po raz pierwszy opisana w 2021 roku przez Recorded Future i odnosiła się do sieci relacji łączących rosyjskie podziemie cyberprzestępcze z aparatem państwowym – od bezpośrednich powiązań z wywiadem, przez pośrednie afiliacje, po milczące przyzwolenie. Druga edycja raportu (2023) pokazała, że po inwazji na Ukrainę wiele grup otwarcie deklarowało lojalność wobec Kremla, inne się rozpadały, a cyberprzestępcy zaczęli pełnić rolę „haktywistycznych” pomocników w operacjach informacyjnych.

W obu przypadkach sednem był pragmatyczny układ: państwo rekrutuje talenty, gdy są potrzebne, przymyka oko, gdy działalność wspiera jego interesy, a egzekwuje prawo tylko wtedy, gdy aktywność staje się politycznie kosztowna.

W maju 2024 Europol i partnerzy ogłosili start Operacji Endgame, wymierzonej w ransomware i sieci botnetów dystrybuujących złośliwe oprogramowanie. Akcję podzielono na dwie fazy (2024 i 2025), a jej celem były m.in. IcedID, Pikabot, Bumblebee, Trickbot, Qakbot, Emotet, a także usługi prania pieniędzy takie jak Cryptex, PM2BTC, UAPS. W działaniach zastosowano nie tylko przejęcia infrastruktury, ale też kampanię psychologiczną – publikując wideo z ostrzeżeniami dla operatorów i afiliantów. W odpowiedzi Rosja zaczęła prowadzić politykę, którą badacze określają mianem „kontrolowanej bezkarności”. Oznacza to, że władze stosują selektywną egzekucję prawa – dokonują pokazowych aresztowań i konfiskat, ale jednocześnie chronią te grupy i osoby, które są dla nich strategicznie użyteczne, na przykład zapewniają dane wywiadowcze lub mogą być wykorzystane jako instrument nacisku na Zachód.

Przykładem tej selektywności były działania wobec usług Cryptex i UAPS – rosyjskich giełd kryptowalutowych obsługujących pranie pieniędzy z działalności ransomware. We wrześniu 2024 roku zatrzymano ponad sto osób powiązanych z tymi platformami, a w mediach państwowych szeroko relacjonowano zdjęcia skonfiskowanej gotówki i luksusowych dóbr. Tymczasem wobec członków grup Conti czy Trickbot, którzy od dawna pozostają w orbicie zainteresowania międzynarodowych organów ścigania, działania rosyjskich władz były symboliczne i ograniczały się do krótkich zatrzymań czy postępowań bez realnych wyroków. To wyraźnie pokazuje asymetrię – warstwy monetyzacji i infrastruktury można poświęcić, ale rdzeń grup powiązanych z rosyjskimi służbami bezpieczeństwa jest nietykalny.
Konsekwencje dla rosyjskiego podziemia są daleko idące. Zaufanie wewnętrzne ulega erozji, a afilianci coraz częściej skarżą się na brak wypłat, oszustwa i manipulacje ze strony operatorów. W efekcie tradycyjne mechanizmy budowania reputacji, takie jak vouching na forach, tracą znaczenie. Zamiast tego pojawiły się bardziej sformalizowane mechanizmy selekcji. Coraz większe znaczenie zyskują prywatni brokerzy, escrow services oraz invite managerowie. To oni decydują, kto może dołączyć do danej grupy, weryfikują nowych uczestników, a także przechowują depozyty, które pełnią rolę zabezpieczenia przed oszustwem. W praktyce oznacza to, że dostęp do rynku staje się coraz bardziej selekcjonowany i zamknięty. Afilianci muszą wykazać się aktywnością, a brak działań przez kilka dni czy tygodni skutkuje usunięciem z programu. Zaufanie oparte na słowie i reputacji zostało zastąpione finansowym „dowodem życia”.

Ta ewolucja przekłada się także na techniczną stronę działania podziemia. Publiczne fora, takie jak Exploit czy XSS, oraz ogólnodostępne kanały Telegramu tracą znaczenie jako miejsca otwartej rekrutacji i handlu. Zamiast tego obserwujemy migrację do bardziej prywatnych i zdecentralizowanych platform – Session, Jabber/XMPP, Tox, a także zamkniętych serwerów Discord czy prywatnych grup Telegram z selektywnymi zaproszeniami. To zjawisko zwiększa koszty wejścia i utrudnia infiltrację, ale jednocześnie fragmentuje ekosystem, utrudniając jego uczestnikom wzajemne zaufanie i współpracę.

Kolejnym ważnym zjawiskiem jest rebranding. W przeszłości grupy przestępcze budowały swoją markę, by zyskać rozpoznawalność i prestiż wśród ofiar oraz społeczności podziemnej. Dziś rebranding staje się narzędziem przetrwania. Grupa Royal po uderzeniu w jej infrastrukturę zmieniła nazwę na BlackSuit, a później na Chaos. Podobnie dzieje się z usługami hostingowymi – dostawcy tacy jak Aeza, Stark Industries czy inni tworzą struktury dualne, przenosząc część infrastruktury za granicę (np. do Serbii), ale pozostawiając finanse i ochronę w Rosji. Zmiany nazw i struktur mają utrudnić analitykom śledzenie ciągłości działań, rozmyć odpowiedzialność i zmniejszyć presję.

Dla operatorów ransomware transformacja oznacza także potrzebę ciągłego dostosowywania modeli biznesowych. Klasyczne kampanie ransomware uzupełniane są o techniki triple extortion – groźby DDoS, telefony do ofiar, kampanie medialne. Grupy oferują także dodatkowe usługi, jak „call lawyer”, czyli pakiet obsługi prawnej i PR, mający zwiększyć presję na ofiary poprzez groźby procesów i nagłośnienia sprawy w mediach. Inne programy afiliacyjne zaczynają przypominać modele inwestycyjne, w których afilianci muszą wnosić „kapitał ryzyka”, a ich wynagrodzenie zależy od wartości ofiar, które wprowadzają do programu.
Te zmiany zachodzą równolegle do reakcji Zachodu, która również jest coraz bardziej zdecydowana. W Stanach Zjednoczonych wprowadzono rozporządzenia ograniczające możliwość płacenia okupów i nakładające obowiązek raportowania incydentów. Australia zobowiązuje firmy do zgłaszania okupów w ciągu 72 godzin. Wielka Brytania konsultuje całkowity zakaz płacenia okupów w sektorze publicznym. Japonia poszła o krok dalej i przyjęła ustawę o aktywnej cyberobronie, pozwalającą na ofensywne operacje wymierzone w serwery przeciwników jeszcze przed rozpoczęciem ataków. Takie działania oznaczają, że ekosystem ransomware musi działać pod rosnącą presją – zarówno wewnętrzną, jak i zewnętrzną.

Rosja, z jednej strony poddawana jest coraz większym naciskom dyplomatycznym i prawnym, a z drugiej stara się zachować strategiczną wartość swojego podziemia. W praktyce oznacza to, że ekosystem cyberprzestępczy przestaje być jednolitym „bezpiecznym rajem” i staje się zarządzanym rynkiem, gdzie interes państwa, a nie prawo, decyduje o tym, kto zostaje objęty ochroną, a kto zostaje poświęcony.

Podsumowując, rosyjska cyberprzestępczość w latach 2024–2025 weszła w nową fazę. Operacja Endgame naruszyła fundamenty ekosystemu, ale nie doprowadziła do jego upadku. Zamiast tego wymusiła adaptację: fragmentację, rebranding, migrację do zamkniętych kanałów, wprowadzenie depozytów i nowych modeli biznesowych. Erozja zaufania i proliferacja fałszywych grup zmieniają dynamikę, ale nie hamują aktywności. Rdzeń operatorów powiązanych z państwem pozostaje chroniony, a ich działalność nadal stanowi narzędzie w politycznym arsenale Kremla.

Dla zespołów bezpieczeństwa oznacza to konieczność zmiany podejścia. Sama walka z poszczególnymi grupami czy wariantami ransomware nie przynosi trwałych efektów. Kluczem jest uderzanie w mechanizmy ochrony i ekonomii, które pozwalają tym grupom przetrwać: w usługi prania pieniędzy, dostawców infrastruktury, pośredników finansowych i polityczne kanały ochrony. Tylko poprzez podniesienie kosztu ochrony i zmniejszanie wartości strategicznej cyberprzestępców możliwe jest realne ograniczenie zagrożenia. W przeciwnym razie rosyjski podziemny rynek będzie się dalej adaptował, pozostając źródłem globalnego zagrożenia.

Więcej informacji:

https://www.recordedfuture.com/research/dark-covenant-3-controlled-impunity-and-russias-cybercriminals

Oszustwa i podszycia

Jak się miewa Lumma Stealer?

Analitycy nie spuszczają z oczu złośliwego oprogramowania i jego twórców, nawet jeżeli służby lub sami przestępcy zapewniają o zakłóceniu działalności, a nawet jej zakończeniu. Aktualizacje Lumma Stealera są nadal monitorowane w celu dostosowania zabezpieczeń do zmian w zachowaniu tego malware, a aktywność twórców oraz powiązanych środowisk wciąż jest istotnym wątkiem mogącym wyjaśnić fluktuacje w częstotliwości pojawiania się go w atakach.

W ostatnim czasie zauważyliśmy stopniowy spadek liczby nowych próbek Lumma Stealera widocznych w atakach i podobnymi obserwacjami podzieliła się firma TrendMicro. Opisali jak doxxing operatorów, czyli ujawnienie tożsamości, danych osobowych i przy okazji wielu innych informacji na ich temat, mógł wpłynąć znacząco na osłabienie pozycji tego malware na rynku Malware-as-a-Service. W tym przypadku doxxing odbywał się już od sierpnia za pośrednictwem strony „Lumma Rats”, gdzie w ramach akcji organizowanej prawdopodobnie przez przestępczą konkurencję, pojawiały się regularnie informacje na temat osób powiązanych z Lummą. Były to między innymi osoby odpowiedzialne za administrację i zarządzanie działalnością, deweloperzy zajmujący się stroną techniczną, w tym rozwojem crypterów i obfuskacją oraz zidentyfikowani członkowie grupy, których role nie są znane. Poza danymi osobowymi pojawiały się tam także hasła dostępowe i profile w mediach społecznościowych pięciu operatorów. We wrześniu operatorzy Lumma Stealera poinformowali na forum przestępczym o przejęciu ich kont na Telegramie oraz przestrzegali przed kontaktem z aktualnymi właścicielami nazwy.

TrendMicro od początku września obserwuje mniej stacji zainfekowanych tym stealerem oraz spadek potwierdzonej liczby nowych adresów Command & Control. Jednak rynek nie znosi próżni, proporcjonalne wzrosty zanotowały inne stealery – StealC oraz Vidar. Według analizy CheckPoint jedna z kampanii, opierająca się na publikowaniu filmów „instruktażowych” na YouTube demonstrujących instrukcje instalacji hacków, modów lub cracków do gier wraz z linkiem do pobrania plików (w rzeczywistości złośliwych) trwa już co najmniej dwa lata i jej skala nie maleje. Wcześniej regularnie wykorzystywał Lumma Stealera (co opisywaliśmy na łamach naszego bloga), ale obecnie wykonanie instrukcji atakujących skutkuje infekcją malware Rhadamanthys. Co ciekawe Amadey, botnet z funkcjami loadera działający w modelu pay-per-install, zanotował spadki w statystykach firmy TrendMicro, ponieważ jednym z częściej instalowanych dodatkowych payloadów była właśnie Lumma.
W przypadku dalszych problemów operatorów Lumma Stealera spodziewamy się częstszego wykorzystania w atakach usług ich konkurencji, ponieważ stealery w modelu MaaS to lukratywny przestępczy biznes wiążący się z dużym ryzykiem dla twórców oraz afiliantów, ale także wysokimi zyskami. Jak można zauważyć, nie tylko akcje służb mogę prowadzić do osłabienia kluczowych operatorów malware, ale także działania konkurencji mogą być bezpośrednim powodem utraty klientów oraz zakłócenia działalności. Nie zaprzestajemy obserwacji stałych kampanii niezależnie od złośliwego oprogramowania wykorzystywanego przez atakujących, ale bacznie obserwujemy zmiany w rozwiązaniach Malware-as-a-Service, by rozumieć z jakimi zagrożeniami możemy się mierzyć. Jest to szczególnie ważne w okresach takich zmian jak osłabienie jednego z dostawców, ponieważ nie można wykluczyć także pojawienia sie nowych grup działających w modelu MaaS.

Przypominamy, że wiele infekcji stealerami odbywa się przez pobieranie oraz instalację narzędzi, oprogramowania, gier lub „cracków” z nieoficjalnych źródeł lub scenariusze FakeCaptcha/ClickFix o czym pisaliśmy już wielokrotnie na łamach naszego Krajobrazu. Niezależnie od aktualnych wiodących rozwiązań MaaS, warto pozostać ostrożnym, nie wykonywać komend, których działania nie rozumiemy i pobierać oprogramowanie jedynie z zaufanych źródeł.

Więcej informacji:

https://www.trendmicro.com/pl_pl/research/25/j/the-impact-of-water-kurita-lumma-stealer-doxxing.html
https://open.substack.com/pub/intelinsights/p/mapping-latest-lumma-infrastructure
https://research.checkpoint.com/2025/youtube-ghost-network/

Cyberwar

Fast pass do infrastruktury, czyli współpraca chińskich grup APT.

Analitycy TrendMicro przedstawili zaawansowane formy współpracy między chińskimi grupami APT, a szczególnie Earth Estries i Earth Naga. Celami grup jest krytyczna infrastruktura, a szczególnie sektory rządowy i telekomunikacyjny. Nie ograniczają się do jednego kraju czy kontynentu, ale w ostatnim czasie wybierali cele w regionie Azja-Pacyfik i widać ich wyraźne zainteresowanie Tajwanem. Nie zabrakło także ataku na kraj NATO. Opisywany Premier Pass-as-a-Service przedstawia model działania, w którym Earth Estries jest brokerem dostępu dla Earth Naga, która kontynuuje działania w infrastukturze. Opisywana działalność została opisana na podstawie tegorocznych ataków na rząd w Azji Południowo-Wschodniej, w której udział pierwszej grupy wykracza poza przekazania danych dostępowych i przypomina bardziej oddanie kontroli nad przejętym środowiskiem.

Przytoczony atak rozpoczynał się od wykorzystania podatności w wewnętrznym serwerze webowym i instalacji backdoora CrowDoor. Następnie złośliwe oprogramowanie ShadowPad było dystrybuowane za pośrednictwem Cobalt Strike i wykorzystywano poświadczenia użytkowników do przekazywania plików poprzez SMB. W atakach wykorzystywano także Draculoader (shellcode loader), który ładował ostateczny payload (CrowDoor, HEMIGATE lub beacon Cobalt Strike). W dalszej części ataku, na etapie, który można określić mianem post-exploitation, atakujący wykorzystywali AnyDesk, EarthWorm (tunel SOCK5), Blindsight (ogólnodostępne narzędzie umożliwiające dump pamięci LSASS) i personalizowane narzędzie realizujące z dużą dozą prawdopodobieństwa podobne funkcje.

Rys. Wykres ilustrujący kampanię z podziałem na działania i narzędzia wykorzystywane przez Earth Estries i Earth Naga. Źródło: TrendMicro
Rys. Wykres ilustrujący kampanię z podziałem na działania i narzędzia wykorzystywane przez Earth Estries i Earth Naga. Źródło: TrendMicro

TrendMicro podzieliło się także wartościowym spojrzeniem na atrybucję, i wyróżniło 4 typy współpracy między grupami:
Typ A: wspólny wektor infekcji
Typ B: skoordynowany atak na łańcuch dostaw
Typ C: wykorzystanie złośliwego oprogramowania atrybuowanego do innej grupy
Typ D: dostarczenie „operational box”, czyli pełnej infrastruktury do wykorzystania przez drugą grupę

Zwrócono także uwagę na konieczność wykluczenia sytuacji, w których obserwowane działania są realizowane przed dwie niezależne, niewspółpracujące grupy.

TrendMicro wskazuje, że rozbudowane modele współpracy między grupami utrudniają wykrywanie, analizę i atrybucję kampanii. Przypisanie odpowiedzialności konkretnej grupie nigdy nie jest łatwe, ale przy śledzeniu ataków, w których na każdym etapie inny threat actor podejmuje działania łatwo o utratę przejrzystości i pewności w ocenie. Zrozumienie technik, taktyk i procedur grup APT biorących za cel infrastrukturę krytyczną jest nieodłącznym elementem obrony przed cyberszpiegostwem. Budowa skutecznej detekcji zaawansowanych ataków, które według analiz potrafią pozostać długie miesiące i lata niezauważone, to trudne zadanie wymagające wielowarstwowego systemu obrony wykraczającego poza blokowanie adresów IP lub hashy konkretnego złośliwego oprogramowania.

Więcej informacji:

https://www.trendmicro.com/en_us/research/25/j/premier-pass-as-a-service.html

Złośliwe oprogramowanie

Glassworm – cyfrowy robak w środowisku deweloperskim.

W świecie zagrożeń cyfrowych pojawia się coraz więcej dobrze znanych schematów – trojany, ransomware, phishing pozostają w modzie. Jednak ostatnio badacze wykryli zagrożenie, które wychodzi poza typowe ramy: GlassWorm. To malware reprezentuje kolejny poziom niebezpieczeństwa, ponieważ nie atakuje jedynie użytkownika końcowego, ale idzie o krok dalej i atakuje całe środowisko deweloperskie, co czyni jego skutki potencjalnie znacznie szerszymi.

GlassWorm wyróżnia się przede wszystkim tym, że jest pierwszym autonomicznym robakiem atakującym rozszerzenia dla Visual Studio Code oraz rynku OpenVSX. Wykorzystuje niewidzialne znaki Unicode w kodzie JavaScript, co pozwala ukryć złośliwe fragmenty przed wizualną inspekcją plików. Jego infrastruktura Command and Control jest trójwarstwowa i odporna na wyłączenie – używa tradycyjnych serwerów C2, blockchaina Solana do trwałego zapisu poleceń oraz Google Calendar jako alternatywnego kanału komunikacji. Malware rozprzestrzenia się automatycznie, zbierając tokeny i dane uwierzytelniające, które pozwalają mu kompromitować kolejne pakiety i rozszerzenia. Dzięki temu może działać niczym wirus w ekosystemie deweloperskim, a nie typowy trojan w systemie końcowym.

Ofiarami GlassWorma są głównie programiści korzystający z Visual Studio Code oraz OpenVSX, a także firmy i zespoły deweloperskie, które używają wielu rozszerzeń i przechowują tokeny NPM, GitHub lub Git. Atak dotyczy także użytkowników kryptowalut i środowisk devops, ponieważ malware celuje w ponad czterdzieści dziewięć rozszerzeń portfeli kryptowalutowych oraz może instalować serwery proxy, SOCKS i VNC, przekształcając zainfekowane maszyny w infrastrukturę przestępczą. Tak skonstruowany atak stanowi poważne zagrożenie dla całego łańcucha dostaw oprogramowania, ponieważ uderza w narzędzia używane do tworzenia aplikacji, a nie tylko w użytkowników końcowych.

Technicznie GlassWorm używa kilku warstw technik obfuskacji i kanałów kontroli, które utrudniają wykrycie i utrzymanie operacji. Pierwszym mechanizmem są ukryte znaki Unicode (w tym znaki niewidoczne i obszary Private Use) w plikach JavaScript/TypeScript rozszerzeń — atak ukrywa fragmenty kodu lub wstrzykuje funkcjonalność w sposób, który jest trudny do wychwycenia podczas manualnej inspekcji linia‑po‑linii. Drugim mechanizmem jest automatyczne pozyskiwanie i wykorzystywanie poświadczeń: zainfekowane środowisko próbuje wyciągnąć i eksfiltruje tokeny używane do publikacji na NPM, dostępu do GitHub/Git czy innych usług CI, a następnie używa tych tokenów do publikowania zmodyfikowanych wersji pakietów lub do eskalacji dostępu w innych repozytoriach. Trzeci element to hybrydowa infrastruktura C2: obok klasycznych serwerów command‑and‑control operacja wykorzystuje blockchain (zaobserwowano użycie Solana jako trwałego mechanizmu publikacji poleceń/payloadów) oraz alternatywne kanały „living off the land” (np. Google Calendar) jako zapasowe lub redundantne kanały komunikacji, co znacząco utrudnia neutralizację. Dodatkowo GlassWorm potrafi konwertować zainfekowane hosty w elementy infrastruktury przestępczej (proxy/SOCKS, VNC), uruchamiać narzędzia do zdalnego dostępu, ekstrahować portfele kryptowalutowe i udostępniać zasoby sieciowe do dalszych operacji.

Wykrywanie GlassWorm wymaga połączenia analizy statycznej i dynamicznej z monitoringiem środowisk deweloperskich. Na poziomie kodu istotne jest wykrywanie anomalii w treści plików źródłowych – wzorce zawierające niewidoczne znaki Unicode, nieoczekiwane ciągi znaków w plikach JS/TS, kod wykonujący operacje na tokenach lub wywołania sieciowe w komponentach, które tego nie powinny robić. Na poziomie środowiska uruchomieniowego należy monitorować nietypową aktywność sieciową z maszyn developerskich: długotrwałe połączenia wychodzące do nieznanych hostów, inicjowanie proxy/SOCKS, nieautoryzowane uruchomienia VNC/serwerów zdalnego dostępu oraz skrypty, które modyfikują pliki rozszerzeń lub mechanizmy autoupdate. W obszarze tożsamości i uprawnień rozpoznawalnym sygnałem jest użycie tokenów poza normalnym wzorcem (publikacje w godzinach niepracujących, publikacje z nietypowych adresów IP, aktywność CI/Pipeline, która nie odpowiada „commitom”). Ponieważ autorzy używają mieszanki C2 (w tym Solana i Google Calendar), warto także monitorować nietypowe zapytania API i transakcje blockchainowe jako potencjalny kanał komunikacyjny.

Środki mitygacyjne muszą być zarówno organizacyjne (polityki bezpieczeństwa), jak i techniczne: wprowadzenie akceptowanej listy rozszerzeń i ograniczenie automatycznych aktualizacji w środowiskach krytycznych, separacja środowisk deweloperskich od produkcyjnych, rotacja i ograniczanie uprawnień tokenów do zasady minimalnych uprawnień, skanowanie repozytoriów pod kątem ukrytych znaków i obfuskacji oraz integracja EDR/NGAV i narzędzi SCA (software composition analysis) zdolnych wykrywać zmiany w paczkach publikowanych do NPM/OpenVSX. Dodatkowo wskazane jest logowanie i alertowanie anomalii w użyciu tokenów (nieautoryzowane publikacje, dostęp do zewnętrznych serwisów), inspekcja ruchu sieciowego wychodzącego z hostów developerskich oraz stosowanie zasad hardeningu, które uniemożliwiają łatwe uruchamianie usług zdalnego pulpitu czy konfigurowanie proxy bez wyraźnej zgody.

GlassWorm to przykład nowej klasy zagrożeń supply‑chainowych: technicznie sprytny, wielokanałowy i zaprojektowany do ukrytego rozprzestrzeniania się w ekosystemie narzędzi programistycznych. Ochrona przed nim wymaga przesunięcia środka ciężkości bezpieczeństwa – z zabezpieczania jedynie stacji roboczych na kompleksowe zabezpieczenie procesów publikacji, zarządzania tokenami, kontroli rozszerzeń i monitoringu nieoczywistych kanałów komunikacji.

Więcej informacji:

https://www.koi.ai/blog/glassworm-first-self-propagating-worm-using-invisible-code-hits-openvsx-marketplace/

CVE tygodnia

WSUS – podatność i ataki.

W ostatnich dniach Microsoft opublikował informacje o krytycznej podatności w Windows Server Update Services (WSUS) oznaczonej jako CVE-2025-59287, która umożliwia zdalne wykonanie kodu bez uwierzytelnienia. Jednocześnie pojawiły się doniesienia o aktywnym wykorzystywaniu tej luki „in the wild”. Luka dotyczy sposobu, w jaki komponent WSUS deszyfruje i deserializuje wartość AuthorizationCookie przesyłaną do zarządzanych przez tę usługę systemów (m.in. SOAP/ClientWebService). W praktyce błędne użycie niebezpiecznego deserializatora (BinaryFormatter) powoduje, że napastnik przygotowując odpowiednio spreparowane dane w żądaniu HTTP może wymusić materializację kontrolowanych obiektów i wywołanie łańcucha prowadzącego do wykonania kodu w kontekście procesu WSUS – najczęściej z uprawnieniami SYSTEM.

Technicznie, podatność pojawia się w ścieżce obsługi ciasteczek/identyfikatorów autoryzacyjnych: serwis deszyfruje dane (np. AES-CBC), a następnie, bez wystarczającej walidacji typów czy formatu, przekazuje bajty do BinaryFormatter.Deserialize(). Atakujący może zdalnie wysłać spreparowane POSTy do serwisów WSUS dostępnych na standardowych portach 8530 (HTTP) i 8531 (HTTPS), co w przypadku sukcesu prowadzi do uruchomienia poleceń systemowych na serwerze aplikacyjnym.
Po opublikowaniu szczegółów błędu i pierwszych PoC (proof-of-concept) zaczęły napływać sygnały o aktywnym wykorzystaniu in-the-wild. Zgłoszenia od zespołów zajmujących się reagowaniem na incydenty wskazują, że atakujący masowo skanowali publicznie dostępne hosty pod kątem otwartych portów WSUS i wysyłali sekwencje spreparowanych żądań do typowych endpointów (np. ClientWebService/Client.asmx, SimpleAuth.asmx, ReportingWebService/ReportingWebService.asmx). W udokumentowanych przypadkach udane eksploity skutkowały pojawieniem się procesów cmd.exe lub powershell.exe uruchamianych z parent procesu WSUS (wsusservice.exe) lub puli aplikacyjnej IIS (w3wp.exe). Z tych powłok wykonywano następnie zakodowane w base64 skrypty PowerShell, które wykonywały lokalną enumerację, pobierały dodatkowe złośliwe moduły i nawiązywały połączenia wychodzące do zewnętrznych serwerów C2. Raporty wskazują również na użycie sieci proxy i multi-hop w celu ukrycia źródła ataków oraz na szybkie wypłynięcie PoC w różnych repozytoriach – co istotnie zwiększyło tempo ataków.

Wykorzystanie CVE-2025-59287 ma wysoki potencjał destrukcyjny z kilku kluczowych powodów: WSUS zwykle działa z wysokimi uprawnieniami i ma dostęp do szerokiego zestawu hostów w domenie, serwisy WSUS bywają wystawiane w niewłaściwy sposób w sieci korporacyjnej lub nawet w Internecie oraz dostępność publicznych PoC skraca czas potrzebny cyberprzestępcom na opracowanie skutecznych exploitów. W efekcie przejęcie przez atakującego serwera WSUS może dać mu stabilny i uprzywilejowany punkt wejścia do sieci, umożliwiając szybkie poruszanie się po kolejnych systemach i sieci, instalację dodatkowych narzędzi oraz eksfiltrację danych.

Natychmiastowe działania, które powinny zostać podjęte przez zespoły operacyjne, obejmują pilne zastosowanie poprawek udostępnionych przez Microsoft dla WSUS na wszystkich podatnych instancjach oraz restart usług/serwerów, zgodnie z zaleceniami producenta. Tam, gdzie natychmiastowe łatanie nie jest możliwe, należy zablokować na zaporach przychodzący ruch na porty 8530,8531 dla adresów spoza zaufanego zakresu lub tymczasowo wyłączyć rolę WSUS (z uwzględnieniem konsekwencji operacyjnych).

Więcej informacji:

https://hawktrace.com/blog/CVE-2025-59287
https://www.wiz.io/vulnerability-database/cve/cve-2025-59287

Zobacz także

15 października 2025
Krajobraz zagrożeń 06-12/10/25
Dowiedz się więcej
7 października 2025
Krajobraz zagrożeń 29/09-05/10/25
Dowiedz się więcej
Komunikat dotyczący plików cookies

Ta witryna używa plików cookies (małych plików tekstowych, przechowywanych na Twoim urządzeniu). Są one stosowane dla zapewnienia prawidłowego działania strony oraz do zbierania informacji o Twoich preferencjach i nawykach użytkowania witryny.

Pliki cookies niezbędne do działania strony używamy do zapewnienia podstawowych funkcji, takich jak logowanie oraz zapewnienie bezpieczeństwa witrynie. Ich wykorzystanie nie wymaga Twojej zgody.

Pliki cookies funkcyjne. Pozwalają nam zbierać informacje na temat zalogowanych sesji oraz przechowywać dane wpisane przez Ciebie w formularzach znajdujących się na stronie takich jak: czas trwania zalogowanej sesji , nazwę użytkownika.

Strictly Necessary Cookies

Strictly Necessary Cookie should be enabled at all times so that we can save your preferences for cookie settings.

Pozostałe kategorie wykorzystywania plików cookies, które wymagają Twojej zgody na używanie

Pliki cookies statystyczne/analityczne. Pozwalają nam zbierać anonimowe informacje o ruchu na stronie (liczba odwiedzin, źródło ruchu i czas spędzony na witrynie). Te dane pomagają nam zrozumieć, jak nasi użytkownicy korzystają z witryny i poprawiają jej działanie.

Możesz zmienić swoje preferencje dotyczące plików cookies w każdej chwili. W celu zarządzania plikami cookies lub wycofania zgody na ich używanie, prosimy skorzystać z ustawień przeglądarki internetowej.

Wspierane przez  GDPR Cookie Compliance